En bref

  • Un acteur dénommé "Mr. Raccoon" revendique le vol de 13 millions de tickets support Adobe, 15 000 dossiers employés et l'intégralité des soumissions au programme bug bounty HackerOne d'Adobe
  • Vecteur d'entrée : phishing sur un employé d'une société BPO indienne sous-traitée par Adobe — aucune intrusion directe dans les réseaux Adobe
  • Action requise : renforcer la vigilance anti-phishing sur les communications prétendant provenir du support Adobe et surveiller l'émergence de CVE liées aux données HackerOne volées

Les faits

Début juin 2026, des chercheurs en cybersécurité présents sur des forums spécialisés ont découvert qu'un acteur malveillant opérant sous le pseudonyme "Mr. Raccoon" revendiquait la compromission du système de support client d'Adobe. Les données alléguées incluent environ 13 millions de tickets du service client, 15 000 dossiers d'employés, l'ensemble des documents internes associés, et — élément particulièrement préoccupant — la totalité des soumissions au programme de bug bounty HackerOne d'Adobe.

Adobe n'a pas officiellement confirmé l'incident au moment de la publication de cet article. Toutefois, les chercheurs de vx-underground, organisation reconnue dans la communauté de la threat intelligence, ont examiné des échantillons des données revendiquées et ont conclu que la compromission apparaît légitime, tout en soulignant qu'elle semble limitée au système de helpdesk et non aux réseaux internes d'Adobe. La vérité opérationnelle est que la distinction "helpdesk vs réseau interne" n'atténue pas nécessairement la gravité de l'incident, comme nous allons le voir.

Le vecteur d'entrée documenté est remarquable par sa banalité : Mr. Raccoon n'a pas exploité une vulnérabilité technique dans l'infrastructure d'Adobe. L'attaque a débuté par un email de phishing envoyé à un employé d'une société de Business Process Outsourcing (BPO) indienne sous-traitée par Adobe pour la gestion du support client. Cet employé externalisé disposait d'un accès légitime au système de tickets de support d'Adobe dans le cadre de ses fonctions. Une fois son compte compromis, l'attaquant a eu accès à l'intégralité du périmètre visible par ce compte — soit la totalité du système de support client Adobe.

La dimension la plus critique de cet incident concerne les soumissions au programme bug bounty HackerOne d'Adobe. Ce programme invite des chercheurs en sécurité indépendants à signaler des vulnérabilités en échange de récompenses financières. Les soumissions incluent des descriptions détaillées de vulnérabilités — y compris celles non encore corrigées ou en cours d'analyse. Si ces données sont authentiques, Mr. Raccoon disposerait d'une carte interactive des failles non patchées d'Adobe au moment du vol, représentant un avantage offensif considérable. Cette catégorie d'informations est exactement ce que recherchent les acteurs malveillants sophistiqués pour convertir des rapports de chercheurs honnêtes en armements offensifs ciblant les utilisateurs Adobe dans le monde entier.

Les 13 millions de tickets de support constituent également une mine d'informations pour des attaques ciblées. Ces tickets contiennent typiquement des informations d'identification des clients (nom, email, entreprise, version du produit utilisé, abonnement), des descriptions de problèmes techniques révélatrices de configurations spécifiques, et parfois des captures d'écran ou des fichiers attachés contenant des informations sensibles partagées pour faciliter le diagnostic. Cette volumétrie de données de support est exploitable pour des campagnes de spear-phishing ultra-ciblées utilisant des détails réels (numéro de ticket, problème connu, version logicielle) pour gagner la confiance des victimes.

L'incident Adobe s'inscrit dans une tendance documentée et préoccupante : les acteurs malveillants ciblent de plus en plus les écosystèmes de sous-traitants plutôt que les grandes entreprises directement. Le principe est d'une logique économique implacable — les BPO, les fournisseurs de services managés (MSP) et les prestataires spécialisés disposent souvent de niveaux de sécurité inférieurs à ceux de leurs clients grands comptes, tout en maintenant des accès opérationnels directs à leurs systèmes. En ciblant le maillon le plus faible de la chaîne, les attaquants contournent les investissements sécurité considérables des grandes entreprises. Le rapport Verizon DBIR 2025 indiquait déjà que 62 % des incidents impliquant une grande organisation comportaient un vecteur tiers ou sous-traitant.

Mr. Raccoon est décrit comme un acteur peu connu jusqu'à cette revendication, ce qui rend difficile l'attribution précise de ses motivations et affiliations. Plusieurs débouchés commerciaux sont plausibles : vente des données HackerOne à des groupes exploitant des 0-days, exploitation directe des vulnérabilités non patchées, ou revente des 13 millions de tickets à des acteurs de phishing spécialisés. La mise en vente partielle des données sur des forums underground a déjà été signalée par des analystes en threat intelligence.

Pour les organisations utilisant les solutions Adobe — Creative Cloud, Experience Manager, Acrobat Enterprise, Marketo — la prudence s'impose immédiatement : des communications de "support Adobe" peuvent désormais être fabriquées avec des données de tickets réels, rendant les tentatives de phishing extrêmement convaincantes. Les équipes de sécurité doivent renforcer la sensibilisation des utilisateurs et des équipes IT qui interagissent avec le support Adobe, et imposer une vérification systématique de l'identité de l'interlocuteur avant tout partage d'informations sensibles.

Impact et exposition

L'impact direct concerne les clients Adobe dont les interactions avec le support entre 2022 et 2026 sont potentiellement incluses dans les 13 millions de tickets volés. Les organisations utilisant Adobe Experience Manager, Acrobat Enterprise ou Creative Cloud for Enterprise sont particulièrement exposées aux campagnes de phishing qui exploiteront ces données. L'impact indirect — via les soumissions HackerOne — concerne potentiellement l'ensemble des utilisateurs des produits Adobe si des vulnérabilités non patchées sont armées et exploitées à partir de ces informations. Pour les chercheurs ayant soumis des rapports en attente de correction, leurs découvertes sont potentiellement connues d'acteurs malveillants.

Recommandations

  • Immédiat : Informer vos équipes IT et utilisateurs métier d'une vigilance renforcée sur les communications prétendant provenir du support Adobe — vérifier systématiquement les expéditeurs et ne jamais cliquer sur des liens dans des emails de support non sollicités.
  • Court terme : Surveiller les publications de CVE Adobe dans les semaines à venir — des failles issues des soumissions HackerOne volées pourraient être exploitées avant qu'Adobe les corrige, entraînant des patches d'urgence à prioriser immédiatement.
  • Structurel : Si vous utilisez des services de support externalisés (BPO, MSP), auditer les accès accordés à ces prestataires et appliquer le principe du moindre privilège — un agent de support n'a pas besoin d'accéder à l'ensemble de l'historique client ni à des données transverses.

Que faire si mon entreprise a soumis des rapports de bug bounty à Adobe via HackerOne ?

Si votre entreprise ou vos chercheurs ont soumis des rapports via le programme bug bounty HackerOne d'Adobe et que certaines découvertes sont encore en cours de traitement, il est conseillé de contacter directement Adobe pour demander l'état de vos soumissions et exiger une accélération de la remédiation. Il faut également considérer que les détails de vos rapports pourraient être connus d'acteurs malveillants, ce qui renforce l'urgence de leur correction par Adobe. Enfin, si vos rapports décrivaient des vulnérabilités dans des produits Adobe que vous utilisez en production, renforcez leur monitoring immédiatement.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit