Fin novembre 2025, un fichier nommé « Invoice540.pdf » apparaît sur VirusTotal. Personne n'y prête vraiment attention sur le moment. Quatre mois et demi plus tard, on sait que ce document était l'une des premières traces d'une exploitation active d'une faille critique dans Adobe Acrobat Reader — une faille qui n'existait officiellement pas encore, puisqu'elle n'avait pas été signalée à Adobe.

Le 13 avril 2026, Adobe a publié en urgence un correctif pour la CVE-2026-34621. Score CVSS : 9,6 sur 10. La faille permet à un attaquant d'exécuter du code arbitraire sur la machine d'une victime, simplement en lui faisant ouvrir un PDF. Windows et macOS sont tous les deux concernés.

Des mois d'exploitation silencieuse

Ce qui frappe dans cette affaire, c'est la durée. Selon les chercheurs cités par SecurityWeek, la faille aurait été activement exploitée depuis au moins décembre 2025 — soit plus de quatre mois avant que le correctif ne soit disponible. Quatre mois pendant lesquels n'importe quel utilisateur d'Acrobat Reader pouvait se faire compromettre en ouvrant un fichier qui ressemblait à une facture.

La technique utilisée n'est pas anodine. Selon dcod.ch, l'exploit est qualifié de « très sophistiqué » par les chercheurs qui l'ont analysé. Techniquement, la vulnérabilité résulte d'une modification incorrectement contrôlée des attributs de prototype — une catégorie de failles complexes à détecter, précisément parce qu'elles se nichent dans des mécanismes bas niveau du moteur d'exécution du logiciel. Ce n'est pas le genre de bug qu'un scanner de routine repère facilement.

Le vecteur d'attaque, lui, est d'une banalité redoutable : un PDF. C'est-à-dire le format que vos équipes reçoivent des dizaines de fois par jour — devis, contrats, bons de commande, bulletins de paie. La Cyber Security Agency of Singapore a émis une alerte formelle le 13 avril (CSA Singapore). Le Hong Kong CERT a suivi dans la même journée (HKCERT). Quand plusieurs agences nationales publient des alertes le même jour, c'est rarement bon signe.

Pourquoi les PME sont particulièrement exposées

Dans une grande entreprise, il existe théoriquement un processus de gestion des correctifs : une équipe sécurité surveille les bulletins des éditeurs, priorise les patchs, déploie via un outil centralisé. C'est imparfait, souvent lent, mais ça existe.

Dans une PME de 40 ou 150 personnes, Adobe Acrobat est installé sur les postes depuis des années, parfois en version discontinuée, parfois avec les mises à jour automatiques désactivées parce qu'elles « ralentissaient les machines » il y a trois ans et que personne n'a rouvert la question depuis. C'est une réalité que connaît bien quiconque a mis les pieds dans ces environnements.

Le bulletin de sécurité d'Adobe (APSB26-26) précise que le correctif est inclus dans la version 26.001.21411 d'Acrobat DC et Acrobat Reader DC. La vérification est simple : ouvrir Acrobat, aller dans Aide > À propos d'Adobe Acrobat, et comparer le numéro de version. Ce qui l'est moins, c'est de s'assurer que tous les postes de l'entreprise sont bien à jour — pas seulement celui du dirigeant ou de l'assistante qui a vu passer l'alerte.

The Register résume la situation avec une franchise qui mérite d'être citée : Adobe a « finalement patché un PDF pest après des mois d'abus » (The Register). La formulation est ironique, mais elle pointe quelque chose de réel : entre le moment où une faille commence à être exploitée et celui où un correctif est disponible, il peut se passer beaucoup de choses — et la plupart des victimes ne le sauront jamais.

Le vrai problème : savoir avant qu'il soit trop tard

Cette affaire illustre un problème structurel pour les dirigeants de PME : la veille de sécurité. Pas la veille technologique au sens vague du terme — la capacité concrète à savoir, le lundi matin, que l'ANSSI a publié une alerte sur un logiciel utilisé par 80 % de vos collaborateurs, et que vous devez agir dans la journée.

Adobe a publié son bulletin le 13 avril. L'ANSSI et d'autres agences ont relayé. Mais combien de dirigeants de PME lisent les bulletins Adobe ? Combien ont le temps de surveiller Légifrance, l'ANSSI, les CVE critiques et les alertes CERT en parallèle de leur activité quotidienne ? La réponse honnête, c'est : presque aucun.

C'est exactement le problème que regwatch cherche à résoudre : un digest hebdomadaire envoyé le lundi matin, qui compile les alertes ANSSI, les publications réglementaires et les avis critiques — avec pour chaque item un résumé en trois lignes, un niveau d'impact, et une action concrète. Pas un flux RSS de plus à ignorer. Une synthèse lisible par quelqu'un dont le métier n'est pas la cybersécurité.

La CVE-2026-34621 sera remplacée par une autre dans quelques semaines. Ce n'est pas une prédiction pessimiste — c'est le rythme actuel. En 2025, le nombre de CVE publiées a dépassé 40 000 pour la première fois. Le problème n'est pas de tout lire. C'est de ne pas rater ce qui compte vraiment pour votre entreprise.

Pour l'immédiat : mettez à jour Adobe Acrobat sur tous les postes, version 26.001.21411 minimum. Et méfiez-vous des PDF qui arrivent par email sans que vous les attendiez — même s'ils ressemblent à des factures.

Sources