Hameçonnage en 2025 : les défenses de vos clients sont-elles prêtes pour la prochaine vague ?

Les attaques par hameçonnage restent l’une des menaces les plus répandues et les plus préjudiciables en matière de cybersécurité. En incitant les individus à révéler des informations sensibles, telles que les identifiants de messagerie, ces attaques n’entraînent pas seulement des pertes financières directes, mais ouvrent également la voie à des cybercrimes plus sophistiqués.

Rien qu’en 2023, l’Internet Crime Complaint Center (IC3) des États-Unis a reçu 880 418 plaintes du public américain, avec des pertes potentielles dépassant les 12,5 milliards de dollars. Parallèlement, les leaders mondiaux de la cybersécurité comme Barracuda ont observé une augmentation inquiétante des activités d’hameçonnage, avec des tactiques de plus en plus avancées qui rendent ces attaques plus difficiles à détecter et plus dévastatrices pour les victimes.

Par exemple, plus tôt cette année, Barracuda a remarqué l’évolution de Tycoon 2FA, un kit d’hameçonnage en tant que service (PhaaS) utilisé pour créer des attaques très efficaces. Tycoon 2FA peut non seulement contrecarrer l’authentification multifactorielle (MFA), mais aussi exploiter des comptes de messagerie légitimes, un code source obstructif et la capacité de détecter et de bloquer les scripts de sécurité automatisés.

Les tendances en matière d’hameçonnage que vous devez connaître

En 2025, il existe cinq principales tendances en matière d’hameçonnage dont les MSP doivent être conscients et auxquelles ils doivent se préparer.

Les kits d’hameçonnage en tant que service (PhaaS) deviendront plus courants, comme celui décrit ci-dessus. Selon les données de Barracuda, 30 % des attaques visant les identifiants en 2024 ont utilisé le PhaaS. Un chiffre qui pourrait atteindre 50 % en 2025. De plus, ces outils évoluent pour voler les codes MFA.

Les attaques d’extorsion ciblées vont se multiplier. Ces attaques ciblées comprendront des appels émotionnels plus personnalisés basés sur une analyse des réseaux sociaux et de l’historique de communication du destinataire, avec une augmentation des attaques d’extorsion/sextorsion et une demande de paiements plus importants. Ces attaques utiliseront également de plus en plus les informations des réseaux sociaux publics, y compris Google Street View et les photos personnelles partagées sur diverses plateformes vulnérables. Il sera alors plus facile de les faire évoluer et de les personnaliser avec l’aide de l’IA générative.

Les attaques seront plus difficiles à détecter et à arrêter. Les MSP peuvent s’attendre à une mise en œuvre plus large de techniques de contournement telles que les codes QR basés sur ASCII, les URI Blob et le déplacement du contenu d’hameçonnage du corps de l’e-mail vers une pièce jointe. Les codes QR et l’hameçonnage par messagerie vocale représentent déjà 20 % des hameçonnages détectés, et ces tactiques augmenteront à mesure que les criminels obtiendront des résultats. En outre, les pirates intègrent des contenus d’hameçonnage dans des pièces jointes HTML ou PDF, ce qui laisse le corps de l’e-mail vide ou avec très peu de texte susceptible de déclencher une alerte de sécurité par le biais d’une analyse d’apprentissage automatique.

Les pirates exploiteront les plateformes de création de contenu et de publication numérique. Selon Barracuda, environ 10 % des attaques par hameçonnage détectées en 2024 étaient hébergées sur des sites CCP (plateforme de création de contenu) ou DDP (publication de documents numériques). Les pirates ont également utilisé ces plateformes pour créer de fausses plateformes de partage de fichiers d’apparence légitime. Cette tendance se poursuivra en 2025, car les pirates utiliseront ces outils pour réduire le coût et la complexité de la création de pages d’hameçonnage.

L’IA sera utilisée pour améliorer la réussite des attaques par hameçonnage. Une étude menée par la Harvard Business Review en 2024 a révélé que 60 % des participants avaient été victimes d’attaques par hameçonnage automatisées par l’IA. L’IA peut rendre ces attaques beaucoup plus difficiles à détecter en améliorant la qualité du texte du message malveillant. Grâce à l’IA, les pirates peuvent créer des messages avec un contenu personnalisé, une grammaire précise et des appels aux émotions d’apparence humaine basés sur une analyse des réseaux sociaux et de l’historique de communication du destinataire. L’IA peut également générer des deepfakes (images, messages vocaux ou textuels) pour tromper les victimes. L’année dernière, le FBI a émis un avertissement concernant les attaques basées sur l’IA, et la Harvard Business Review a rapporté que l’hameçonnage basé sur l’IA parvenait à tromper les victimes dans 60 % des cas, tout en réduisant le coût des attaques de 95 %.

La protection contre l’hameçonnage doit évoluer

Parce que l’hameçonnage reste un moyen relativement peu coûteux, rapide, facile et nécessitant peu de qualifications de compromettre les utilisateurs et les réseaux avec un degré élevé de réussite, les MSP et leurs clients doivent être prêts à faire face à ces tendances émergentes.

Les attaques par hameçonnage deviennent plus variées, opportunistes et sophistiquées. Il est essentiel de disposer de stratégies de défense agiles, innovantes et à plusieurs niveaux, et de favoriser une solide culture de sécurité pour garder une longueur d’avance sur cette menace en constante évolution.

Ces solutions doivent inclure l’authentification multifacteur, des protocoles d’authentification d’e-mails avancés tels que DMARC et des outils d’analyse avancés basés sur l’IA qui peuvent « apprendre » les tactiques utilisées par les pirates et améliorer leur capacité à identifier les e-mails malveillants. Les organisations doivent également organiser régulièrement des sessions de formation de sensibilisation à la sécurité avec un contenu actualisé afin de sensibiliser les employés aux dernières menaces et de mettre en place un processus de signalement clair lorsqu’ils détectent un e-mail suspect.