L'économie du phishing-as-a-service : comment 50 $ suffisent pour lancer une cyberattaque

Publié le décembre 21, 2025 · Dernière mise à jour mars 14, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Les plateformes de Phishing-as-a-Service vendent désormais des kits d'attaque opérationnels pour 50-400 $/mois sur Telegram, avec des proxys adversary-in-the-middle contournant la MFA en temps réel, des modèles de marques pré-construits et un support client. Le marketplace W3LL a compromis à lui seul 8 000 comptes Microsoft 365, et le phishing généré par IA est désormais grammaticalement parfait et hautement personnalisé. Seules les clés de sécurité FIDO2/WebAuthn résistent de manière fiable.

En résumé : Déployez des clés de sécurité matérielles FIDO2 pour tous les comptes privilégiés immédiatement — la MFA traditionnelle ne bloque plus les attaques de phishing modernes.

Lire l’analyse complète ↓

🧭 Radar de Décision (Perspective Algérie)

Pertinence pour l’AlgérieTrès élevée

Les organisations algériennes sont des cibles de campagnes de phishing ; la faible sensibilisation à la cybersécurité parmi les utilisateurs généraux rend la population particulièrement vulnérable ; les services bancaires et gouvernementaux sont des cibles courantes de phishing

Infrastructure prête ?Partielle

La plupart des systèmes de messagerie algériens disposent d’un filtrage anti-spam basique ; peu d’organisations ont déployé un MFA résistant au phishing ou des plateformes avancées de sécurité de messagerie

Compétences disponibles ?Modérées

La formation à la sensibilisation en sécurité est disponible mais appliquée de manière incohérente ; les compétences techniques pour déployer et gérer des politiques FIDO2/accès conditionnel sont limitées

Calendrier d’actionImmédiat

Le MFA résistant au phishing (FIDO2) devrait être déployé pour les comptes privilégiés dès maintenant ; les programmes de sensibilisation à la sécurité à l’échelle de l’organisation devraient être continus

Parties prenantes clésBanques algériennes (CPA, BNA, BEA), services numériques gouvernementaux, opérateurs télécoms, départements informatiques universitaires, CERT.dz

Type de décisionOpérationnel-Urgent

Le phishing est un vecteur d’attaque majeur au niveau mondial et les solutions sont bien comprises ; l’écart se situe au niveau de la mise en oeuvre

En bref : Le cadre national de cybersécurité 2025-2029 de l’Algérie doit intégrer la menace du PhaaS dans sa stratégie de sensibilisation, car les entreprises algériennes — en particulier les PME sans équipe sécurité dédiée — sont des cibles faciles pour des campagnes de hameçonnage sophistiquées désormais accessibles à 50 dollars. La formation des 500 000 spécialistes TIC prévue par le SNTN-2030 devrait inclure un volet obligatoire sur la détection du phishing et la réponse aux incidents.

La cybercriminalité a désormais un service client

En 2015, lancer une campagne de phishing exigeait des compétences techniques. Il fallait enregistrer un nom de domaine crédible, construire une page de collecte d’identifiants, configurer un serveur de messagerie, rédiger un leurre convaincant, et trouver comment recevoir et exploiter les identifiants volés — le tout en échappant aux filtres anti-spam et aux procédures de retrait. La barrière à l’entrée était considérable.

En 2026, il suffit d’ouvrir Telegram, de rechercher un fournisseur de Phishing-as-a-Service (PhaaS), de payer 50 à 200 $ en cryptomonnaie, et de recevoir une plateforme de phishing entièrement opérationnelle : des pages d’atterrissage pré-construites imitant Microsoft 365, Google Workspace ou des portails bancaires ; un reverse proxy adversary-in-the-middle (AiTM) qui intercepte les jetons MFA en temps réel ; une infrastructure d’envoi automatisé d’e-mails avec des modèles conçus pour contourner les filtres anti-spam ; un tableau de bord affichant les identifiants capturés, les jetons de session et l’activité des victimes ; et — dans certains cas — un support client par chat.

L’industrialisation du phishing est la tendance majeure de la cybercriminalité en 2026. Le phishing reste l’un des trois principaux vecteurs d’accès initial aux violations de données — le Verizon DBIR 2025 a constaté que le phishing était présent dans 16 % des violations, l’ingénierie sociale étant impliquée dans environ un quart de l’ensemble des incidents et l’élément humain intervenant dans 60 % des violations confirmées. La raison de cette persistance du phishing est simple : le PhaaS a réduit le coût et les compétences nécessaires pour lancer des attaques sophistiquées à un niveau proche de zéro.

Comment fonctionnent les plateformes PhaaS

Une plateforme PhaaS moderne est architecturalement similaire à une application SaaS légitime. Elle comprend les composants suivants :

Le reverse proxy (moteur AiTM)

L’innovation la plus dangereuse du phishing moderne est le reverse proxy adversary-in-the-middle (AiTM). Le phishing traditionnel capturait les noms d’utilisateur et les mots de passe — mais l’authentification multifacteur (MFA) a rendu les mots de passe volés seuls insuffisants. Le phishing AiTM résout ce problème en agissant comme un proxy transparent entre la victime et la véritable page de connexion.

Voici le déroulement :

La victime clique sur un lien de phishing et arrive sur une page qui semble identique à (par exemple) la page de connexion Microsoft 365.
La victime saisit son nom d’utilisateur et son mot de passe. La plateforme PhaaS transmet ces identifiants à la véritable page de connexion Microsoft 365 en temps réel.
Microsoft 365 demande une vérification MFA. La demande est relayée à la victime, qui l’approuve (notification push, code SMS ou application d’authentification).
Microsoft 365 émet un jeton de session. La plateforme PhaaS capture ce jeton et le transmet à l’attaquant.
L’attaquant utilise le jeton de session capturé pour se connecter en tant que victime — sans avoir besoin du mot de passe ou du MFA à nouveau.

Cette technique contourne le MFA par SMS, les codes TOTP par application et même le MFA par notification push. La seule méthode MFA qui résiste de manière fiable au phishing AiTM est la clé de sécurité matérielle (FIDO2/WebAuthn), car l’authentification est liée au domaine légitime — un proxy de phishing sur un domaine différent ne peut pas intercepter le handshake cryptographique.

Modèles pré-construits

Les plateformes PhaaS fournissent des pages de phishing professionnellement conçues pour des centaines de cibles : Microsoft 365, Google Workspace, Okta, Salesforce, portails bancaires, réseaux sociaux, plateformes d’échange de cryptomonnaies et services gouvernementaux. Les modèles sont continuellement mis à jour pour correspondre aux dernières modifications de design des sites réels.

Certaines plateformes proposent des « brand kits » — des campagnes de phishing complètes pour des cibles spécifiques incluant des modèles d’e-mails, des pages d’atterrissage et des scripts post-compromission (redirection automatique des e-mails de la victime, création de règles de boîte de réception pour masquer les alertes de sécurité, exfiltration des carnets d’adresses pour un ciblage ultérieur).

Infrastructure de diffusion d’e-mails

Les plateformes PhaaS sophistiquées disposent de leur propre infrastructure de diffusion d’e-mails — ou s’intègrent à des comptes et domaines de messagerie légitimes compromis. L’utilisation de comptes légitimes compromis pour le phishing augmente considérablement la délivrabilité, car le domaine d’envoi dispose d’une réputation établie et passe les authentifications SPF/DKIM/DMARC.

Certaines plateformes se spécialisent dans la diffusion de « business email compromise » (BEC), utilisant des comptes de dirigeants compromis pour envoyer des e-mails de phishing aux employés au sein de la même organisation — le canal de communication le plus fiable et le moins filtré.

Le tableau de bord

Les attaquants interagissent avec leur plateforme PhaaS via un tableau de bord web offrant des analyses en temps réel : combien d’e-mails envoyés, combien ouverts, combien de victimes ont cliqué sur le lien, combien ont saisi des identifiants, lesquels incluent des jetons de session valides, et quels comptes ont été compromis avec succès. L’expérience est indiscernable d’une plateforme légitime d’automatisation marketing.

Les principales plateformes PhaaS de 2025-2026

EvilProxy — La plateforme PhaaS AiTM la plus en vue, proposant du phishing par reverse proxy contre Microsoft 365, Google, Apple, Facebook, GitHub et d’autres. La tarification est progressive : environ 150 $ pour 10 jours, 250 $ pour 20 jours, ou 400 $ pour un mois complet, les attaques contre les comptes Google coûtant davantage (250/450/600 $). EvilProxy reste activement opérationnel — Okta Threat Intelligence a identifié une campagne à haut volume exploitant EvilProxy depuis au moins mars 2025, ciblant des organisations dans la finance, le gouvernement, la santé et la technologie.

Greatness — Une plateforme PhaaS ciblant Microsoft 365 qui fournit des capacités de proxy AiTM, des adresses e-mail pré-remplies de la victime sur la page de phishing (augmentant la crédibilité) et la capture de jetons MFA. Abonnement d’environ 120 $/mois.

NakedPages — Une plateforme PhaaS proposant des kits de phishing avec des protections anti-bots (CAPTCHAs, empreinte numérique du navigateur) conçues pour empêcher les chercheurs en sécurité d’analyser l’infrastructure de phishing. NakedPages maintenait environ 220 serveurs actifs début 2025 et se classe régulièrement parmi les cinq kits AiTM les plus actifs.

Caffeine — Se distingue par son modèle d’inscription ouverte (aucune invitation ni vérification requise). Contrairement à de nombreux concurrents PhaaS, Caffeine pratique des tarifs premium : 250 $/mois pour un abonnement de base, soit environ 3 à 5 fois le coût des plateformes PhaaS plus basiques qui démarrent à 50-80 $/mois. Caffeine ciblait les plateformes russes et chinoises en plus des services occidentaux, suggérant une portée géographique plus large que la plupart des kits AiTM.

W3LL Panel — Découvert par Group-IB en 2023, W3LL exploitait une place de marché privée comptant au moins 500 clients acteurs de menaces, vendant des outils de phishing ayant servi à cibler plus de 56 000 comptes Microsoft 365 d’entreprise entre octobre 2022 et juillet 2023, compromettant avec succès au moins 8 000 d’entre eux. Les outils de W3LL incluaient des capacités AiTM et des workflows automatisés de compromission d’e-mails professionnels, générant environ 500 000 $ de profits illicites pour ses opérateurs.

La chaîne d’approvisionnement : les marchés du dark web

Les plateformes PhaaS s’inscrivent dans une chaîne d’approvisionnement cybercriminelle plus large qui opère via des marchés du dark web, des canaux Telegram et des forums fermés :

Les courtiers en accès initial (IABs) vendent l’accès à des organisations compromises — un identifiant VPN fonctionnel, une session de bureau à distance, un web shell sur un serveur d’entreprise. Les opérateurs PhaaS vendent les identifiants volés aux IABs, qui revendent l’accès à des groupes de ransomware, lesquels chiffrent les systèmes de la victime et exigent un paiement. Chaque acteur se spécialise dans une étape de la chaîne d’attaque.

Les places de marché d’identifiants (Russian Market, sites successeurs de Genesis Market) vendent des identifiants volés en masse — des combinaisons nom d’utilisateur/mot de passe collectées par des malwares voleurs d’informations (Redline, Raccoon, Vidar). Ces identifiants sont souvent utilisés pour alimenter des campagnes PhaaS (envoi d’e-mails de phishing depuis des comptes compromis) ou pour accéder directement aux comptes sans phishing.

Les hébergeurs bulletproof offrent une infrastructure (domaines, serveurs, adresses IP) qui ignore les demandes de retrait et les plaintes pour abus, fournissant l’infrastructure persistante dont les plateformes PhaaS ont besoin pour opérer.

L’équation économique est imparable. Un abonnement PhaaS coûte 50 à 400 $/mois. Une compromission d’e-mail professionnel réussie (redirection d’un seul virement bancaire) rapporte 50 000 à 500 000 $. Le retour sur investissement est extraordinaire, et le risque de poursuites judiciaires est faible — la plupart des opérateurs PhaaS se trouvent dans des juridictions (Russie, Corée du Nord, certaines régions d’Asie du Sud-Est) où la coopération judiciaire avec les pays occidentaux est minimale.

Evolution défensive : au-delà de l’anti-phishing traditionnel

Les défenses anti-phishing traditionnelles — filtres anti-spam, bases de données de réputation d’URL, formation des utilisateurs — restent nécessaires mais sont de plus en plus insuffisantes contre les attaques alimentées par le PhaaS.

FIDO2/WebAuthn (Passkeys) : La défense la plus robuste contre le phishing AiTM. Les clés de sécurité matérielles (YubiKey) ou les authentificateurs de plateforme (Face ID, Windows Hello) effectuent une authentification liée au domaine qui ne peut pas être interceptée par un reverse proxy. Google a signalé zéro attaque de phishing réussie contre ses plus de 85 000 employés après avoir imposé les clés de sécurité matérielles début 2017 — un résultat qui s’est maintenu pendant plus d’un an, comme rapporté par Krebs on Security mi-2018. Microsoft, Apple et Google poussent désormais les passkeys comme méthode d’authentification par défaut.

Politiques d’accès conditionnel : Même si des identifiants et des jetons de session sont volés, les politiques d’accès conditionnel peuvent limiter les dégâts en restreignant l’accès en fonction de la conformité de l’appareil, de la localisation géographique, du score de risque et d’autres signaux. Un jeton de session capturé par un proxy PhaaS proviendra de l’appareil et de l’adresse IP de l’attaquant — les politiques d’accès conditionnel peuvent détecter et bloquer cette situation.

Détection du vol de jetons : Microsoft Entra ID et d’autres fournisseurs d’identité ajoutent des capacités de détection du vol de jetons — identifiant quand un jeton de session est utilisé depuis un appareil ou un emplacement différent de celui où il a été initialement émis.

Filtrage d’e-mails par IA : Les plateformes de sécurité de messagerie de nouvelle génération (Abnormal Security, Proofpoint, Mimecast) utilisent l’IA pour analyser le contenu des e-mails, le comportement des expéditeurs et les schémas de communication afin de détecter le phishing — y compris les attaques BEC qui ne contiennent ni lien ni pièce jointe malveillants.

Mandats de MFA résistant au phishing : Les recommandations de CISA préconisent désormais explicitement un « MFA résistant au phishing » (FIDO2/WebAuthn) plutôt qu’un MFA générique. La distinction est importante car le MFA par notification push et les codes TOTP sont vulnérables aux attaques AiTM.

L’amplificateur IA

L’IA générative renforce le phishing de plusieurs manières :

Un langage parfait : Les e-mails de phishing contenant des erreurs grammaticales et des formulations maladroites étaient faciles à repérer. Les e-mails de phishing générés par IA sont grammaticalement parfaits, contextuellement appropriés et stylistiquement adaptés à l’organisation usurpée.

La personnalisation à grande échelle : L’IA peut analyser le profil LinkedIn d’une cible, ses publications récentes et ses informations publiques pour rédiger des e-mails de spear-phishing hautement personnalisés — « Bonjour Sarah, félicitations pour le call sur les résultats du T3 la semaine dernière. Je souhaitais revenir sur la discussion avec le fournisseur que nous avions eue lors de la réunion du conseil… » Ce niveau de personnalisation nécessitait auparavant une recherche manuelle pour chaque cible.

Clonage vocal et deepfakes : Le clonage vocal par IA rend le « vishing » (phishing vocal) possible à grande échelle. Les attaquants clonent la voix d’un PDG à partir d’enregistrements publics et appellent le directeur financier pour demander un virement urgent. Début 2024, un employé financier du cabinet d’ingénierie britannique Arup, basé à Hong Kong, a transféré environ 25,6 millions de dollars (200 millions HKD) en 15 transactions après un appel vidéo avec ce qui semblait être le directeur financier de l’entreprise et plusieurs collègues — tous étaient des deepfakes générés par IA à partir d’enregistrements publics.

Optimisation automatisée des campagnes : L’IA peut réaliser des tests A/B sur l’efficacité des leurres de phishing, optimiser les heures d’envoi et adapter les campagnes en temps réel en fonction des métriques d’engagement — appliquant la même optimisation data-driven que les spécialistes du marketing légitime.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Qu’est-ce que the phishing-as-a-service economy ?

Cet article couvre les aspects essentiels de ce sujet, en examinant les tendances actuelles, les acteurs clés et les implications pratiques pour les professionnels et les organisations en 2026.

Pourquoi the phishing-as-a-service economy est-il important ?

Ce sujet est important car il a un impact direct sur la façon dont les organisations planifient leur stratégie technologique, allouent leurs ressources et se positionnent dans un paysage en évolution rapide.

Quels sont les points clés à retenir de cet article ?

L’article analyse les mécanismes clés, les cadres de référence et les exemples concrets qui permettent de comprendre le fonctionnement de ce domaine, en s’appuyant sur des données actuelles et des études de cas.