C’est le nom provocateur du PDF qui a mis la puce à l’oreille d’Haifei Li, chercheur en cybersécurité.
Baptisé « yummy_adobe_exploit_uwu.pdf », le fichier a été soumis le 23 mars sur la plateforme d’analyse EXPMON.
L’auteur de l’étude parue le 7 avril 2026, a rapidement compris qu’il n’avait pas affaire à une menace ordinaire : le document exploite une vulnérabilité non corrigée dans la dernière version d’Adobe Reader, le logiciel de lecture de PDF le plus utilisé au monde.
Il suffit d’ouvrir le fichier
La particularité de cette attaque, c’est qu’elle ne demande aucune action de la part de la victime au-delà de l’ouverture du document. Pas de lien à cliquer, pas de macro à autoriser.
Le PDF embarque du code JavaScript dissimulé et chiffré en Base64, une technique classique pour tromper les antivirus. Une fois le fichier ouvert dans Adobe Reader, ce code s’exécute automatiquement en exploitant deux fonctions internes du logiciel : util.readFileIntoStream(), qui permet de lire des fichiers présents sur l’ordinateur, et RSS.addFeed(), détournée ici pour communiquer avec un serveur distant. Le tout passe outre la sandbox d’Adobe Reader, la couche de protection censée isoler le logiciel du reste du système.
Une fois le PDF ouvert, l’exploit ne passe pas immédiatement à l’attaque. Il commence par collecter des informations sur la machine : version exacte de Windows, langue du système, version d’Adobe Reader installée, chemin d’accès au fichier, autant de données envoyées au serveur des attaquants. Le serveur analyse ensuite le profil de la machine avant de décider, ou non, d’envoyer une seconde charge. Si la victime ne correspond pas aux critères des attaquants, rien ne se passe.
Pas de correctif disponible
Cette logique de sélection, baptisée fingerprinting, est caractéristique des opérations d’espionnage ciblé : elle permet de ne pas « brûler » une vulnérabilité rare sur des cibles sans intérêt.
Comment ce fichier arrive-t-il sur l’ordinateur des victimes ? Les sources disponibles ne le précisent pas, le fichier a été soumis anonymement sur les plateformes d’analyse, sans contexte sur sa distribution.
Greg Lesnewich, un autre chercheur en cybersécurité, a par la suite identifié une variante du même exploit, présente sur VirusTotal depuis le 28 novembre 2025, preuve que la campagne est active depuis au moins quatre mois.
Adobe a été informé des découvertes, mais n’a pas communiqué de calendrier pour un correctif. En attendant, la recommandation principale est d’ouvrir les PDF d’origine inconnue directement dans un navigateur (Chrome, Firefox), dont les lecteurs intégrés sont isolés du système. Il est aussi possible de désactiver manuellement le JavaScript dans les préférences d’Adobe Reader, puisque c’est précisément ce mécanisme que l’exploit utilise.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !