Outils / Actualités / 16 failles zero-day dans des outils PDF cloud montrent pourquoi envoyer ses fichiers en ligne est risqué
Presse

16 failles zero-day dans des outils PDF cloud montrent pourquoi envoyer ses fichiers en ligne est risqué

· VaultTools

Des chercheurs ont découvert 16 vulnérabilités dans Foxit et Apryse en février 2026, permettant vol de compte et exfiltration de données. La cause est le traitement serveur des fichiers.

VaultTools · 20 mars 2026

Un cadenas lumineux sur fond numérique sombre, symbolisant les failles de cybersécurité dans les plateformes en ligne. Photo de FLY:D sur Unsplash

Table des matières


Ce Qui S’est Passé

Le 18 février 2026, la société de sécurité Novee a publié une étude révélant 16 failles zero-day sur deux grandes plateformes PDF cloud : Foxit et Apryse (anciennement PDFTron). Novee a utilisé des agents d’intelligence artificielle entraînés sur des schémas de vulnérabilités connus pour analyser automatiquement les deux plateformes, découvrant au passage 13 catégories de vulnérabilités distinctes.

Le bilan : une faille critique et deux à haute sévérité dans Apryse WebViewer, deux à haute sévérité et onze à sévérité moyenne dans Foxit. Les deux éditeurs ont été notifiés par divulgation responsable et ont depuis publié des correctifs. Les CVE-2025-70402 et CVE-2025-70400 couvrent les failles Apryse les plus graves.

Foxit et Apryse ne sont pas des produits de niche. Ils comptent parmi les SDK PDF les plus déployés dans les logiciels d’entreprise. Leurs services cloud traitent les documents téléversés par des millions d’utilisateurs.

Ce Que Les Failles Permettaient

Les types de vulnérabilités ressemblent à une liste d’attaques côté serveur : XSS basé sur le DOM, XSS stocké et réfléchi, falsification de requête côté serveur (SSRF), traversée de répertoires et injection de commandes dans le système d’exploitation.

Plusieurs exploitations ne nécessitaient rien de plus qu’ouvrir un document malveillant ou visiter une URL craftée. Une attaque en un clic est aussi dangereuse qu’il n’y paraît : un utilisateur ouvre ce qui ressemble à un PDF ordinaire, et un attaquant obtient la capacité d’exfiltrer des données ou d’exécuter des commandes sur les serveurs backend de la plateforme. Aucun exploit du navigateur n’est requis. La vulnérabilité réside côté serveur, dans le traitement du fichier téléversé par l’utilisateur.

La prise de contrôle de compte et l’exfiltration de données ont toutes deux été démontrées comme des résultats réalistes. Pour une plateforme traitant des contrats, des documents financiers ou des dossiers médicaux, ces termes ont une portée considérable.

Pourquoi Les Outils PDF Cloud Portent Ce Risque Structurellement

Cette classe de vulnérabilités n’est pas un bug au sens ordinaire. C’est une conséquence de l’architecture. Lorsqu’un outil PDF traite des fichiers sur un serveur, ce serveur doit analyser des entrées complexes contrôlées par d’éventuels attaquants. Le PDF est l’un des formats de fichiers les plus complexes qui soient, avec JavaScript intégré, des métadonnées riches, une compression imbriquée et de multiples couches de codecs. Chaque analyseur syntaxique est une surface d’attaque.

Les failles de type SSRF, traversée de répertoires et injection de commandes supposent toutes qu’un serveur exécute du code au nom de l’utilisateur. Le XSS dans un visionneur de documents web existe parce qu’un serveur rend du contenu provenant d’un fichier téléversé. Supprimez le serveur de l’équation, et toute la catégorie de risque disparaît.

Ce ne sont pas des erreurs d’implémentation commises négligemment par Foxit ou Apryse. Ce sont le coût inhérent du traitement de fichiers en cloud à grande échelle.

Les Outils en Navigateur N’ont Aucun Serveur à Attaquer

Un outil PDF qui s’exécute entièrement dans le navigateur via WebAssembly ne reçoit jamais le fichier de l’utilisateur sur un serveur. Il n’y a pas de backend dans lequel injecter des commandes. Il n’y a pas de fichier stocké sur une infrastructure cloud. Il n’y a pas de session ou de compte qui puisse être détourné via un document malveillant.

Les 16 vulnérabilités divulguées par Novee sont toutes des vecteurs d’attaque côté serveur. Une architecture en navigateur les ferme toutes simultanément, non pas grâce à une meilleure ingénierie de sécurité, mais en éliminant totalement le composant de traitement côté serveur.

Ce n’est pas un avantage théorique. C’est une propriété structurelle : un attaquant ne peut pas exfiltrer un fichier d’un serveur qui ne l’a jamais reçu.

Ce Que Les Utilisateurs Devraient Faire Maintenant

Les utilisateurs des services cloud Foxit ou Apryse devraient vérifier qu’ils utilisent les dernières versions corrigées. Les deux éditeurs ont traité les vulnérabilités signalées à la suite de la divulgation responsable de Novee.

Plus généralement, toute personne traitant des documents sensibles (juridiques, financiers, médicaux ou personnels) via des outils en ligne basés sur le cloud devrait se poser une question avant de téléverser un fichier : où va ce fichier et qui peut y accéder ? La réponse est rarement aussi rassurante que les arguments marketing du service le laissent entendre.

Les outils en navigateur, où le traitement s’effectue sur le propre appareil de l’utilisateur, apportent une réponse plus nette : le fichier ne va nulle part.


Sources