Anatomie du phishing moderne : le clic anodin qui coûte tout

Anatomie du phishing moderne : le clic anodin qui coûte tout

En 2025, 3,8 millions d’attaques de phishing ont été recensées, atteignant un niveau record. Pourtant, ce chiffre ne reflète qu’une partie de la réalité. Ce qui a véritablement changé cette année, c’est non seulement le volume des attaques, mais aussi leur capacité à se fondre dans le quotidien numérique des utilisateurs.

Le phishing ne se manifeste plus uniquement par des emails mal rédigés ou des expéditeurs inconnus. Il se cache désormais derrière des outils familiers, exploitant la confiance que les utilisateurs accordent à ces services.

Les raccourcisseurs d’URL, outils des équipes marketing… et des attaquants

Le service le plus utilisé pour masquer des attaques de phishing est bit.ly, un raccourcisseur d’URL également utilisé par des entreprises pour leurs communications. Cette stratégie délibérée consiste à détourner des infrastructures légitimes pour contourner les défenses de sécurité. Les filtres de messagerie, en analysant un email contenant un lien bit.ly, identifient un service reconnu et sur liste blanche, rendant la destination finale, souvent malveillante, invisible jusqu’au clic de la victime.

Les raccourcisseurs d’URL s’intègrent dans diverses techniques d’attaque modernes. Par exemple, le quishing, ou phishing via QR code, utilise des QR codes dissimulant des liens TinyURL, tandis que des attaques Adversary-in-the-Middle emploient des services comme t.co ou is.gd pour échapper à la détection.

Le Cloaking, quand Google Ads devient un vecteur d’attaque de masse

Les moteurs de recherche sont également devenus des cibles. En 2025, un scénario courant voit un utilisateur rechercher Microsoft Teams, cliquer sur le premier résultat sponsorisé, et télécharger un ransomware au lieu du logiciel légitime. Ce mécanisme, appelé cloaking, permet à l’attaquant de servir deux versions de sa page : une propre pour les robots de vérification et une malveillante pour les utilisateurs. Les fichiers malveillants peuvent souvent être hébergés sur des plateformes comme GitHub ou Dropbox, généralement autorisées par les filtres de sécurité.

En 2024, une campagne de ce type a compromis un million d’appareils via des publicités diffusées sur des sites de streaming. Actuellement, une publicité sur 130 dans les résultats de recherche est malveillante.

L’IA générative, nouveau vecteur non protégé

Les interfaces d’IA générative, comme ChatGPT, sont également des cibles. Ces outils, utilisés pour rechercher des logiciels ou des recommandations, ne disposent pas des protections anti-phishing intégrées aux navigateurs traditionnels. Une étude récente a révélé qu’une URL suggérée sur trois par ces moteurs d’IA ne pointe pas vers le domaine officiel de la marque concernée.

Implications pour les responsables sécurité

Les raccourcisseurs d’URL et le malvertising exploitent des services légitimes en qui les utilisateurs ont confiance. Les équipes de sécurité doivent adapter leurs stratégies :

  • Sur le plan technique : Configurer les passerelles web sécurisées (SWG) pour résoudre dynamiquement les raccourcisseurs d’URL avant validation.
  • Sur le plan des politiques : Encadrer l’usage des raccourcisseurs au sein des outils internes pour distinguer les usages légitimes des usages suspects.
  • Sur le plan de la sensibilisation : Mettre à jour les messages de sécurité pour refléter que des liens apparemment légitimes peuvent mener à des compromissions. La vigilance doit se concentrer sur la compréhension du risque plutôt que sur la reconnaissance visuelle d’anomalies.

Le phishing moderne se fond dans l’infrastructure légitime d’Internet, exploitant les angles morts des défenses traditionnelles. La surface d’attaque n’est plus seulement technique, mais cognitive, rendant la défense d’autant plus complexe.

Source : Journal du Net

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *