Phishing : de l’email frauduleux à l’arme numérique multi-canaux et réputationnelle

15 août 2025
|In Trainings
|By Axel Legay

Le phishing, menace persistante et en pleine mutation

Il y a 20 ans, le phishing se résumait souvent à un email maladroit imitant une banque, incitant à cliquer sur un lien douteux pour “mettre à jour ses informations”.

Aujourd’hui, ce type d’attaque est devenu une opération sophistiquée et multicanale, capable d’utiliser des données personnelles précises, obtenues à la faveur de cyberattaques ciblées ou de fuites massives, pour tromper même les utilisateurs les plus vigilants.

Quand une fuite alimente une attaque

L’actualité récente en Italie illustre parfaitement le problème.

En août 2025, l’Agence italienne pour le numérique (Agid) a révélé le vol de près de 100 000 documents d’identité auprès d’une dizaine d’hôtels. Passeports, cartes d’identité, documents de check-in… tous en haute résolution, récupérés via des accès non autorisés entre juin et août 2025, puis mis en vente sur le dark web par un pirate connu sous le pseudonyme mydocs.

Ces données, déjà prêtes à l’emploi, permettent de :

  • créer des campagnes de phishing hyper-ciblées (spear phishing) utilisant de vraies infos personnelles (nom, dates, destination du séjour, etc.) ;
  • se livrer à l’usurpation d’identité pour des fraudes financières ;
  • monter des scénarios de social engineering impossibles à distinguer d’un échange légitime.

Le glissement vers le “phishing réputationnel”

Traditionnellement, les cybercriminels ciblaient surtout des données chiffrées (bases de mots de passe, numéros de carte de crédit) à revendre ou à exploiter après décryptage.

Mais une tendance inquiétante s’impose : voler des données non chiffrées et exploitables immédiatement, car l’impact réputationnel sur l’entreprise victime fait souvent plus de dégâts — et plus vite — que la valeur marchande des données.

Ce que disent les rapports récents :

83 % des entreprises n’encryptent pas la majorité des données sensibles qu’elles stockent dans le cloud (Thales Cloud Security Study).

En 2024, des bases entières de données personnelles non chiffrées (38 Go) ont été retrouvées accessibles librement sur internet (TechRadar).

Une fuite majeure peut faire perdre 5 à 9 % de capital réputationnel à une marque (Oxford Academic), avec des impacts financiers et contractuels.

Les surfaces d’attaque actuelles

Le phishing n’est plus confiné à l’email. Les attaquants opèrent sur :

  • Email : toujours le canal le plus répandu, mais avec des messages soignés, sans fautes, traduits automatiquement par IA.
  • SMS / messageries instantanées (smishing, quishing) : liens courts, QR codes malveillants.
  • Appels téléphoniques (vishing) : voix synthétiques imitant des interlocuteurs connus.
  • Réseaux sociaux / plateformes professionnelles : faux profils, usurpation d’identité visuelle.
  • Sites clones : pages web copiées à l’identique avec certificats HTTPS valides.

Les surfaces d’attaque du futur

Les tendances qui se dessinent pour les prochaines années sont préoccupantes :

  • Deepfakes vocaux et vidéo : conversations vidéo avec un faux visage ou une voix imitée.
  • Chatbots frauduleux : usurpation d’assistants IA d’entreprises pour tromper les clients.
  • Phishing contextuel en temps réel : exploitation de données volées “juste après” un événement réel (réservation, paiement, déplacement).
  • Attaques multi-canaux synchronisées : email + SMS + appel téléphonique pour rendre le scénario crédible.

Les données, carburant des attaques

Le lien entre fuite de données et phishing ciblé est direct.

Plus les données volées sont précises, plus l’attaque semble légitime.

Les criminels croisent plusieurs fuites pour construire un profil complet de la victime.

La frontière entre un message légitime et une attaque devient floue.

Comment réduire l’exposition

Côté entreprises:

  • Collecter moins : limiter la conservation des données au strict nécessaires
  • Chiffrer systématiquement les données sensibles au repos et en transit.
  • Segmenter les systèmes : isoler les bases critiques et limiter les accès.
  • Former le personnel : simulations régulières de phishing, sensibilisation aux signaux d’alerte.
  • Surveiller le dark web pour détecter les fuites précocement.

Côté particuliers:

  • Douter des urgences : vérifier tout message “urgent” par un canal officiel.
  • Activer l’authentification multi-facteur partout où c’est possible.
  • Contrôler ses données : utiliser des services de notification en cas de fuite (ex. Have I Been Pwned).
  • Limiter le partage d’informations personnelles sur les réseaux.

Évolution du phishing et sophistication des données exploitées

 

2000–2010 Emails/login génériques Email Faible

2010–2020 Identifiants volés, logs simples Email, SMS, réseaux sociaux Moyenne

2020–2030 Scans identités, habitudes de vie Email, SMS, appels IA, deepfakes, chatbots Très élevée

Bibliographie

Thales Cloud Security Study – 83 % des entreprises n’encryptent pas toutes leurs données sensibles cloud.

TechRadar – 38 Go de données personnelles non chiffrées exposées en ligne.

Oxford Academic – Impact réputationnel de -5 à -9 % après une fuite majeure.

Axios – 1,7 milliard de notifications de fuite envoyées en 2024.

Tom’s Guide – 16 milliards d’identifiants exposés, alimentant des campagnes de phishing massives.

Privacy Preference Center

Privacy Preferences