Qu'est-ce que l'attaque Maldoc en PDF ?

L'attaque Maldoc PDF consiste à intégrer un fichier Word malveillant à l'intérieur d'un document PDF. Quand le PDF est ouvert et que le fichier Word est lancé, des macros malveillantes s'exécutent. L'astuce : le fichier a l'extension .pdf, donc votre antivirus l'analyse comme un PDF et ne détecte pas le code Word malveillant caché à l'intérieur.

Pourquoi mon antivirus ne détecte pas les Maldoc PDF ?

Les antivirus traditionnels analysent les fichiers par signature : ils comparent chaque fichier à une base de malwares connus. Le Maldoc PDF trompe cette analyse en présentant un fichier PDF valide qui contient un document Word malveillant. L'antivirus voit un PDF légitime et le laisse passer. Seul un EDR (Endpoint Detection & Response) qui analyse le comportement du fichier à l'exécution peut détecter l'attaque.

Comment protéger ma PME contre les attaques par documents piégés ?

Trois couches de protection sont nécessaires : (1) un antispam avancé qui filtre les pièces jointes suspectes avant qu'elles n'arrivent dans la boîte mail, (2) un EDR managé qui détecte les comportements malveillants à l'exécution, même sur des fichiers inconnus, (3) une formation anti-phishing pour que vos collaborateurs sachent identifier les emails suspects. Chez Dhala, ces trois couches sont incluses dans notre offre à 44€/poste/mois.

Maldoc PDF : technique d'évasion antivirus | Pourquoi l'EDR est indispensable

Vos collaborateurs reçoivent des PDF tous les jours. Certains sont des armes.

Factures, devis, bons de commande, résultats d'analyses, rapports — les PDF sont le format le plus échangé en entreprise. Vos collaborateurs les ouvrent sans réfléchir. C'est exactement ce que les hackers exploitent.

La technique Maldoc PDF, identifiée par le JPCERT/CC en 2023, permet de cacher un document Word malveillant à l'intérieur d'un PDF. Votre antivirus voit un PDF. Votre collaborateur voit un PDF. Mais à l'ouverture, c'est un malware qui s'exécute.

Et votre antivirus n'a rien vu.

Comment fonctionne l'attaque Maldoc PDF

Le principe : un PDF qui cache un Word

L'attaquant crée un document Word contenant des macros malveillantes
Ce Word est intégré à l'intérieur d'un fichier PDF (le fichier a l'extension .pdf)
Le PDF est envoyé par email — facture, bon de commande, CV de candidat...
Le collaborateur ouvre le PDF → Word se lance → les macros s'exécutent
Le malware se déploie : vol d'identifiants, ransomware, accès distant

Pourquoi c'est redoutable

L'antivirus analyse le fichier comme un PDF (extension .pdf, en-tête PDF valide). Il ne détecte rien d'anormal. Le code malveillant est dans la partie Word du fichier, que l'antivirus ne scanne pas dans ce contexte.

C'est comme passer un couteau dans un bagage en le cachant dans un étui à lunettes. Le scanner voit l'étui, pas le couteau.

Antivirus vs EDR : pourquoi votre protection actuelle ne suffit plus

C'est le vrai sujet de cet article. Le Maldoc PDF n'est qu'un exemple parmi des dizaines de techniques d'évasion qui contournent les antivirus classiques.

Critère	Antivirus classique	EDR managé
Méthode de détection	Signatures (base de malwares connus)	Comportement (analyse ce que le fichier fait)
Maldoc PDF	Non détecté	Détecté (exécution de macros suspectes)
Malware inconnu (zero-day)	Non détecté	Détecté par analyse comportementale
Fileless malware (en mémoire)	Non détecté	Détecté
Ransomware nouveau	Détecté après mise à jour (trop tard)	Détecté et bloqué en temps réel
Réponse à incident	Alerte (vous vous débrouillez)	Isolation automatique + intervention SOC
Adapté aux PME	Oui (mais insuffisant)	Oui, si managé par un prestataire

Un antivirus détecte les menaces connues. Un EDR détecte les comportements suspects. Face aux techniques d'évasion comme Maldoc PDF, la différence est critique.

Votre antivirus suffit-il encore ? Faites le test

Comment protéger votre PME contre les documents piégés

Couche 1 : Filtrage des emails (antispam avancé)

Le meilleur moment pour bloquer un Maldoc PDF, c'est avant qu'il n'arrive dans la boîte mail de votre collaborateur. Un antispam professionnel analyse les pièces jointes en sandbox (environnement isolé) et bloque les fichiers suspects.

Couche 2 : EDR managé sur chaque poste

Si le fichier passe l'antispam, l'EDR (Endpoint Detection & Response) est la dernière ligne de défense. Il surveille ce que fait chaque programme en temps réel. Quand un PDF lance Word, qui lance une macro, qui tente de télécharger un exécutable — l'EDR bloque et isole le poste.

Couche 3 : Formation des collaborateurs

La meilleure technologie ne sert à rien si votre secrétaire ouvre tous les PDF sans réfléchir. Les campagnes de simulation de phishing entraînent vos équipes à détecter les emails suspects. Après 3 campagnes, le taux de clic chute de 30% à moins de 5%.

Couche 4 : Désactivation des macros par politique

Via Microsoft Intune ou une GPO Active Directory, vous pouvez bloquer l'exécution des macros dans les documents provenant d'Internet. C'est la mesure technique la plus efficace contre les Maldoc — et elle est gratuite.

Ce que Dhala déploie pour ses clients PME

Notre offre Cyber Sérénité à 44€/poste/mois inclut les 3 premières couches :

Antispam avancé avec analyse sandbox des pièces jointes
EDR SentinelOne managé avec supervision SOC 24/7
Campagnes de phishing simulées trimestrielles
Filtrage DNS anti-malware pour bloquer les téléchargements malveillants
Politique de macros déployée et maintenue sur votre parc

Résultat : aucun de nos clients n'a été compromis par un document piégé depuis le déploiement de cette stack.

Passez de l'antivirus à l'EDR managé

Démonstration technique

Le JPCERT/CC a publié une démonstration de la technique Maldoc PDF :

Ce qu'il faut retenir

Point clé	Détail
Technique	Fichier Word malveillant caché dans un PDF
Cible	PME utilisant Microsoft Office
Antivirus	Ne détecte pas (évasion par format)
EDR	Détecte (analyse comportementale)
Protection complète	Antispam + EDR + formation + politique macros
Coût Dhala	44€/poste/mois tout inclus