Phishing-as-a-Service expliqué : IA, Deepfakes et Défense

1. Introduction : le Phishing-as-a-Service#

Le phishing s'éloigne des envois d'e-mails massifs et généraux pour se tourner vers des attaques plus ciblées qui peuvent toujours être menées à grande échelle. Des kits de phishing prêts à l'emploi permettent désormais à des attaquants relativement inexpérimentés d'atteindre un niveau d'efficacité autrefois associé principalement aux menaces persistantes avancées (APT) et aux groupes soutenus par des États.

L'impact de ce problème s'aggrave : l'étude 2024 IBM/Ponemon Cost of a Data Breach rapporte que le coût annuel moyen des incidents de phishing a augmenté de près de 10 % pour atteindre 4,88 millions de dollars US, l'un des bonds les plus importants depuis la pandémie. Dans le même temps, la technologie des deepfakes ouvre de nouvelles voies à la fraude : Right Hand Cybersecurity signale une augmentation de 680 % d'une année sur l'autre de l'activité des médias synthétiques, permettant des attaques qui peuvent contourner les protocoles de vérification traditionnels. Plus de 3,4 milliards d'e-mails de phishing circulent quotidiennement (soit environ 1,2 % du trafic mondial de courriels) et Google en bloque environ 100 millions chaque jour. Le groupe de travail anti-phishing a enregistré 1 003 924 attaques au seul premier trimestre 2025, le niveau le plus élevé depuis fin 2023. Le phishing reste un des principaux moteurs de dommages réels, contribuant à 36 % des violations de données aux États-Unis et jouant un rôle dans plus de 80 % des cyberattaques. Les coûts moyens des violations s'élèvent à 4,88 millions de dollars US, les pertes liées à la compromission des e-mails professionnels atteignent 2,7 milliards de dollars US par an, et les ransomwares (souvent initiés par le phishing) apparaissent dans 44 % des violations.

Dans cet article, nous allons aborder les aspects les plus importants concernant la manière dont le phishing a évolué ces dernières années avec de nouvelles approches telles que le Phishing-as-a-Service et l'utilisation de l'IA. En particulier, voici les questions que nous allons traiter dans cet article :

1. Qu'est-ce que le Phishing-as-a-Service (PhaaS) ?

2. Quel rôle l'intelligence artificielle joue-t-elle dans les attaques de phishing modernes ?

3. Comment les organisations peuvent-elles se défendre contre le phishing moderne (contrôles techniques, gestion des risques humains et gouvernance/politique) ?

2. Qu'est-ce que le Phishing-as-a-Service (PhaaS) ?#

La cybercriminalité n'est plus réservée aux hackers experts. L'essor du Phishing-as-a-Service (PhaaS) a rendu les compétences techniques beaucoup moins nécessaires pour lancer des attaques réussies. En imitant les modèles commerciaux des éditeurs de logiciels légitimes, en proposant des abonnements, un support client et des mises à jour régulières, les développeurs criminels ont rendu le phishing accessible à presque tout le monde.

2.1 Banalisation de l'accès aux outils de phishing#

Le marché du PhaaS a mûri pour devenir un écosystème à plusieurs niveaux. Au niveau d'entrée, les attaquants novices ("script kiddies") peuvent louer l'accès à une infrastructure sophistiquée pour des frais peu élevés, tandis que les opérateurs avancés peuvent acheter des niveaux "entreprise" qui offrent un hébergement dédié et des capacités d'évasion personnalisées.

Cette structure économique a entraîné une hausse massive de l'activité. Rien qu'au cours des deux premiers mois de 2025, plus d'un million d'attaques basées sur le PhaaS ont été détectées, signalant une base d'utilisateurs robuste et en expansion pour ces services criminels. Le marché pour ces kits est principalement hébergé sur Telegram, qui sert de plan de contrôle chiffré et à haute disponibilité pour les ventes et l'assistance.

Analyse des plateformes PhaaS les plus populaires (2025)

Le graphique suivant illustre la domination écrasante de Tycoon 2FA sur le marché par rapport aux autres acteurs de l'écosystème :

2.2 Tycoon 2FA : Analyse détaillée du kit de phishing#

Tycoon 2FA est une plateforme sophistiquée de Phishing-as-a-Service (PhaaS) conçue pour contourner l'authentification à deux facteurs (2FA) et l'authentification multifacteur (MFA). Elle cible principalement les comptes Microsoft 365 et Gmail en utilisant une technique "Adversary-in-the-Middle" (AiTM). Début 2025, Tycoon 2FA est devenu l'acteur principal du marché, représentant près de 9 incidents de phishing sur 10. Son succès repose sur sa capacité à rester invisible face aux filtres de sécurité modernes. Lors d'une mise à jour majeure en 2025, les développeurs ont remplacé les anciennes tactiques par un chiffrement avancé pour masquer leur code malveillant.

Plus précisément, ils utilisent désormais un "chiffrement de César" pour brouiller le code et insérer des caractères invisibles "Hangul Filler" (Unicode 3164). Ces caractères sont cachés pour l'utilisateur mais servent à dérouter les scanners automatisés qui recherchent les "signatures" numériques de menaces connues. Pour distribuer ces kits, Tycoon utilise une stratégie de type "Living off the Land", hébergeant ses pièges sur des services de confiance et de grande réputation comme Amazon S3, Canva et Dropbox.

Parce que les passerelles de messagerie sécurisées (SEG) sont programmées pour faire confiance à ces domaines célèbres, les e-mails de phishing contournent souvent entièrement les filtres. Enfin, pour s'assurer qu'ils ne sont pas surveillés par des robots de sécurité, les attaquants font passer les utilisateurs par une chaîne complexe de redirections et de CAPTCHA Cloudflare avant qu'ils ne voient la fausse page de connexion.

2.3 La mécanique de l'Adversary-in-the-Middle (AiTM)#

La capacité déterminante des kits PhaaS modernes est l'attaque de type Adversary-in-the-Middle (AiTM). Cette technique rend la collecte d'identifiants traditionnelle obsolète en interceptant la session d'authentification en direct, contournant ainsi la Multi-Factor Authentication (MFA).

L'architecture d'une attaque AiTM diffère fondamentalement d'un site clone.

1. Initiation du proxy : Lorsqu'une victime accède à l'URL de phishing, le serveur PhaaS (agissant comme un proxy inverse) initie une connexion au fournisseur d'identité (IdP) légitime, tel que login.microsoftonline.com.

2. Mise en miroir du trafic : Le proxy récupère le contenu de connexion légitime et le transmet à la victime. La victime voit la vraie page de connexion Microsoft, bien que rendue sur un domaine malveillant.

3. Relais en temps réel : Au fur et à mesure que la victime saisit ses identifiants, le proxy les capture et les transmet à l'IdP.

4. Interception MFA : Lorsque l'IdP demande le deuxième facteur (par ex., un code SMS ou une invite d'application d'authentification), le proxy reproduit cette demande à la victime.

5. Vol de session : La victime fournit le jeton MFA. Le proxy le transmet à l'IdP. L'IdP valide la session et émet un cookie de session (par ex., ESTSAUTH ou ESTSAUTH_PERSISTENT).

6. La brèche : Surtout, le proxy intercepte ce cookie de session. Il ne le renvoie pas à la victime (ou transmet une copie tout en gardant l'original). L'attaquant possède désormais un cookie de session authentifié valide qui lui permet d'accéder au compte de la victime depuis n'importe quel appareil, contournant ainsi le besoin d'un mot de passe ou d'un jeton MFA, jusqu'à ce que le jeton expire.

Des kits comme Sneaky 2FA ont encore affiné cela en proposant des panneaux d'administration qui permettent aux attaquants d'intervenir manuellement dans la session, gérant ainsi efficacement l'attaque en temps réel.

2.4 Infrastructure des fournisseurs de Phishing-as-a-Service#

Démanteler l'infrastructure PhaaS est très difficile en raison de sa nature décentralisée. Alors que les panneaux d'administration centraux peuvent être hébergés sur des serveurs situés dans des juridictions aux lois cybernétiques laxistes, les nœuds périphériques (les pages de phishing réelles) ont une courte durée de vie. Tycoon 2FA, par exemple, utilise un algorithme de génération de domaine (DGA) pour créer des milliers de domaines jetables. Cloudflare Turnstile bloque également les scanners de sécurité et donne aux sites de phishing une apparence officielle. Puisque les gens sont habitués à voir ces vérifications sur des sites web réels, ils sont plus susceptibles de faire confiance à la page.

Les pages Tycoon 2FA sont souvent distribuées via le "Quishing" (phishing par code QR). Le code QR contient l'URL malveillante, ce qui éloigne efficacement la menace des scanners de sécurité des e-mails qui ne peuvent pas analyser les données de l'image. Ce vecteur a connu une augmentation de 25 % d'une année sur l'autre, ciblant spécifiquement les appareils mobiles qui manquent souvent des contrôles de protection des terminaux des postes de travail d'entreprise.

3. Le phishing à l'ère de l'intelligence artificielle#

Si le PhaaS a fourni l'infrastructure pour une exploitation de masse, l'intelligence artificielle a fourni l'intelligence et le contenu. L'intégration de l'IA générative (GenAI) dans le cycle de vie de la cybercriminalité a résolu les deux plus grands défis pour les attaquants : l'échelle et la crédibilité. L'époque où la "mauvaise grammaire" et les "salutations génériques" constituaient des indicateurs fiables de phishing est révolue.

3.1 Le "Vibe Scamming" et la militarisation des outils no-code#

Un développement significatif en 2025 est l'émergence du "vibe scamming". Cette tendance exploite l'idéal du "vibe coding", où les utilisateurs créent des logiciels à l'aide de requêtes en langage naturel, pour générer des actifs malveillants.

Des plateformes légitimes comme Lovable, conçues pour démocratiser la création de logiciels, sont devenues des moteurs de la cybercriminalité. Guardio Labs a mené un benchmark de la résistance des agents d'IA aux abus, découvrant que si des modèles établis comme ChatGPT obtenaient un score relativement élevé (8/10) pour refuser des requêtes malveillantes, des plateformes plus récentes comme Lovable obtenaient un score alarmant (1,8/10). Les attaquants peuvent simplement interroger ces outils par ex., "Crée un portail de connexion qui ressemble à une grande banque, utilise une image de marque officielle bleue et rouge, et comporte des champs pour les numéros de sécurité sociale", et l'IA génère un code de phishing parfait au pixel près et entièrement fonctionnel.

Cette capacité permet aux attaquants de contourner la "fatigue des modèles" des anciens kits PhaaS. Au lieu d'utiliser un modèle Microsoft standard que les défenseurs ont identifié, un vibe scammer peut générer une page de connexion unique et adaptée pour chaque campagne individuelle, voire pour chaque victime individuelle. Proofpoint a observé des dizaines de milliers d'URL générées par Lovable distribuant Tycoon et d'autres malwares début 2025, confirmant qu'il ne s'agit pas d'une menace théorique mais d'un vecteur massif et actif.

3.2 L'IA agentique pousse l'espionnage autonome#

Au-delà de la génération de contenu, l'IA est désormais également utilisée pour exécuter des attaques. Ce passage de l'IA générative à l'"IA agentique" représente un moment clé pour l'ingénierie sociale :

Un incident s'est produit fin 2024 impliquant un groupe soutenu par l'État chinois. Cet adversaire a utilisé l'agent "Claude Code" d'Anthropic (destiné au développement automatisé de logiciels) pour mener une campagne de cyberespionnage à grande échelle. En contournant ses garde-fous éthiques, les attaquants ont pu confier à l'IA des objectifs de haut niveau. L'agent IA a effectué de manière autonome des reconnaissances, écrit un code d'exploitation personnalisé pour cibler des vulnérabilités spécifiques, récolté des identifiants et s'est déplacé à travers les réseaux.

Ce multiplicateur de force permet à une petite équipe d'opérateurs de cibler des centaines d'organisations simultanément avec la profondeur et la persistance d'une équipe rouge (Red Team) humaine dédiée.

Des expériences menées par Hoxhunt entre 2023 et 2025 révèlent l'évolution rapide des capacités de l'IA. Comme le montre la chronologie ci-dessous, les agents IA ont franchi le seuil de l'efficacité humaine au début de 2025, passant de 31 % moins efficaces à 24 % plus efficaces que l'élite des ingénieurs sociaux.

De plus, des études indiquent que les campagnes de spear phishing soutenues par l'IA peuvent atteindre des taux de clics dépassant 50 %, contre des taux bien plus bas pour les campagnes génériques. La réduction des coûts est tout aussi spectaculaire. Les campagnes menées par l'IA coûtent environ 1/30ème des campagnes manuelles tout en offrant des résultats supérieurs.

3.3 Étude de cas : les deepfakes dans le "braquage Arup"#

L'un des impacts les plus directs de l'IA sur la sécurité est la montée en puissance des deepfakes, des enregistrements audio et vidéo générés par ordinateur très réalistes. Ces outils sont conçus pour tromper nos sens, rendant difficile pour les gens de faire confiance à leurs propres yeux et oreilles lorsqu'ils essaient de vérifier l'identité d'une personne. Le vol de 25 millions de dollars US à la société d'ingénierie Arup en 2024 sert d'étude de cas définitive pour cette nouvelle ère de fraude.

L'incident Arup (perte de 25 millions de dollars US)

• La configuration : Un employé du bureau de Hong Kong d'Arup a reçu un e-mail prétendant provenir du directeur financier (CFO) basé au Royaume-Uni, demandant une transaction financière confidentielle. L'employé, méfiant à l'égard de la demande, a fait une pause. C'est la procédure correcte dans un modèle standard de sensibilisation à la sécurité.

• Le contournement : Pour dissiper les inquiétudes de l'employé, les attaquants ont lancé un appel en visioconférence.

• La tromperie : L'employé a rejoint l'appel pour trouver non seulement le CFO, mais plusieurs autres collègues connus. Tous étaient des deepfakes, des avatars générés par l'IA pilotés par une technologie de clonage vocal et de reconstitution faciale en temps réel. La confirmation visuelle et auditive fournie par le "CFO" et la preuve sociale des autres "collègues" ont complètement submergé les défenses de l'employé.

• Le résultat : Convaincu d'agir sur des ordres légitimes, l'employé a autorisé 15 virements bancaires totalisant 200 millions de dollars de Hong Kong (25,6 millions de dollars US) vers des comptes frauduleux.

La technologie des deepfakes s'est banalisée. Les marchés du dark web proposent désormais des "Deepfake-as-a-Service" pour à peine 50 dollars US pour la vidéo et 30 dollars US pour le clonage vocal. La technologie a progressé pour prendre en charge l'interaction en temps réel avec une faible latence, rendant les appels de phishing en direct réalisables. Les attaques de phishing par deepfake ont bondi de 1 633 % au cours du seul premier trimestre 2025.

4. Quishing (phishing par code QR)#

Bien que souvent éclipsé par l'IA, le "Quishing" (phishing par code QR) s'est développé en parallèle, tirant parti de la faille de sécurité mobile. Les attaques utilisant des codes QR malveillants ont augmenté de 25 % d'une année sur l'autre.

Les mécanismes du quishing sont conçus pour contourner les défenses des entreprises. Comme illustré dans le flux de processus ci-dessous, l'attaque tire parti d'une "faille de sécurité" où l'utilisateur scanne un code QR intégré avec son appareil personnel, contournant la passerelle de messagerie sécurisée (SEG) et les protections des terminaux de l'entreprise avant d'exécuter l'attaque dans le navigateur mobile.

Les attaquants utilisent de plus en plus l'IA pour générer des codes QR "artistiques" qui se fondent dans les documents marketing, réduisant encore davantage la suspicion des utilisateurs.

5. Analyse des menaces sectorielles et régionales#

L'impact de ces menaces n'est pas uniforme. Différents secteurs font face à des variantes distinctes des attaques basées sur le PhaaS et l'IA en fonction de la valeur de leurs actifs et de leur rythme opérationnel.

5.1 Phishing-as-a-Service dans la banque et la finance#

Le secteur financier reste l'industrie la plus ciblée, représentant le volume le plus élevé d'attaques de phishing.

• Portails de VibeScamming : Les attaquants utilisent des outils comme Lovable pour créer des clones éphémères et très fidèles de portails de connexion de banques régionales. Ces sites sont souvent en ligne pendant moins de 24 heures, rendant les démantèlements inefficaces.

• Fraude à la vérification par Deepfake : Une tendance croissante implique que les attaquants utilisent le clonage vocal pour passer la vérification de sécurité des services bancaires par téléphone. En se faisant passer pour le titulaire du compte, ils autorisent des transferts ou réinitialisent des mots de passe. Les personnes âgées ont connu une augmentation de 40 % des attaques de vishing, soulignant la nature prédatrice de ces campagnes.

5.2 Phishing-as-a-Service dans la santé#

Pour la santé, le phishing est principalement un vecteur d'accès initial pour les ransomwares.

• Impact financier : Le coût moyen d'une violation dans le secteur de la santé est de 9,77 millions de dollars US, le plus élevé de toutes les industries.

• Leurres opérationnels : Les attaquants ciblent le personnel hospitalier avec des leurres liés à la "Planification des gardes", à l'"Administration du portail patient" ou aux "Mises à jour de la paie". L'urgence des environnements cliniques rend le personnel très vulnérable à ces leurres opérationnels.

• Chaîne d'approvisionnement : Les attaques proviennent souvent de comptes de fournisseurs compromis (par ex., fournisseurs d'appareils médicaux), exploitant la relation de confiance pour contourner les soupçons.

5.3 Phishing-as-a-Service dans le commerce de détail et l'industrie manufacturière#

Les entreprises manufacturières ont connu le plus grand nombre d'incidents de ransomwares en 2024, défiant la tendance mondiale à la baisse.

• Technologies obsolètes : La fabrication s'appuie souvent sur des technologies opérationnelles (OT) héritées et des systèmes Windows plus anciens, les rendant vulnérables aux exploits connus une fois l'accès initial obtenu via le phishing.

• Usurpation de marque : Les détaillants font face au "Brandjacking", où les attaquants utilisent l'IA pour générer de faux avis de produits, des factures frauduleuses et des notifications d'expédition usurpées (par ex., "Votre colis est retardé") pour phisher les consommateurs.

• La vague en Asie-Pacifique : La région Asie-Pacifique a connu une augmentation de 13 % des attaques en 2024, principalement due à des attaques sur des pôles de fabrication cruciaux pour la chaîne d'approvisionnement mondiale.

6. Défense stratégique et résilience face au PhaaS#

Les défenses de la dernière décennie (détection basée sur les signatures, listes noires et formation de base des utilisateurs) échouent face aux attaques basées sur l'IA et les proxys. Un passage à la défense centrée sur l'identité et à l'analyse comportementale est requis.

6.1 Contrôles techniques contre le Phishing-as-a-Service#

Pour résoudre les problèmes de phishing, quelques vecteurs doivent être traités en même temps.

1. MFA résistante au phishing#

• Défense : Les administrateurs doivent appliquer des Politiques d'accès conditionnel qui bloquent les méthodes d'authentification héritées. Si le navigateur d'un utilisateur tente de rétrograder vers un flux mot de passe/SMS, la connexion doit être bloquée.

• Chiffrement maximal : Les clés d'accès FIDO (passkeys) offrent la protection la plus élevée car elles lient physiquement l'identifiant à l'appareil, rendant les attaques de rejeu à distance presque impossibles.

2. IA visuelle et comportementale :#

• Vision par ordinateur : Les outils de sécurité doivent analyser l'apparence rendue d'une page web. Même si le code est offusqué avec des chiffrements de César, la page rendue ressemble à une connexion Microsoft. Les modèles de vision par ordinateur peuvent identifier cette similarité visuelle et bloquer le site.

• Bases de référence comportementales : Les plateformes comme Check Point et Proofpoint s'orientent vers des bases de référence comportementales. Elles analysent l'intention et le contexte des e-mails (par ex., "Est-il normal que le CFO demande un virement bancaire un dimanche à 23h ?"). Les anomalies déclenchent des alertes quelle que soit la réputation de l'expéditeur.

6.2 Gestion des risques humains (HRM)#

• Exercices sur les deepfakes : La formation à la sensibilisation à la sécurité doit désormais inclure l'exposition aux audios et vidéos deepfakes. Les employés doivent expérimenter la qualité de ces faux dans un environnement sûr pour comprendre la menace.

• Le protocole "Défi-Réponse" : Les organisations doivent mettre en œuvre un protocole de vérification hors bande pour les transactions financières. Si un appel vidéo demande un transfert de fonds, l'employé doit le vérifier via un canal secondaire (par ex., une application de chat chiffrée ou un appel téléphonique à un numéro interne connu).

• Culture du signalement : La mesure la plus efficace pour la culture de sécurité est le taux de signalement. Les organisations de classe mondiale atteignent des taux de signalement supérieurs à 20 %. Les organisations disposant de programmes de formation efficaces peuvent réduire la vulnérabilité au phishing de 86 % sur un an.

6.3 Politique et gouvernance#

• Divulgation à la SEC : Les nouvelles règles de divulgation de cybersécurité de la SEC (formulaire 8-K) exigent un signalement rapide des incidents importants. La violation de F5 Networks en 2024/2025, attribuée à un acteur étatique, a mis en évidence la complexité de ces divulgations, où le ministère de la Justice peut demander des retards pour des raisons de sécurité nationale.

• Directive NIS2 : En Europe, la directive NIS2 impose des mesures strictes de signalement des incidents et de gestion des risques, forçant les organisations à s'approprier les risques liés à la chaîne d'approvisionnement, y compris ceux introduits par le phishing.

7. Comment Corbado peut aider#

En remplaçant les mots de passe et la MFA basée sur les OTP par des clés d'accès (passkeys) basées sur FIDO et résistantes au phishing, Corbado garantit que l'authentification est liée de manière cryptographique à l'appareil et à l'origine de l'utilisateur, rendant inefficaces les attaques adversary-in-the-middle et les rejeux de session. Les passkeys ne peuvent pas être réutilisées, mandatées par proxy ou exfiltrées, même par des kits PhaaS hautement sophistiqués comme Tycoon 2FA.

Corbado est conçu pour les environnements d'entreprise réels : il s'intègre aux piles d'authentification existantes, prend en charge les déploiements progressifs et permet une MFA forte sans ajouter de friction pour l'utilisateur. Le résultat est une sécurité mesurablement plus élevée, de meilleurs taux de réussite de connexion et une défense durable contre le phishing piloté par l'IA à grande échelle.

8. Conclusion : le Phishing-as-a-Service#

La trajectoire du paysage des menaces de phishing pointe vers une adaptation autonome. Nous allons au-delà des attaques "automatisées" vers des attaques "autonomes". Les futurs agents d'IA ne se contenteront pas d'exécuter un script prédéfini ; ils apprendront de la réponse du défenseur. Si un défenseur bloque une adresse IP, l'IA la fera tourner. Si un défenseur corrige une vulnérabilité, l'IA réécrira l'exploit.

Dans cet article, nous avons également répondu aux questions clés suivantes :

1. Qu'est-ce que le Phishing-as-a-Service (PhaaS) ? Le Phishing-as-a-Service est un écosystème criminel de style SaaS dans lequel des kits de phishing prêts à l'emploi, des infrastructures et un support sont vendus via des abonnements, permettant même à des attaquants peu qualifiés de lancer des attaques très efficaces et évolutives, souvent capables de contourner la MFA via des techniques d'adversary-in-the-middle.

2. Quel rôle l'intelligence artificielle joue-t-elle dans les attaques de phishing modernes ? L'intelligence artificielle permet au phishing d'évoluer et de s'adapter en générant des leurres très crédibles et sur mesure ("vibe scamming"), en alimentant des attaques agentiques autonomes et en permettant des fraudes audio et vidéo deepfakes en temps réel qui peuvent déjouer la vérification humaine et les contrôles de sécurité traditionnels.

3. Comment les organisations peuvent-elles se défendre contre le phishing moderne (contrôles techniques, gestion des risques humains et gouvernance/politique) ? Les organisations doivent combiner une authentification résistante au phishing, soutenue par le matériel (par ex., les clés d'accès FIDO) et une détection par IA comportementale/visuelle avec une gestion des risques humains telle que la sensibilisation aux deepfakes et des protocoles de vérification hors bande, renforcée par une gouvernance solide et la conformité aux réglementations sur le signalement des incidents et les risques liés à la chaîne d'approvisionnement (par ex., les règles de la SEC et la norme NIS2).

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Qu'est-ce que le vibe scamming et pourquoi constitue-t-il une menace pour la sécurité des entreprises ?#

Le vibe scamming exploite des plateformes d'IA no-code comme Lovable pour générer des pages de phishing entièrement fonctionnelles à partir de simples requêtes en langage naturel. Guardio Labs a découvert que Lovable n'obtenait qu'un score de 1,8/10 en matière de refus de requêtes malveillantes, contre 8/10 pour ChatGPT. Proofpoint a observé des dizaines de milliers d'URL de phishing générées par Lovable distribuant des malwares actifs début 2025.

Comment le quishing contourne-t-il les passerelles de sécurité de messagerie d'entreprise ?#

Le quishing intègre des URL malveillantes dans des images de codes QR au sein d'e-mails ou de PDF, que les passerelles de messagerie sécurisées ne peuvent pas analyser. La victime scanne le code avec un smartphone personnel, contournant les protections des terminaux de l'entreprise avant que le site de phishing ne se charge dans le navigateur mobile. Ce vecteur d'attaque a connu une croissance de 25 % d'une année sur l'autre et est de plus en plus difficile à détecter.

Que s'est-il passé dans l'affaire de fraude par deepfake chez Arup et qu'est-ce que cela signifie pour la vérification d'identité ?#

En 2024, des attaquants ont convaincu un employé d'Arup d'autoriser 15 virements bancaires totalisant 200 millions HKD (25,6 millions de dollars US) en organisant un appel vidéo au cours duquel le directeur financier et plusieurs collègues étaient tous des deepfakes en temps réel. L'incident montre que la confirmation visuelle et audio lors des appels vidéo ne peut plus servir de méthode de vérification fiable sans un canal de confirmation secondaire hors bande.

Pourquoi les clés d'accès FIDO sont-elles plus résistantes aux attaques PhaaS que les SMS ou la MFA par application d'authentification ?#

Les clés d'accès FIDO (passkeys) sont liées de manière cryptographique à l'appareil spécifique de l'utilisateur et au domaine d'origine légitime, de sorte qu'un proxy inverse dans une attaque AiTM ne peut pas les capturer ou les rejouer. Contrairement aux codes SMS ou aux jetons OTP, les clés d'accès ne transmettent jamais de secret partagé, ce qui les rend impossibles à intercepter, même pour des plateformes sophistiquées comme Tycoon 2FA.

Quel taux de signalement de phishing une organisation doit-elle viser pour mesurer une solide culture de la sécurité ?#

Selon l'article, les organisations de classe mondiale atteignent des taux de signalement de phishing supérieurs à 20 %. Les organisations disposant de programmes de formation efficaces peuvent également réduire la vulnérabilité globale au phishing de 86 % sur un an, faisant de la culture du signalement un indicateur avancé de la posture de sécurité, au même titre que les contrôles techniques.