Phishing-as-a-Service : des cyberattaques nouvelle génération
ariane
Actualité

Phishing-as-a-Service : des cyberattaques nouvelle génération

27 octobre 2025

Le phishing en 2025 ne ressemble plus seulement à un email maladroit avec une pièce jointe douteuse. Les attaques par phishing se sont véritablement industrialisées.

Selon le rapport CERT publié par Cyna, notre partenaire Cybersécurité, les campagnes de Phishing-as-a-Service (PhaaS) atteignent un niveau inédit de sophistication. Elles exploitent désormais des services cloud légitimes comme Microsoft SharePoint ou Cloudflare Workers pour contourner les défenses traditionnelles. Dans cet article, Sincrone IT et son partenaire Cybersécurité Cyna, décrypte pour vous les nouvelles techniques de phishing et la façon dont elles sont devenues un véritable business “as-a-service”. Nous vous partagerons des pistes concrètes pour protéger vos systèmes.

Qu’est-ce que le Phishing-as-a-Service (PhaaS) ?

Le Phishing-as-a-Service (PhaaS) s’inspire du modèle économique du SaaS.

Le PhaaS repose sur le même principe que les SaaS légitimes : abonnements, support client, interfaces utilisateur, et même un abonnement mensuel ou annuel donnant accès à :

checked
  • des kits de phishing préconfigurés,
checked
  • des interfaces d’administration pour suivre les victimes,
checked
  • des hébergements anonymisés,
checked
  • et même une assistance technique.

Les plateformes PhaaS clandestines les plus connus sont “Tycoon 2FA”, “EvilProxy” ou “Sneaky 2FA” ouvrent la voie en proposant un phishing « clé en main » accessible à des cybercriminels peu expérimentés.

Evaluez le niveau de cybersécurité avec un audit cyber Sincrone IT

Le saviez-vous ?

Tycoon 2FA est un groupement de cybercriminels à qui on attribut près de 89 % des attaques PhaaS détectées début 2025. Son fonctionnement clé : le contournement de l’authentification à deux facteurs (2FA). Cette plateforme, utilisée aujourd’hui à grande échelle, est très sophistiquée et difficile à détecter.

Le Phishing-as-a-Service est une menace démocratisée

Le phishing est désormais industrialisé et accessible, à la manière du Ransomware-as-a-Service (RaaS). Le pirate devient un véritable client : il paie pour un service qui s’occupe de la partie technique et logistique.

 

Un phishing nouvelle génération : furtif, ciblé et professionnel

Le rapport Cyna CERT révèle une campagne avancée de phishing observée au deuxième trimestre 2025. L’attaque par Phishing-as-a-Service se distingue des autres attaques classiques :

checked
  • Elle exploite la confiance inter-entreprises, en utilisant des comptes compromis pour viser leurs partenaires.
checked
  • Elle s’appuie sur des liens Microsoft authentiques, rendant la détection quasi impossible.
checked
  • Elle cible uniquement des comptes professionnels à haut niveau d’accès (dirigeants, responsables financiers, administrateurs).

Cette stratégie s’inscrit pleinement dans la tendance du PhaaS, où les attaquants n’ont plus besoin de maîtriser toute la chaîne technique : ils louent ou achètent des kits prêts à l’emploi.

quote sign
Aucun signe classique de phishing : les liens partagés proviennent d’un compte Microsoft légitime, déjà compromis.
Logo officiel de Cyna société spécialisée en solutions informatiques et services numériques.
Rapport Cyna CERT, Q2 2025.

La campagne SharePoint / Cloudflare : un cas d’école

Une attaque phishing en plusieurs étapes

Le rapport Cyna CERT Q2 2025 décrit une attaque exemplaire exploitant plusieurs services légitimes :

  1. Compromission initiale d’un compte Microsoft 365.
  2. Partage d’un document malveillant via SharePoint, visible comme un partage authentique.
  3. Le lien dans le document redirige vers un Cloudflare Worker, qui héberge une page d’authentification Microsoft parfaitement clonée.
  4. Les identifiants saisis par la victime sont capturés en temps réel par les attaquants.

Aucun antivirus ni filtre anti-phishing ne déclenche d’alerte, car tout semble provenir d’un environnement Microsoft ou Cloudflare légitime.

Les techniques avancées utilisées :

  • AiTM (Adversary-in-the-Middle) : interception des sessions MFA (authentification multifacteur).
  • HTML Smuggling : intégration de scripts malveillants directement dans des fichiers HTML pour contourner les filtres.
  • Hébergement bulletproof : utilisation de serveurs tolérants aux abus pour éviter la suspension.
quote sign
Les techniques employées indiquent un franchissement de cap dans la sophistication des attaques par phishing
Logo cyna expert cybersécurité PME
Rapport Cyna CERT, Q2 2025.

Pourquoi ces attaques sont particulièrement dangereuses ?

checked
  • Parce qu’elles contournent les filtres : les liens et fichiers sont hébergés sur des infrastructures Microsoft ou Cloudflare, réputées sûres.
checked
  • Parce qu’elles volent les sessions MFA : même les comptes protégés par double authentification peuvent être compromis.
checked
  • Parce qu’elles se propagent en chaîne : une victime infectée peut devenir un vecteur pour ses propres contacts professionnels.

Comment reconnaître et contrer le PhaaS ?

1. Sensibiliser sur les signaux faibles

La sensibilisation de vos équipes à la cybersécurité reste le premier levier de sécurité de vos systèmes. Chez Sincrone IT, nous recommandons des formations de sensibilisation en continu auprès de vos équipes. L’objectif est de proposer des sessions de formation courtes, mais régulières afin de maintenir un niveau d’attention élevé aux risques cyber. Les méthodes évoluent très vite et une sensibilisation cybersécurité en continu permet de rester en alertes face aux dernières innovations cyber.

Gardez bien en tête que même un partage “authentique” peut être piégé :

  • URL légèrement incohérente (sous-domaines suspects, caractères manquants).
  • Nom de fichier ou texte du message inhabituel.
  • Demande de connexion répétée à un service Microsoft déjà ouvert.

2. Limiter les accès à votre système d’information

Afin de contrôler les accès à vos systèmes, il est essentiel d’identifier les sites malveillants au niveau du pare-feu (firewall), grâce à un diagnostic précis et un paramétrage adapté aux besoins de l’entreprise. L’objectif est d’assurer une protection optimale contre les menaces externes pour garantir la performance du réseau. En complément, il est essentiel de vous équiper de solutions de protection pour la messagerie (antispam, filtrage des pièces jointes, détection de phishing) ainsi que des outils de sécurité pour smartphones (MTD).

3. Surveiller les comportements anormaux à l’aide d’une solution SOC

Le SOC managé reste aujourd’hui la solution de prévention des cyberattaques la plus robuste grâce à une surveillance continue de votre SI et une équipe dédiée à l’analyse et la réponse aux incidents :

  • Connexions depuis des pays inhabituels.
  • Création de règles de messagerie ou de transferts automatiques.
  • Sessions multiples sur un même compte.
  • Élévation de droits sur un compte
  • Revue régulière des partages Microsoft 365 externes.

Cyna est notre partenaire pour proposer des solutions robustes de cybersécurité pour les PME.

Savez-vous vraiment ce qu’il se passe quand une cyberattaque frappe ?

Envie d’approfondir le sujet ? Sincrone IT et son partenaire Cybersécurité Cyna vous plongent, le temps d’un webinaire, au cœur d’un cas réel de cyberattaque pour décrypter ensemble la gestion de l’incident : de la détection à la remédiation.

Bannière d'invitation au webinaire organisé par Sincrone IT le 27 novembre 2025 : "Comment réagir face à une cyberattaque ? Plongez au coeur d'une cas réel vécu par une PME française".

Conclusion

Le Phishing-as-a-Service illustre une transformation profonde de la cybercriminalité :
elle devient plus accessible, plus modulaire et plus rentable.

Les groupes à l’origine de ces attaques ne cherchent plus à développer leurs outils, mais à monétiser leur expertise technique.

Le défi pour votre entreprise ? Apprendre à reconnaître des attaques sans signe apparent, car elles exploitent désormais les failles humaines et la confiance plutôt que les vulnérabilités techniques. Il est donc essentiel de développer une culture de cybersécurité centrée sur la détection des comportements à risques et de vous faire accompagner dans le déploiement et la sensibilisation pour maintenir un niveau de vigilance constant.

Comment sécuriser ses smartphones professionnels contre les cyberattaques ?

Lire l’article
Femme Equipe IT avec un casque audio pour déchifrer un code

Pourquoi externaliser son IT à une entreprise d’infogérance ?

Lire l’article