Le phishing s’industrialise et change de terrain. Tandis que les kits multi-marques structurent une véritable économie de services clandestins, de nouveaux vecteurs comme les QR codes déplacent l’attaque vers le mobile, là où les contrôles sont plus faibles. Deux signaux convergents qui interrogent la capacité des entreprises à protéger des parcours d’authentification devenus fragmentés.
Le phishing entre dans une logique industrielle
Le phishing n’est plus une succession d’attaques artisanales. Une étude récente de Flare montre que près de la moitié des campagnes analysées reposent désormais sur des kits préconfigurés capables d’usurper simultanément plusieurs marques. Ces « combo kits » transforment le phishing en une économie de services, avec des outils standardisés, une mise à l’échelle rapide et des modèles de monétisation optimisés.
Cette industrialisation abaisse fortement la barrière à l’entrée. Des acteurs peu expérimentés peuvent déployer en quelques heures des campagnes capables de contourner des protections avancées, y compris l’authentification multifacteur.
La MFA n’est plus une ligne de défense suffisante
Les plateformes de phishing-as-a-service s’appuient de plus en plus sur des techniques de type reverse-proxy ou adversary-in-the-middle, capables d’intercepter des sessions actives plutôt que de simples identifiants. Pour les équipes de sécurité la MFA reste nécessaire, mais elle ne peut plus être considérée comme un rempart absolu.
Le mobile devient le nouveau point faible
Cette logique industrielle trouve aujourd’hui un relais efficace sur le mobile. Zimperium alerte sur la progression rapide des attaques de phishing via QR codes, ou « quishing ». En un an, ces campagnes auraient augmenté d’environ 25 %, représentant jusqu’à un quart des attaques exploitant ce vecteur.
Le mécanisme est redoutablement simple. Le QR code incite l’utilisateur à quitter un environnement professionnel sécurisé pour scanner avec un smartphone personnel ou non géré. L’URL, encapsulée dans une image, échappe aux contrôles classiques, et redirige vers de faux portails imitant des services cloud, des VPN ou des plateformes collaboratives.
Un contournement assumé des contrôles de sécurité
Contrairement aux liens traditionnels, le quishing exploite l’absence de visibilité sur la destination finale et le caractère perçu comme « anodin » du scan. L’attaque ne se déclenche qu’au moment de l’action de l’utilisateur, souvent sur un terminal peu protégé. Ainsi, des identifiants compromis sur mobile sont rapidement réutilisés pour accéder à des services cloud ou lancer des attaques latérales.
Une surface d’attaque éclatée, des réponses encore cloisonnées
Pris ensemble, les signaux envoyés par Flare et Zimperium dessinent une même réalité. Le phishing exploite désormais la fragmentation des usages, entre postes de travail, cloud et terminaux mobiles. Or, les stratégies de défense restent souvent pensées par silos.
Détection comportementale, surveillance des écosystèmes clandestins et protection du terminal mobile deviennent des briques indissociables. Sans cette vision globale, les entreprises risquent de continuer à renforcer des périmètres… que les attaquants contournent déjà.
