top of page
Rechercher

Phishing 2025 : Les méthodes les plus redoutables… et comment s’en protéger

  • Photo du rédacteur: Maxime Chrp
    Maxime Chrp
  • 2 juil.
  • 3 min de lecture
Phishing

En 2025, le phishing n’a rien perdu de sa dangerosité. Bien au contraire, les cybercriminels rivalisent d’imagination pour tromper leurs victimes, qu’il s’agisse de particuliers ou d’entreprises. Et avec l’arrivée massive de l’intelligence artificielle dans leur arsenal, les attaques deviennent de plus en plus réalistes… et difficiles à repérer.

Alors, à quoi ressemble une attaque de phishing aujourd’hui ? Quelles sont les méthodes les plus utilisées ? Et surtout, comment s’en protéger ? On vous explique tout simplement.


📉 Une menace toujours bien vivante


Le phishing (ou « hameçonnage » en français) consiste à tromper un internaute pour lui faire révéler des informations sensibles : identifiants, mots de passe, données bancaires… Si ces arnaques existent depuis plus de 20 ans, elles ont beaucoup évolué.

En 2025, les techniques sont plus subtiles, plus ciblées et surtout plus efficaces, notamment grâce à l’IA générative et à une meilleure maîtrise de l’ingénierie sociale (l’art de manipuler une personne pour qu’elle fasse ce qu’on attend d’elle).


🚨 Les méthodes de phishing les plus utilisées en 2025

🧾 Les pièces jointes piégées (HTML, PDF, ZIP)


Vous recevez un email anodin, avec une facture, un CV ou une commande en pièce jointe ? Méfiance. En mai 2025, 72 % des campagnes de phishing utilisaient ce type de fichiers, contenant des liens masqués qui redirigent vers de faux sites (banques, Microsoft 365, etc.).

Une fois sur ces pages imitées à la perfection, l’utilisateur est invité à se connecter… et livre ses identifiants aux pirates sans le savoir.


📱 Le QR-phishing (« quishing »)


Les QR codes sont partout : dans les menus de restaurant, les flyers, les mails. Et c’est justement ce que les hackers exploitent. Le quishing consiste à intégrer un QR code malveillant dans un fichier Word, PDF ou même une image.

En le scannant avec votre smartphone, vous êtes redirigé vers un site piégé. Simple, discret et redoutablement efficace : 83 % des tentatives récentes observées utilisaient cette méthode.


🤖 L’IA au service du phishing


Oubliez les emails bourrés de fautes et les formules douteuses. En 2025, les hackers utilisent des IA génératives pour rédiger des messages parfaits, au ton crédible et personnalisés selon votre profil.

Pire encore, certains utilisent des deepfakes vocaux ou vidéo pour imiter la voix ou le visage d’un collègue ou d’un supérieur hiérarchique. Imaginez recevoir un appel vidéo de votre directeur vous demandant urgemment vos identifiants...


💣 Le cas « EvilProxy » : l’attaque qui contourne la double authentification


Les experts en cybersécurité ont identifié une attaque particulièrement vicieuse : EvilProxy. Ce kit de phishing agit en plusieurs étapes :

  1. Vous recevez un mail contenant une pièce jointe.

  2. Celle-ci vous redirige vers un faux portail Microsoft.

  3. Vous entrez vos identifiants… mais ce n’est pas tout.

  4. Le site récupère aussi les codes de double authentification (2FA) et les tokens de session.

Résultat : même avec une sécurité renforcée, votre compte est compromis. Et comme l’attaque s’étale sur plusieurs jours, elle est plus difficile à détecter.


🏢 Pourquoi les entreprises sont-elles particulièrement visées ?


Les entreprises utilisent de nombreux services cloud pour gérer leurs données : Microsoft 365, Google Workspace, Slack, Salesforce… Ce sont autant de portes d’entrée pour les cybercriminels.

Souvent, les hackers se font passer pour le service informatique interne :

“Votre mot de passe expire bientôt, cliquez ici pour le renouveler.” “Votre boîte mail est presque pleine, augmentez votre quota ici.”

Ces messages ont l’air officiels. Mais une fois cliqué, il est déjà trop tard.



🛡 Comment se protéger contre le phishing en 2025 ?


Utiliser une passerelle mail sécurisée (Secure Email Gateway)

Des solutions comme MailSecure permettent de bloquer en amont :

  • Les fichiers HTML et PDF suspects

  • Les liens vers des sites frauduleux

  • Les QR codes dangereux ou trompeurs


Miser sur l’analyse comportementale

Les nouveaux outils de cybersécurité intègrent l’IA pour détecter des comportements anormaux :

  • Des adresses email légèrement modifiées (ex. @micros0ft.com)

  • Des messages écrits avec des formulations « trop parfaites »

  • Des actions inhabituelles chez un utilisateur (connexion de nuit, depuis un autre pays…)


Sensibiliser les utilisateurs

La meilleure défense, c’est la vigilance humaine. Aujourd’hui, il est indispensable de former les salariés (et les particuliers) à repérer les signaux faibles d’une tentative de phishing :

  • Ne jamais scanner un QR code reçu par email sans vérifier la source

  • Toujours vérifier l’URL avant de se connecter

  • Se méfier des demandes urgentes ou des menaces (“suspension de compte”, “incident de sécurité”…)


コメント

bottom of page