Des cybercriminels exploitent désormais des plateformes SaaS légitimes pour diffuser des emails frauduleux parfaitement authentifiés, contournant ainsi les filtres traditionnels. Une évolution qui complique la détection et renforce le recours au téléphone comme levier d’ingénierie sociale, analyse Adrien Merveille, SE Manager France et Directeur Technique France chez Check Point Software Technologies.
L’exploitation de plateformes SaaS légitimes pour diffuser des messages frauduleux marque une évolution significative des campagnes de phishing. Plus de 133 000 emails authentifiés ont ainsi été envoyés à plus de 20 000 organisations dans le monde. La particularité de l’opération, c’est qu’à la place de liens ou pièces jointes malveillantes, des notifications apparemment légitimes incitent les victimes à appeler un numéro de téléphone.
Pour Adrien Merveille, SE Manager France et Directeur Technique France chez CheckPoint, l’enjeu n’est pas tant l’invention d’une nouvelle technique que le détournement habile de mécanismes existants. « Le phishing, c’est une technique qui permet de piéger une victime en se faisant passer pour quelqu’un d’autre. On va recevoir un mail pour nous demander de cliquer sur un lien, en se faisant passer pour une entreprise avec qui on est déjà client. » Dans cette campagne, la mécanique est plus subtile.
Des messages parfaitement authentifiés
Traditionnellement, les systèmes de sécurité s’appuient sur les mécanismes d’authentification de messagerie pour identifier les tentatives d’usurpation. « Quand Amazon envoie des mails, ils signent électroniquement le mail pour dire : c’est vraiment Amazon. En général, c’est une protection qui fait en sorte que seulement eux puissent envoyer ce mail. »
Dans le cas présent, les attaquants exploitent directement les flux de travail de plateformes SaaS légitimes. Les messages sont générés par les services eux-mêmes, après injection de contenu malveillant dans des formulaires. C’est ainsi que les emails sont correctement signés, validés et délivrés sans alerte.
« Le fait d’utiliser des plateformes SaaS légitimes pour envoyer des mails légitimes, vous n’avez déjà pas ce signal qui va vous mettre sur la voie. » Les filtres basés uniquement sur l’authentification ou la réputation d’expéditeur deviennent alors inefficaces.
Le téléphone, nouveau levier d’ingénierie sociale
Une autre caractéristique centrale de cette campagne réside en l’absence de lien ou de pièce jointe. Les victimes sont invitées à appeler un numéro de téléphone. Cette bascule vers le vishing complique encore la détection, comme le souligne Adrien Merveille : « Vous avez très peu de solutions aujourd’hui qui filtrent les appels. Vous en avez basées sur la réputation, mais c’est très simple de prendre une carte SIM qui n’a pas mauvaise réputation et de passer des appels. » Au-delà de la dimension technique, le téléphone permet surtout une interaction directe.
« Quand vous arrivez à avoir quelqu’un au téléphone, vous pouvez jouer sur la corde de l’empathie, vous pouvez jouer sur la corde de l’urgence. Dans un email, ça marche très peu. Ça marche beaucoup mieux lorsque vous avez quelqu’un au téléphone. » L’attaquant adapte son discours en temps réel, rassure, met sous pression et guide la victime jusqu’à l’obtention d’un code d’authentification ou d’informations sensibles. Selon l’expert, cette dimension émotionnelle reste déterminante.
Des secteurs structurellement exposés
Les données de l’étude confirment une pression persistante sur certains secteurs. En Europe, le secteur de l’éducation demeure le plus touché, avec 4 120 attaques hebdomadaires en moyenne par organisation (+19 % sur un an). Les télécommunications (2 243, +28 %) et le gouvernement (2 208, +20 %) figurent également parmi les plus exposés.
À l’échelle mondiale, certaines zones enregistrent des volumes particulièrement élevés. En EMEA, le Nigeria atteint 4 701 attaques hebdomadaires par organisation (+12 %). En Europe, l’Irlande affiche une hausse de 68 %, le Royaume-Uni +49 %, la Grèce +62 %. La France se situe à 1 234 attaques hebdomadaires en moyenne par organisation (+9 %).
Ces statistiques s’appuient sur la télémétrie agrégée des solutions de protection déployées chez les clients. Chaque détection alimente une base commune permettant d’établir des tendances sectorielles et géographiques.
Une détection qui doit aller au-delà de la signature
Face à des emails techniquement valides, la défense ne peut plus se limiter à l’authentification. « Il existe des solutions aujourd’hui qui vont bien au-delà de juste regarder la signature et qui vont analyser le contenu du mail pour essayer de détecter des choses spécifiques au phishing. »
L’analyse sémantique et comportementale joue un rôle croissant. L’intelligence artificielle, intégrée depuis longtemps dans les moteurs de détection, permet notamment d’identifier des similarités entre campagnes. « L’IA dans les mécanismes de protection est présente depuis très longtemps, notamment pour trouver des similitudes entre deux attaques différentes. » Mais la technologie ne suffit pas.
Le facteur humain, toujours central
Pour Adrien Merveille, la sensibilisation demeure incontournable. « Une défense qui est incontournable, c’est faire en sorte que les gens soient au courant, qu’ils se questionnent : est-ce qu’il n’y a pas un piège dedans ? » Même si des outils peuvent signaler une anomalie, l’utilisateur reste la dernière ligne de défense. « Un utilisateur devrait être capable de voir ça. Ça ne veut pas dire qu’on n’a pas le droit de se tromper. » La formation doit s’accompagner de tests réguliers et d’indicateurs permettant d’identifier les profils les plus exposés. « On peut aller loin dans la formation, mais il faut quand même que la société mette en place des mécanismes. »
Une hybridation des techniques
Cette campagne illustre une tendance persistante ; la combinaison de mécanismes techniques légitimes et d’ingénierie sociale vocale. L’authentification valide ne garantit plus l’absence de fraude. Le filtrage des emails ne suffit plus lorsque l’interaction se poursuit par téléphone. Adrien Merveille pointe du doigt c’est autre constatation : « Les attaquants aussi évoluent. » Car en effet, la sophistication ne repose plus uniquement sur l’évasion technique, mais sur l’exploitation coordonnée de la confiance, de la légitimité des plateformes et de la pression psychologique.
Pour les entreprises, la réponse devra être multi-couches : analyse avancée des contenus, sécurisation des workflows SaaS, et renforcement continu de la sensibilisation. Dans un contexte d’augmentation persistante des attaques hebdomadaires par organisation, la vigilance ne peut plus se limiter à la simple vérification de l’expéditeur.
