Explosion des kits, industrialisation des attaques, contournement massif du MFA : l’analyse 2025 de Barracuda Networks met en lumière un basculement du phishing vers des modèles quasi industriels. Un constat que confirme le terrain, à travers les retours d’enquête et d’incident. « Le doublement, c’est le minimum », alerte Yaz Bekkar, architecte cybersécurité chez Barracuda, pour qui une partie significative des attaques reste encore hors champ de détection.
Des chiffres officiels… en deçà de la réalité
Selon Barracuda, le nombre de kits de phishing actifs a doublé en 2025. Une progression déjà spectaculaire, mais qui ne reflète pas entièrement la réalité opérationnelle. « Dans mon opinion, ça a été triplé », nuance Yaz Bekkar. En cause : des campagnes volontairement invisibles aux outils de sécurité traditionnels.
Certaines attaques exploitent des techniques de dissimulation avancées, comme le IP Yaz Bekkar, architecte cybersécurité chez Barracudacloaking. « Le lien ne s’ouvre pas pour le scanner de sécurité, mais il s’ouvre pour l’utilisateur », explique-t-il. Lors des investigations post-incident, ces campagnes non détectées apparaissent régulièrement comme l’origine des compromissions. « On découvre qu’il y a eu du phishing qui n’a pas été bloqué, et que ça a été la cause de tout le problème. »
L’IA, catalyseur de l’industrialisation du phishing
Cette montée en puissance s’explique en grande partie par l’automatisation. En 2025, 90 % des campagnes de phishing à fort volume reposent sur des modèles de Phishing-as-a-Service. Ces plateformes clés en main abaissent drastiquement la barrière d’entrée.
« Les attaques avancent, progressent et évoluent très rapidement, surtout en utilisant maintenant l’IA », observe Yaz Bekkar. Dans les écosystèmes clandestins, des modèles de langage massifs sont désormais conçus spécifiquement pour le phishing. « Je vois des LLM dédiés uniquement au phishing, avec des ressources immenses. »
Les contenus produits gagnent en crédibilité : fausses factures, messages RH ou notifications juridiques adoptent le ton exact des marques usurpées. Le rapport souligne également l’essor des QR codes malveillants, qui déplacent l’attaque vers les terminaux mobiles, souvent moins surveillés que les environnements bureautiques.
MFA contourné : une fausse ligne de confort
Près d’une attaque sur deux combine contournement du MFA, obfuscation d’URL ou abus de CAPTCHA. Sur le terrain, ce constat est devenu banal. « Nous constatons des milliers d’attaques de MFA bypass chaque semaine », souligne Yaz Bekkar.
Le MFA reste indispensable, mais il ne suffit plus face à des attaquants expérimentés. « Beaucoup pensent qu’avec un MFA ils sont bien sécurisés, mais malheureusement, ce n’est pas le cas ». Les kits les plus actifs en 2025 exploitent cette confiance excessive, en validant en temps réel les identifiants et jetons volés.
Cette sophistication s’accompagne d’une remise en question des dispositifs de détection. « Se baser uniquement sur son propre SIEM, c’est une faute aujourd’hui », avertit-il. Les règles doivent évoluer au même rythme que les attaques, sous peine de devenir obsolètes.
Une course sans ligne d’arrivée
L’IA n’est pas l’apanage des attaquants. Les mécanismes de défense intègrent eux aussi des approches comportementales capables d’analyser le trafic, les usages et les processus. Mais l’équilibre reste fragile. « C’est une histoire sans fin », résume Yaz Bekkar. « Ça va évoluer, et nous allons devoir évoluer aussi. La question, c’est : qui va évoluer le premier ? »
Dans les faits, le marché fonctionne encore trop souvent en réaction. « Il y a le dégât, puis la détection, puis les méthodes de protection », constate-t-il. Une temporalité qui laisse régulièrement l’attaque prendre l’avantage.
L’édition 2025 de l’analyse Barracuda ne décrit donc pas seulement une augmentation du phishing, mais une transformation structurelle de la menace : plus accessible, plus furtive et plus rapide. Un changement de paradigme qui met sous tension les modèles de sécurité existants et rappelle que, dans cette course, l’avance n’est jamais acquise.
