Qu'est-ce que le Phishing-as-a-Service ?
Le Phishing-as-a-Service, ou PhaaS, est un modèle de cybercriminalité dans lequel les acteurs malveillants offrent des outils, des kits et des services d'hameçonnage à d'autres pirates, souvent par abonnement ou paiement unique. Elle réduit les obstacles à l'entrée pour les attaques par hameçonnage en proposant des modèles prêts à l'emploi, en hébergeant, en automatisant et même en fournissant un support client. PhaaS permet à des utilisateurs non techniques de lancer des campagnes d'hameçonnage sophistiquées, ce qui contribue à l'augmentation du nombre d'incidents d'hameçonnage dans le monde.
Comment fonctionne le PhaaS ?
- Les pirates s'inscrivent à ce service, souvent via des chaînes Darknet ou Telegram, et obtiennent accès à leur infrastructure PhaaS.
- Le service fournit de faux e-mails prêts à l'emploi et des sites web qui ressemblent à ceux de vraies entreprises.
- Les scammers peuvent personnaliser les messages pour les rendre convaincants.
- Ensuite, ces faux e-mails ou sites web sont envoyés à de nombreuses personnes.
- Lorsque quelqu'un tombe dans le piège et saisit ses informations privées, les scammers les collectent et peuvent voler de l'argent ou des identités.
Qui utilise PhaaS ?
- Des pirates qui veulent voler des identifiants, mais ne savent pas comment créer des e-mails d'hameçonnage, une infrastructure permettant d'héberger de fausses pages de connexion Microsoft/Google, volent des jetons d'authentification multifactorielle (MFA) et les envoient à un serveur de commande et de contrôle.
- Parfois, même les personnes qui ne sont pas très douées en technologie peuvent utiliser PhaaS, car il permet à n'importe qui de lancer facilement des scams.
Pourquoi utilisent-ils le PhaaS ?
- Cela permet d'économiser du temps et des efforts, ils n'ont pas à créer des configurations de scam compliquées à partir de zéro.
- C'est souvent bon marché ou basé sur un abonnement, donc c'est facile d'accès.
· Il est désormais beaucoup plus facile de lancer une campagne d'hameçonnage sophistiquée ciblant des milliers de personnes avec seulement quelques clics ou un minimum d'effort, comparé aux attaques par hameçonnage traditionnelles. Ces attaques modernes sont très avancées : elles utilisent des méthodes intelligentes pour éviter d'être détectées et s'appuient souvent sur des sites web et des plateformes légitimes, mais compromis.
Quelles sont les cibles les plus courantes ?
- Des personnes ordinaires qui reçoivent des e-mails qui semblent provenir de leur banque, de leurs plateformes, de leurs magasins préférés ou des services qu'ils utilisent.
- Les employés des entreprises, pour tenter de s'infiltrer dans les systèmes de l'entreprise.
- Même les petites entreprises ou organisations qui ne disposent pas de protections de sécurité solides.
Pourquoi PhaaS se propage-t-il ?
- L'accès à ces kits est facile, car ils sont proposés à des prix abordables.
- Ils sont plus efficaces et ont des taux de réussite plus élevés que les attaques traditionnelles, car les kits comprennent des outils avancés qui obscurcissent (rendent confus) et chiffrent (sécurisent) le code source et utilisent d'autres techniques pour éviter d'être détectés.
- Le service cache une complexité technique, de sorte que tout le monde peut y participer.
- Il est difficile d’arrêter complètement les plateformes PhaaS car :
- Elles savent comment rester cachées : ces plateformes sont des experts dans l'art de se faufiler. Elles utilisent des stratagèmes ingénieux pour éviter d'être détectées par les systèmes de sécurité ou les forces de l'ordre. Elles modifient constamment leurs sites web, leurs e-mails et leurs méthodes afin de ne pas se faire prendre facilement.
- Elles sont partout : les plateformes PhaaS sont présentes dans le monde entier. Elles utilisent des serveurs et des sites web dans différents pays, ce qui rend difficile pour quiconque de les localiser ou de les désactiver rapidement.
- Elles savent comment rester cachées : ces plateformes sont des experts dans l'art de se faufiler. Elles utilisent des stratagèmes ingénieux pour éviter d'être détectées par les systèmes de sécurité ou les forces de l'ordre. Elles modifient constamment leurs sites web, leurs e-mails et leurs méthodes afin de ne pas se faire prendre facilement.
Attaques PhaaS nouvelles et émergentes
PhaaS (Phishing-as-a-Service) évolue rapidement et produit de nouveaux kits plus sophistiqués qui facilitent les attaques et les rendent plus efficaces, notamment pour les cybercriminels moins expérimentés.
Par exemple, CoGUI est un nouveau kit d'hameçonnage ciblant spécifiquement les organisations japonaises, montrant comment ces outils sont adaptés à des régions et à des victimes spécifiques.
Parmi les nouveaux kits d'hameçonnage émergents, citons :
- Sniper Dz – Un kit hautement personnalisable utilisé pour imiter les pages de connexion de services populaires, rendant les tentatives d'hameçonnage très convaincantes.
- Morphing Meerkat – Connu pour sa capacité à adapter rapidement son apparence et à contourner les filtres d'e-mail.
- Darcula – Un kit furtif qui combine l'hameçonnage et la diffusion de malwares, ciblant souvent les utilisateurs mobiles.
- SessionShark – Spécialisé dans le vol de sessions de connexion actives, permettant aux pirates de prendre le contrôle des comptes sans même avoir besoin de mots de passe.
Ce qui rend ces kits particulièrement dangereux, c'est qu'ils évoluent constamment, en mettant à jour leurs méthodes pour éviter d'être détectés par les systèmes de sécurité. Ce développement continu aide les scammers à garder une longueur d'avance et rend plus difficile leur neutralisation.
Techniques innovantes dans les attaques PhaaS
Les attaques par hameçonnage deviennent de plus en plus sophistiquées et ingénieuses en utilisant de nouvelles méthodes pour tromper les gens et éviter d'être détectées. Voici quelques-unes des stratagèmes ingénieux que les scammers utilisent dans les attaques PhaaS :
- En utilisant de vrais sites web fiables
Au lieu de créer de faux sites web à partir de zéro, les scammers utilisent souvent des plateformes populaires et légitimes pour masquer leurs liens ou fichiers nuisibles. Cela rend plus difficile pour les personnes et les outils de sécurité de repérer qu'il y a un problème. - Chiffrement pour rester caché
Ils chiffrent leur code malveillant, ce qui signifie qu'ils le brouillent pour qu'il ressemble à du charabia. Cela rend difficile pour les logiciels de sécurité de détecter et de bloquer leurs attaques. - Rendre le code confus (obfuscation)
Les scammers utilisent également des techniques pour rendre leur code déroutant et difficile à comprendre, de sorte que même les experts ont du mal à comprendre ce que le code fait réellement. - Des stratagèmes toujours renouvelés
Ces kits d'hameçonnage évoluent au fil du temps. Ils mettent régulièrement à jour leur mode de fonctionnement afin de déjouer les défenses de sécurité qui deviennent chaque jour plus intelligentes. - Utilisation de sites web réels, mais piratés
Les pirates utilisent parfois des sites web légitimes qui ont été compromis pour héberger leurs scams. Étant donné que ces sites sont authentiques et fiables, il devient plus aisé de tromper les victimes. - Éviter la détection grâce à des contrôles intelligents
Certains outils d'hameçonnage peuvent détecter si des robots de sécurité ou des environnements de sandbox les analysent. Lorsque cela se produit ou une fois que l'attaque est terminée, ils redirigent les victimes vers de vrais sites web pour ne pas éveiller les soupçons.
Les kits PhaaS sont en concurrence les uns avec les autres dans les conditions suivantes
- Prix et accessibilité : les kits moins chers ou plus faciles à obtenir ont tendance à attirer davantage d'utilisateurs. Certains proposent des abonnements, tandis que d'autres vendent des licences uniques. Le prix et les options de paiement sont très importants.
- Mises à jour : certains fournisseurs PHaaS proposent un support client et mettent régulièrement à jour leurs kits pour contourner les nouvelles mesures de sécurité. Des kits qui restent à jour et aident à fidéliser leurs utilisateurs.
- Taux de réussite : si un kit est connu pour aider les scammers à éviter d'être détectés et à voler des informations avec succès, il gagne en popularité par rapport aux autres.
Volume des attaques PhaaS
Depuis le début de l'année 2025, environ 60 % à 70 % des attaques par hameçonnage que nous avons observées étaient des attaques PhaaS. Parmi ceux-ci, le kit le plus utilisé est Tycoon 2FA, qui représente 76 % des attaques. EvilProxy représente environ 8 %, tandis que Mamba 2FA et Sneaky 2FA représentent ensemble 6 %. Les 10 % restants proviennent de divers autres kits d'hameçonnage tels que LogoKit, CoGUI, FlowerStorm, Gabagool et autres.
Remarque : cet article de blog a été co-écrit par Deerendra Prasad.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter