Les cybercriminels redoublent d’ingéniosité : ils détournent désormais des outils de communication légitimes, des comptes de messagerie aux formulaires web d’entreprises reconnues, pour orchestrer des campagnes de phishing toujours plus insidieuses.
Une analyse du « Laboratoire de menaces KnowBe4 », publiée le 2 novembre 2025, met en lumière cette évolution inquiétante des méthodes employées par les pirates informatiques. L’objectif : rendre leurs attaques plus crédibles et déjouer les dispositifs de sécurité, traditionnellement conçus pour repérer des anomalies flagrantes.
Le « Business Email Compromise » (BEC), une tactique éprouvée et en mutation
Depuis plusieurs années, le « Compromis de messagerie professionnelle » (BEC) constitue une stratégie de phishing particulièrement redoutable. Elle repose sur l’utilisation de comptes de messagerie compromis, mais authentiques, pour diffuser des messages malveillants auprès de contacts internes ou externes à une organisation. Cette approche permet aux attaquants de contourner des mécanismes de sécurité cruciaux tels que DMARC (Domain-based Message Authentication, Reporting & Conformance), rendant difficile la détection d’expéditeurs frauduleux ou de domaines inhabituels.
« De cette manière, des informations faussement réelles sont créées, difficiles à identifier comme frauduleuses », souligne KnowBe4. « Cela devient particulièrement dangereux lorsque la communication s’inscrit dans le cadre de relations commerciales existantes. La confiance est déjà établie, ce qui rend l’attaque d’autant plus crédible. »
Du BEC au CBC : des attaques de plus en plus étendues
Les chiffres révèlent une tendance alarmante. Selon le rapport « KnowBe4 Defend », 59,1 % de toutes les attaques de phishing détectées jusqu’à présent en 2025 provenaient de comptes compromis, soit une augmentation de près de 35 % par rapport à 2024. Cette évolution marque la transition du BEC vers le « Compromis complet de l’entreprise » (CBC), des attaques qui se propagent plus rapidement, touchent un plus grand nombre de systèmes et deviennent encore plus difficiles à détecter.
Les formulaires web détournés : une nouvelle faille exploitée
Depuis septembre 2025, le « Laboratoire de menaces KnowBe4 » observe une tactique particulièrement sophistiquée : l’exploitation des formulaires de contact ou de prise de rendez-vous présents sur les sites web des entreprises. Les cybercriminels parviennent à utiliser ces canaux légitimes pour déclencher des e-mails de réponse automatisés, qu’ils détournent à leurs propres fins.
Le modus operandi est le suivant : les attaquants créent un compte gratuit sur « onmicrosoft.com », choisissent une marque reconnue (comme une banque ou un service de paiement) pour se présenter comme expéditeur, puis remplissent le formulaire au nom de cette organisation. Lorsque le formulaire est soumis, le site web génère automatiquement un e-mail de confirmation depuis le domaine de l’entreprise visée, passant ainsi outre toutes les vérifications d’authentification. Ces e-mails sont ensuite diffusés massivement grâce à des règles de transfert préétablies. « Du fait de leur origine légitime et de leur structure formelle impeccable, ils sont considérés comme inoffensifs par de nombreuses solutions de sécurité. »
L’ingénierie sociale au cœur de la tromperie
Pour parfaire leur tromperie, les attaquants ajoutent aux formulaires des champs manipulés pour le nom, le numéro de téléphone et le contenu du message. Un prétexte financier est souvent utilisé pour susciter la panique, tel qu’une prétendue transaction de plusieurs centaines de dollars via PayPal. Le message inclut alors un numéro de téléphone, invitant la victime à contacter les fraudeurs pour éclaircir la situation. « En réalité, l’appel mène directement aux attaquants », précise le rapport. Des conversations émotionnellement chargées s’ensuivent, visant à obtenir des informations personnelles ou financières – un exemple d’« ingénierie sociale » parfaite qui contourne totalement les défenses techniques.
La confiance, une nouvelle vulnérabilité
Les secteurs les plus fréquemment ciblés par ces attaques incluent la finance, le droit, la santé et les assurances. Dans ces domaines, la confiance et la légitimité jouent un rôle prépondérant, facilitant ainsi la crédibilité des messages frauduleux. Le « Laboratoire de menaces KnowBe4 » anticipe une augmentation continue de ces attaques, car elles ne nécessitent ni accès direct à un compte de messagerie ni installation de logiciel malveillant.
Cette tactique démontre une tendance claire : les cybercriminels détournent de plus en plus de systèmes légitimes pour tirer parti de leur autorité de domaine et de la confiance associée à leur marque. Les procédures d’authentification classiques perdent ainsi leur efficacité, et un e-mail apparemment anodin peut se révéler être le prélude à une attaque d’envergure.
Vers une cybersécurité en « confiance zéro »
Face à cette menace croissante, KnowBe4 recommande aux entreprises d’aligner leurs stratégies de sécurité de messagerie sur une approche de « confiance zéro ». Chaque message entrant doit être évalué de manière exhaustive, indépendamment de son expéditeur, de son domaine ou des résultats d’authentification.
Il est également crucial d’exploiter des informations sur les menaces en temps réel pour alerter spécifiquement les employés sur les modèles d’attaques actuels et les former à reconnaître les techniques d’« ingénierie sociale ». Seule une approche holistique peut garantir une protection fiable des entreprises, des données et des employés, à une époque où les cybercriminels transforment les systèmes légitimes en leurs armes les plus dangereuses.