Phishing, ingénierie sociale et Dark Web

Phishing, ingénierie sociale et Dark Web

Lucas Morel
31 octobre 2025

Cet Halloween, la chose la plus effrayante pourrait être ce qui se cache à l’intérieur de la barre chocolatée, un leurre qui semble inoffensif mais qui donne à un attaquant les clés de votre vie numérique.

Les attaques de phishing et d’ingénierie sociale sont des « astuces » qui deviennent catastrophiques lorsque le dark web fournit des boîtes à outils prêtes à l’emploi et des messages générés par l’IA pour les amplifier. Le résultat : des escroqueries sans effort et à fort impact qui peuvent ruiner les réputations et vider les comptes bancaires.

Cet Halloween, nous explorons les « astuces effrayantes » que les cybercriminels utilisent pour vous inciter à cliquer sur des e-mails de phishing et d’autres types d’attaques, et ce que vous pouvez faire pour éviter cette activité.

Phishing et ingénierie sociale : pourquoi ils sont dignes d’Halloween

Le phishing et la famille plus large des attaques d’ingénierie sociale (spear-phishing, smishing, vishing, « quishing » via des codes QR et usurpation d’identité sur la messagerie vocale) restent l’un des moyens les plus simples d’obtenir un accès réel à des systèmes réels. C’est pour cette raison qu’ils restent l’un des principaux vecteurs de cyberattaques en 2025. Les attaques de phishing et d’ingénierie sociale ont été à l’origine de certaines des violations les plus importantes jusqu’à présent cette année, comme celles de Salesforce et Allianz.

Les chercheurs ont souligné que la grande majorité des cyberattaques réussies incluent généralement un élément humain et ne sont pas des vulnérabilités purement technologiques.

Mais deux tendances dynamisent aujourd’hui le phishing :

  • Automatisation et marchandisation — les kits de phishing et le « phishing-as-a-service » abaissent la barre technique pour les attaquants. Il s’agit de logiciels facilement disponibles que les utilisateurs peuvent acheter pour mener des attaques, ce qui signifie qu’ils n’ont pas besoin de compétences techniques pour mener l’attaque.
  • Ingénierie sociale augmentée par l’IA — des modèles génératifs fabriquent des leurres extrêmement convaincants à grande échelle. Cette combinaison transforme l’ancien courrier électronique « pulvérisez et priez » en une machine criminelle professionnelle, ciblée et évolutive. Sans parler de la création de vidéos, d’images et de voix crédibles qui peuvent être utilisées pour mener des attaques de vishing et autres.

The Dark Web Connection : boîtes à outils et kits à vendre

Le dark web et les communautés souterraines sont l’endroit où vivent les outils, modèles et services, les marchés et les forums proposent des logiciels à la vente ainsi que des tutoriels sur la façon de mener ces attaques. Telegram a également partagé ces informations via les canaux du marché. Vous trouverez ci-dessous quelques-unes des choses vendues.

Des chercheurs en sécurité ont indiqué que la disponibilité de kits de phishing prêts à l’emploi sur le dark web a augmenté d’environ 50 % entre 2021 et 2025, soulignant qu’il s’agit d’une tendance qui ne fait qu’augmenter.

Kits de phishing

Fausses pages pré-construites, envoi de scripts et guides d’hébergement/configuration. Les recherches et les rapports montrent que des kits complets sont régulièrement vendus pour de la monnaie. Certains rapports trouvent des kits annoncés pour aussi peu que 25 $ environ, tandis que d’autres sont open source, ce qui rend trivial pour les novices de se faire passer pour des banques, des services de livraison ou des fournisseurs SaaS. L’image ci-dessous provenant d’un forum du Dark Web montre des utilisateurs partageant une liste de kits de phishing librement disponibles, affirmant qu’ils sont les meilleurs kits à utiliser en 2025.

Plateformes d’hameçonnage en tant que service et d’automatisation

Une autre offre proposée sur les sites du Dark Web consiste à fournir le service pour le compte d’un acteur. Cela signifie que l’acteur n’a aucune action à entreprendre mais peut payer quelqu’un d’autre pour mener l’attaque. L’image ci-dessous de Telegram montre un acteur menaçant proposant des services de piratage, notamment des kits de phishing.

Les offres plus avancées incluent des tableaux de bord de campagne, des pools SMTP, des tests de délivrabilité et des analyses (certains outils plus récents associent même l’IA générative à l’infrastructure de messagerie). Les images ci-dessous montrent une publicité pour un modèle d’IA lié au phishing ainsi que le site pour acheter le logiciel. La boîte à outils « SpamGPT », un spam en tant que service alimenté par l’IA, vendu sur des forums clandestins pour environ 5 000 $.

Listes de contacts volées et informations d’identification récoltées

Bien que nous ayons déjà parlé de la vente d’organes humains, cet Halloween, la récolte d’informations d’identification peut être encore plus effrayante et avoir de vastes ramifications. Les informations d’identification et les listes de victimes récoltées, souvent vendues en gros, permettent aux attaquants d’ignorer la reconnaissance et de cibler des utilisateurs précédemment compromis.

Ces fuites de données, avec des informations d’identification et parfois beaucoup plus d’informations, peuvent être très utiles aux acteurs malveillants lorsqu’ils mènent des attaques d’ingénierie sociale. Cela peut rendre les attaques de phishing beaucoup plus crédibles, car elles contiennent des informations précises et réelles.

Ces outils abaissent les barrières à l’entrée, permettant aux attaquants moins qualifiés de lancer de vastes campagnes. Ils sont facilement disponibles sur le dark web et sur des sites adjacents comme Telegram. Cela signifie que le nombre d’attaques menées peut augmenter et augmentera à mesure que les individus auront besoin de moins de compétences pour les mener. Mais il est probable qu’avec le développement de l’IA, les attaques elles-mêmes deviendront plus sophistiquées et complexes. Une pensée effrayante !

Comment se déroulent réellement les campagnes de phishing (la chaîne d’attaque)

Figure 5 : Cycle de campagne de phishing

Les attaquants commenceront par la phase de reconnaissance, menant des recherches généralement via des canaux ouverts ou des données volées pour trouver des informations sur les cibles visées. Ensuite, ils créent l’appât : à l’aide d’un kit de phishing ou d’une IA, ils créeront un message qui, selon eux, attirera la cible et contournera les filtres anti-spam. Ils utilisent les informations trouvées lors de la phase de reconnaissance pour les rendre aussi crédibles que possible.

Vient ensuite la phase de livraison. En fonction de ce qu’ils tentent d’atteindre, plusieurs méthodes de livraison peuvent être utilisées, telles que l’e-mail, les SMS, les codes QR et même les appels téléphoniques. Dans certains cas, les acteurs utiliseront plusieurs canaux dans le cadre de leurs attaques pour augmenter le taux de réussite.

La phase d’exploitation nécessite la contribution de la victime pour réussir. Une victime cliquera sur un lien, fournira des informations d’identification sur un site de phishing ou installera par inadvertance un logiciel malveillant sur son ordinateur. Ces informations d’identification sont ensuite utilisées par les attaquants pour mener d’autres attaques. Mais les informations peuvent être monétisées davantage en vendant les informations volées ou en accédant à d’autres acteurs sur le dark web, poursuivant ainsi le cycle des attaques de phishing.

Nouvelles technologies effrayantes : IA + Phishing = Ciblage de masse sur les stéroïdes

L’IA générative a déjà commencé à améliorer la qualité, la personnalisation et l’ampleur du phishing. Les plates-formes et les boîtes à outils qui combinent la génération de texte avec l’automatisation des campagnes créent des leurres très convaincants que les utilisateurs (et parfois les filtres) ont du mal à distinguer des messages réels.

Une nouvelle classe d’offres clandestines – certaines signalées sous des noms comme « SpamGPT » – associent la génération de langage naturel à l’infrastructure de messagerie et à l’analyse, offrant ainsi aux attaquants une pile marketing raffinée pour le phishing.

Résultat net : le phishing ne nécessite plus de bonnes compétences rédactionnelles ni de connaissances techniques approfondies. Cela nécessite de l’argent (souvent modeste) et un compte sur un marché clandestin. Cette démocratisation des capacités d’attaque est la raison pour laquelle les taux de réussite du vol d’identifiants et du phishing ont bondi dans les rapports récents.

Comment arrêter de se faire tromper

Pour les organisations

  • Authentification multifacteur (MFA) partout – réduit la valeur des mots de passe volés même en cas de fuite des informations d’identification. (Utilisez des clés matérielles de type MFA résistantes au phishing lorsque cela est possible.)
  • Protections email + DMARC/DKIM/SPF + détection avancée — Déployez et ajustez les passerelles anti-phishing, la détonation d’URL et la réécriture de liens. Entraînez les filtres à utiliser des signaux de comportement (géographie de connexion, empreintes digitales des appareils).
  • Simulations de phishing + formation continue des utilisateurs — une formation contextuelle récurrente qui s’adapte aux thèmes actuels du phishing réduit les taux de clics. Combinez les attaques simulées avec le coaching, pas seulement la honte.
  • Surveillance du Dark Web et correction rapide des informations d’identification — surveiller les fuites d’informations d’identification ou de données d’entreprise ; avoir un playbook pour forcer les réinitialisations et contenir les comptes exposés.
  • Moindre privilège + segmentation + journalisation forte — limiter jusqu’où peut aller un seul compte compromis ; enregistrez et surveillez l’activité anormale du compte pour une détection rapide.

Pour les particuliers (gains faciles)

  • Utiliser un gestionnaire de mots de passe et des mots de passe uniques pour chaque site.
  • Activer MFA (de préférence une application d’authentification ou une clé matérielle).
  • Passez la souris avant de cliquer – inspectez les liens, vérifiez les adresses des expéditeurs pour détecter les fautes de frappe subtiles et ne saisissez pas les informations d’identification après avoir reçu un lien provenant d’un e-mail.
  • Considérez les SMS et les rappels téléphoniques comme suspects pour les demandes concernant les informations d’identification ou l’argent ; vérifier de manière indépendante.
  • Si vous cliquez ou pensez que vous êtes compromis – modifiez les mots de passe d’un appareil connu, activez MFA, exécutez une analyse complète des logiciels malveillants et informez votre employeur ou votre banque.

Conclusion

Le phishing et l’ingénierie sociale sont les fantômes silencieux de la maison : ils n’enfoncent pas les portes, ils sont invités. Et lorsque la boîte à outils du dark web facilite la tâche, les menaces se multiplient. Cet Halloween, traitez votre sécurité comme verrouiller la porte et vérifier les bonbons.

Le phishing est d’une simplicité trompeuse, mais l’économie souterraine et l’évolution rapide de la technologie de l’IA en ont fait une menace industrialisée. La bonne nouvelle : de nombreuses contre-mesures sont simples et peu coûteuses (MFA, hygiène des mots de passe, contrôles de base des e-mails). Ne mordez pas le bonbon à moins d’être sûr que c’est votre ami qui le donne. Offrez-vous une hygiène de sécurité ; ne laissez pas l’agresseur vous tromper avec quelque chose de sucré.

Suivez-nous ! Suivez-nous sur LinkedIn !

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?