Le phishing en 2025 : reconnaître les arnaques qui imitent tout
Le phishing n’est plus un simple e‑mail bourré de fautes. En 2025, les fraudeurs copient à la perfection vos services (banque, outils de travail…) et passent par SMS, QR codes, appels et même visioconférences truquées. Voici les repères utiles et les bons réflexes.
Pourquoi c’est un vrai sujet en 2025
Les chiffres confirment : dans le rapport Verizon DBIR 2025, l’abus d’identifiants reste le principal vecteur d’intrusion (~22 %), talonné par l’exploitation de failles (~20 %). Le « facteur humain » est présent dans ~60 % des brèches. Côté victimes, le FBI/IC3 recense 859 532 plaintes en 2024 pour 16,6 Md$ de pertes, dont 2,77 Md$ pour les fraudes BEC.
Ce qui a changé (et qui piège même les prudents)
Quishing (QR) : un PDF « propre » contient un QR qui renvoie vers une page imitant La Poste ou un paiement — efficace pour contourner des filtres. Les autorités françaises expliquent comment s’en protéger et où signaler.
Adversary‑in‑the‑middle (AiTM) : interception de codes MFA en temps réel via de fausses pages Microsoft 365. La parade : MFA résistante au phishing (clés FIDO2, passkeys) ou, a minima, number matching.
Consentement OAuth : des apps demandent des permissions « anodines » mais ouvrent un accès durable à vos mails/fichiers.
Visioconférences truquées : cas réels d’usurpation en 2024 (ex. affaire Arup) avec pertes massives.
Reconnaître une tentative en quelques secondes
- Urgence, menace, cadeau, colis : signaux faibles classiques.
- Vérifiez l’expéditeur réel, le domaine, et méfiez‑vous des pièces jointes inattendues.
- Sur mobile : n’ouvrez pas depuis un SMS. Saisissez vous‑même l’adresse (La Poste/banque…).
- Survolez/aperçu du lien avant de cliquer ; prudence avec les raccourcisseurs et redirections « de confiance ».
Que faire si vous avez un doute (ou si vous avez cliqué) ?
- Ne répondez pas et n’entrez aucun code/identifiant depuis un lien reçu.
- Allez directement sur le site/app officiel (favori ou recherche lancée par vous).
- Signalez : SMS/appels → 33700 ; e‑mails → Signal Spam ; sites → Phishing Initiative.
- Infos bancaires saisies ? Contactez immédiatement votre banque via les canaux officiels.
Pour les TPE : 30 minutes pour 80 % du risque
- Activez SPF, DKIM, DMARC (au moins quarantine puis reject) sur votre domaine.
- Protégez les comptes avec MFA résistante au phishing (FIDO2/passkeys). À défaut : number matching, limiter les consentements OAuth.
- Formation express (10 min/mois) : lures fréquents (facture/colis/voicemail DocuSign), comment remonter un doute.
- Plan de réponse : révoquer les sessions, forcer la réinit, restaurer depuis sauvegardes.
Cas concrets et ressources
- 33700 (SMS/appels), Cybermalveillance.gouv.fr (fiches « quishing » / « hameçonnage »)
- CISA : MFA résistante au phishing ; Microsoft/Proofpoint : AiTM et OAuth
- FBI/IC3 : Internet Crime Report 2024 ; Verizon DBIR 2025
- CNIL : repérer un message malveillant ; Afnic : SPF/DKIM/DMARC