La cybercriminalité a désormais un service client
En 2015, lancer une campagne de phishing exigeait des compétences techniques. Il fallait enregistrer un nom de domaine crédible, construire une page de collecte d’identifiants, configurer un serveur de messagerie, rédiger un leurre convaincant, et trouver comment recevoir et exploiter les identifiants volés — le tout en échappant aux filtres anti-spam et aux procédures de retrait. La barrière à l’entrée était considérable.
En 2026, il suffit d’ouvrir Telegram, de rechercher un fournisseur de Phishing-as-a-Service (PhaaS), de payer 50 à 200 $ en cryptomonnaie, et de recevoir une plateforme de phishing entièrement opérationnelle : des pages d’atterrissage pré-construites imitant Microsoft 365, Google Workspace ou des portails bancaires ; un reverse proxy adversary-in-the-middle (AiTM) qui intercepte les jetons MFA en temps réel ; une infrastructure d’envoi automatisé d’e-mails avec des modèles conçus pour contourner les filtres anti-spam ; un tableau de bord affichant les identifiants capturés, les jetons de session et l’activité des victimes ; et — dans certains cas — un support client par chat.
L’industrialisation du phishing est la tendance majeure de la cybercriminalité en 2026. Le phishing reste l’un des trois principaux vecteurs d’accès initial aux violations de données — le Verizon DBIR 2025 a constaté que le phishing était présent dans 16 % des violations, l’ingénierie sociale étant impliquée dans environ un quart de l’ensemble des incidents et l’élément humain intervenant dans 60 % des violations confirmées. La raison de cette persistance du phishing est simple : le PhaaS a réduit le coût et les compétences nécessaires pour lancer des attaques sophistiquées à un niveau proche de zéro.
Comment fonctionnent les plateformes PhaaS
Une plateforme PhaaS moderne est architecturalement similaire à une application SaaS légitime. Elle comprend les composants suivants :
Le reverse proxy (moteur AiTM)
L’innovation la plus dangereuse du phishing moderne est le reverse proxy adversary-in-the-middle (AiTM). Le phishing traditionnel capturait les noms d’utilisateur et les mots de passe — mais l’authentification multifacteur (MFA) a rendu les mots de passe volés seuls insuffisants. Le phishing AiTM résout ce problème en agissant comme un proxy transparent entre la victime et la véritable page de connexion.
Voici le déroulement :
- La victime clique sur un lien de phishing et arrive sur une page qui semble identique à (par exemple) la page de connexion Microsoft 365.
- La victime saisit son nom d’utilisateur et son mot de passe. La plateforme PhaaS transmet ces identifiants à la véritable page de connexion Microsoft 365 en temps réel.
- Microsoft 365 demande une vérification MFA. La demande est relayée à la victime, qui l’approuve (notification push, code SMS ou application d’authentification).
- Microsoft 365 émet un jeton de session. La plateforme PhaaS capture ce jeton et le transmet à l’attaquant.
- L’attaquant utilise le jeton de session capturé pour se connecter en tant que victime — sans avoir besoin du mot de passe ou du MFA à nouveau.
Cette technique contourne le MFA par SMS, les codes TOTP par application et même le MFA par notification push. La seule méthode MFA qui résiste de manière fiable au phishing AiTM est la clé de sécurité matérielle (FIDO2/WebAuthn), car l’authentification est liée au domaine légitime — un proxy de phishing sur un domaine différent ne peut pas intercepter le handshake cryptographique.
Modèles pré-construits
Les plateformes PhaaS fournissent des pages de phishing professionnellement conçues pour des centaines de cibles : Microsoft 365, Google Workspace, Okta, Salesforce, portails bancaires, réseaux sociaux, plateformes d’échange de cryptomonnaies et services gouvernementaux. Les modèles sont continuellement mis à jour pour correspondre aux dernières modifications de design des sites réels.
Certaines plateformes proposent des « brand kits » — des campagnes de phishing complètes pour des cibles spécifiques incluant des modèles d’e-mails, des pages d’atterrissage et des scripts post-compromission (redirection automatique des e-mails de la victime, création de règles de boîte de réception pour masquer les alertes de sécurité, exfiltration des carnets d’adresses pour un ciblage ultérieur).
Infrastructure de diffusion d’e-mails
Les plateformes PhaaS sophistiquées disposent de leur propre infrastructure de diffusion d’e-mails — ou s’intègrent à des comptes et domaines de messagerie légitimes compromis. L’utilisation de comptes légitimes compromis pour le phishing augmente considérablement la délivrabilité, car le domaine d’envoi dispose d’une réputation établie et passe les authentifications SPF/DKIM/DMARC.
Certaines plateformes se spécialisent dans la diffusion de « business email compromise » (BEC), utilisant des comptes de dirigeants compromis pour envoyer des e-mails de phishing aux employés au sein de la même organisation — le canal de communication le plus fiable et le moins filtré.
Le tableau de bord
Les attaquants interagissent avec leur plateforme PhaaS via un tableau de bord web offrant des analyses en temps réel : combien d’e-mails envoyés, combien ouverts, combien de victimes ont cliqué sur le lien, combien ont saisi des identifiants, lesquels incluent des jetons de session valides, et quels comptes ont été compromis avec succès. L’expérience est indiscernable d’une plateforme légitime d’automatisation marketing.
Les principales plateformes PhaaS de 2025-2026
EvilProxy — La plateforme PhaaS AiTM la plus en vue, proposant du phishing par reverse proxy contre Microsoft 365, Google, Apple, Facebook, GitHub et d’autres. La tarification est progressive : environ 150 $ pour 10 jours, 250 $ pour 20 jours, ou 400 $ pour un mois complet, les attaques contre les comptes Google coûtant davantage (250/450/600 $). EvilProxy reste activement opérationnel — Okta Threat Intelligence a identifié une campagne à haut volume exploitant EvilProxy depuis au moins mars 2025, ciblant des organisations dans la finance, le gouvernement, la santé et la technologie.
Greatness — Une plateforme PhaaS ciblant Microsoft 365 qui fournit des capacités de proxy AiTM, des adresses e-mail pré-remplies de la victime sur la page de phishing (augmentant la crédibilité) et la capture de jetons MFA. Abonnement d’environ 120 $/mois.
NakedPages — Une plateforme PhaaS proposant des kits de phishing avec des protections anti-bots (CAPTCHAs, empreinte numérique du navigateur) conçues pour empêcher les chercheurs en sécurité d’analyser l’infrastructure de phishing. NakedPages maintenait environ 220 serveurs actifs début 2025 et se classe régulièrement parmi les cinq kits AiTM les plus actifs.
Caffeine — Se distingue par son modèle d’inscription ouverte (aucune invitation ni vérification requise). Contrairement à de nombreux concurrents PhaaS, Caffeine pratique des tarifs premium : 250 $/mois pour un abonnement de base, soit environ 3 à 5 fois le coût des plateformes PhaaS plus basiques qui démarrent à 50-80 $/mois. Caffeine ciblait les plateformes russes et chinoises en plus des services occidentaux, suggérant une portée géographique plus large que la plupart des kits AiTM.
W3LL Panel — Découvert par Group-IB en 2023, W3LL exploitait une place de marché privée comptant au moins 500 clients acteurs de menaces, vendant des outils de phishing ayant servi à cibler plus de 56 000 comptes Microsoft 365 d’entreprise entre octobre 2022 et juillet 2023, compromettant avec succès au moins 8 000 d’entre eux. Les outils de W3LL incluaient des capacités AiTM et des workflows automatisés de compromission d’e-mails professionnels, générant environ 500 000 $ de profits illicites pour ses opérateurs.
Advertisement
La chaîne d’approvisionnement : les marchés du dark web
Les plateformes PhaaS s’inscrivent dans une chaîne d’approvisionnement cybercriminelle plus large qui opère via des marchés du dark web, des canaux Telegram et des forums fermés :
Les courtiers en accès initial (IABs) vendent l’accès à des organisations compromises — un identifiant VPN fonctionnel, une session de bureau à distance, un web shell sur un serveur d’entreprise. Les opérateurs PhaaS vendent les identifiants volés aux IABs, qui revendent l’accès à des groupes de ransomware, lesquels chiffrent les systèmes de la victime et exigent un paiement. Chaque acteur se spécialise dans une étape de la chaîne d’attaque.
Les places de marché d’identifiants (Russian Market, sites successeurs de Genesis Market) vendent des identifiants volés en masse — des combinaisons nom d’utilisateur/mot de passe collectées par des malwares voleurs d’informations (Redline, Raccoon, Vidar). Ces identifiants sont souvent utilisés pour alimenter des campagnes PhaaS (envoi d’e-mails de phishing depuis des comptes compromis) ou pour accéder directement aux comptes sans phishing.
Les hébergeurs bulletproof offrent une infrastructure (domaines, serveurs, adresses IP) qui ignore les demandes de retrait et les plaintes pour abus, fournissant l’infrastructure persistante dont les plateformes PhaaS ont besoin pour opérer.
L’équation économique est imparable. Un abonnement PhaaS coûte 50 à 400 $/mois. Une compromission d’e-mail professionnel réussie (redirection d’un seul virement bancaire) rapporte 50 000 à 500 000 $. Le retour sur investissement est extraordinaire, et le risque de poursuites judiciaires est faible — la plupart des opérateurs PhaaS se trouvent dans des juridictions (Russie, Corée du Nord, certaines régions d’Asie du Sud-Est) où la coopération judiciaire avec les pays occidentaux est minimale.
Evolution défensive : au-delà de l’anti-phishing traditionnel
Les défenses anti-phishing traditionnelles — filtres anti-spam, bases de données de réputation d’URL, formation des utilisateurs — restent nécessaires mais sont de plus en plus insuffisantes contre les attaques alimentées par le PhaaS.
FIDO2/WebAuthn (Passkeys) : La défense la plus robuste contre le phishing AiTM. Les clés de sécurité matérielles (YubiKey) ou les authentificateurs de plateforme (Face ID, Windows Hello) effectuent une authentification liée au domaine qui ne peut pas être interceptée par un reverse proxy. Google a signalé zéro attaque de phishing réussie contre ses plus de 85 000 employés après avoir imposé les clés de sécurité matérielles début 2017 — un résultat qui s’est maintenu pendant plus d’un an, comme rapporté par Krebs on Security mi-2018. Microsoft, Apple et Google poussent désormais les passkeys comme méthode d’authentification par défaut.
Politiques d’accès conditionnel : Même si des identifiants et des jetons de session sont volés, les politiques d’accès conditionnel peuvent limiter les dégâts en restreignant l’accès en fonction de la conformité de l’appareil, de la localisation géographique, du score de risque et d’autres signaux. Un jeton de session capturé par un proxy PhaaS proviendra de l’appareil et de l’adresse IP de l’attaquant — les politiques d’accès conditionnel peuvent détecter et bloquer cette situation.
Détection du vol de jetons : Microsoft Entra ID et d’autres fournisseurs d’identité ajoutent des capacités de détection du vol de jetons — identifiant quand un jeton de session est utilisé depuis un appareil ou un emplacement différent de celui où il a été initialement émis.
Filtrage d’e-mails par IA : Les plateformes de sécurité de messagerie de nouvelle génération (Abnormal Security, Proofpoint, Mimecast) utilisent l’IA pour analyser le contenu des e-mails, le comportement des expéditeurs et les schémas de communication afin de détecter le phishing — y compris les attaques BEC qui ne contiennent ni lien ni pièce jointe malveillants.
Mandats de MFA résistant au phishing : Les recommandations de CISA préconisent désormais explicitement un « MFA résistant au phishing » (FIDO2/WebAuthn) plutôt qu’un MFA générique. La distinction est importante car le MFA par notification push et les codes TOTP sont vulnérables aux attaques AiTM.
L’amplificateur IA
L’IA générative renforce le phishing de plusieurs manières :
Un langage parfait : Les e-mails de phishing contenant des erreurs grammaticales et des formulations maladroites étaient faciles à repérer. Les e-mails de phishing générés par IA sont grammaticalement parfaits, contextuellement appropriés et stylistiquement adaptés à l’organisation usurpée.
La personnalisation à grande échelle : L’IA peut analyser le profil LinkedIn d’une cible, ses publications récentes et ses informations publiques pour rédiger des e-mails de spear-phishing hautement personnalisés — « Bonjour Sarah, félicitations pour le call sur les résultats du T3 la semaine dernière. Je souhaitais revenir sur la discussion avec le fournisseur que nous avions eue lors de la réunion du conseil… » Ce niveau de personnalisation nécessitait auparavant une recherche manuelle pour chaque cible.
Clonage vocal et deepfakes : Le clonage vocal par IA rend le « vishing » (phishing vocal) possible à grande échelle. Les attaquants clonent la voix d’un PDG à partir d’enregistrements publics et appellent le directeur financier pour demander un virement urgent. Début 2024, un employé financier du cabinet d’ingénierie britannique Arup, basé à Hong Kong, a transféré environ 25,6 millions de dollars (200 millions HKD) en 15 transactions après un appel vidéo avec ce qui semblait être le directeur financier de l’entreprise et plusieurs collègues — tous étaient des deepfakes générés par IA à partir d’enregistrements publics.
Optimisation automatisée des campagnes : L’IA peut réaliser des tests A/B sur l’efficacité des leurres de phishing, optimiser les heures d’envoi et adapter les campagnes en temps réel en fonction des métriques d’engagement — appliquant la même optimisation data-driven que les spécialistes du marketing légitime.
Advertisement
Radar Décisionnel (Prisme Algérie)
| Dimension | Evaluation |
|---|---|
| Pertinence pour l’Algérie | Très élevée — Les organisations algériennes sont des cibles de campagnes de phishing ; la faible sensibilisation à la cybersécurité parmi les utilisateurs généraux rend la population particulièrement vulnérable ; les services bancaires et gouvernementaux sont des cibles courantes de phishing |
| Infrastructure prête ? | Partielle — La plupart des systèmes de messagerie algériens disposent d’un filtrage anti-spam basique ; peu d’organisations ont déployé un MFA résistant au phishing ou des plateformes avancées de sécurité de messagerie |
| Compétences disponibles ? | Modérées — La formation à la sensibilisation en sécurité est disponible mais appliquée de manière incohérente ; les compétences techniques pour déployer et gérer des politiques FIDO2/accès conditionnel sont limitées |
| Calendrier d’action | Immédiat — Le MFA résistant au phishing (FIDO2) devrait être déployé pour les comptes privilégiés dès maintenant ; les programmes de sensibilisation à la sécurité à l’échelle de l’organisation devraient être continus |
| Parties prenantes clés | Banques algériennes (CPA, BNA, BEA), services numériques gouvernementaux, opérateurs télécoms, départements informatiques universitaires, CERT.dz |
| Type de décision | Opérationnel-Urgent — Le phishing est un vecteur d’attaque majeur au niveau mondial et les solutions sont bien comprises ; l’écart se situe au niveau de la mise en oeuvre |
En bref : Pour les organisations algériennes, la défense la plus efficace contre les attaques alimentées par le PhaaS est le déploiement de clés de sécurité FIDO2 (YubiKey ou similaire) pour tous les comptes privilégiés — administrateurs, cadres dirigeants et personnels financiers autorisant les paiements. À 25-50 $ par clé, c’est l’investissement en sécurité offrant le meilleur retour sur investissement. Pour une défense organisationnelle plus large, les politiques d’accès conditionnel de Microsoft 365 (disponibles avec les licences Business Premium ou E3/E5) peuvent imposer la conformité des appareils et des restrictions géographiques qui réduisent significativement l’efficacité des jetons de session volés. La formation à la sensibilisation en sécurité reste importante — mais la formation seule ne peut pas arrêter le phishing AiTM ; les contrôles techniques sont essentiels. Les banques algériennes devraient prioriser l’authentification résistante au phishing pour les portails bancaires en ligne, car le vol d’identifiants bancaires est un objectif principal des campagnes de phishing ciblant la région.
Sources
- Verizon — 2025 Data Breach Investigations Report
- Microsoft — Analyse des attaques de phishing AiTM
- Group-IB — L’empire de phishing W3LL
- CISA — Guide MFA résistant au phishing
- Krebs on Security — Google : les clés de sécurité ont neutralisé le phishing des employés
- Okta — Analyse de la campagne de phishing EvilProxy
- CNN — Arnaque par deepfake Arup à Hong Kong
- Proofpoint — State of the Phish 2025
- Abnormal Security — Email Threat Report
- FIDO Alliance — Passkeys
Advertisement