Panda SecurityLe phishing est devenu l’une des cybermenaces les plus rentables au monde. Mais en 2025, les experts observent une évolution encore plus inquiétante : l’essor du Phishing-as-a-Service (PhaaS), un modèle qui transforme les campagnes de phishing en véritables services « clé en main ».
Concrètement, des cybercriminels développent des plateformes prêtes à l’emploi permettant à d’autres attaquants de lancer facilement des arnaques sophistiquées. Faux sites Microsoft ou Google, récupération d’identifiants, hébergement, automatisation, tableaux de bord… tout est fourni sous forme d’abonnement, comme un logiciel SaaS classique.
Selon certains, entre 60 % et 70 % des campagnes de phishing détectées depuis le début de l’année 2025 seraient désormais liées au PhaaS.
Cette industrialisation du phishing inquiète fortement les spécialistes, car elle permet à des cybercriminels peu expérimentés de lancer des attaques de très haut niveau à grande échelle.
L’essentiel à retenir
- Le Phishing-as-a-Service transforme le phishing en service commercial prêt à l’emploi
- Des cybercriminels sans compétences avancées peuvent désormais lancer des attaques sophistiquées
- Certains kits sont capables de contourner l’authentification multifactorielle (MFA)
- Les campagnes sont plus crédibles, plus automatisées et plus difficiles à détecter
- Les entreprises restent les principales cibles, notamment via Microsoft 365 et Google Workspace
- La vigilance humaine et les protections multicouches deviennent essentielles.
Le phishing devient un service « clé en main »
Le principe du PhaaS est simple : au lieu de créer eux-mêmes toute leur infrastructure, les cybercriminels achètent ou louent des kits déjà prêts.
Ces plateformes proposent généralement :
- Des copies de sites populaires comme Microsoft ou Google
- Des modèles d’e-mails frauduleux
- Des systèmes de collecte d’identifiants
- Des outils d’automatisation
- Un hébergement intégré
- Des tableaux de bord de suivi.
Certaines plateformes offrent même un support technique via Telegram ou le dark web, avec mises à jour régulières et documentation complète.
Autrement dit, le phishing fonctionne désormais presque comme une activité commerciale classique.
Cette évolution change complètement l’échelle du problème. Il y a quelques années encore, mener une campagne crédible demandait des compétences techniques importantes. Aujourd’hui, une grande partie du processus est automatisée.
Pourquoi le PhaaS explose depuis 2025
Le succès du PhaaS s’explique principalement par la baisse massive de la barrière technique. Pour quelques dizaines de dollars par mois, des attaquants peuvent accéder à des outils extrêmement performants.
On entend parler notamment de plusieurs plateformes particulièrement actives cette année, dont Tycoon 2FA, EvilProxy, Mamba 2FA ou encore Sneaky 2FA. À lui seul. Tycoon 2FA représenterait environ 76 % des attaques PhaaS observées par les chercheurs.
Mais le plus inquiétant reste la sophistication croissante des techniques utilisées. Les chercheurs observent désormais :
- Des faux portails de connexion quasiment impossibles à distinguer des vrais
- Des systèmes capables de contourner certaines protections MFA
- Des techniques avancées de masquage d’URL
- Des redirections complexes destinées à tromper les filtres de sécurité.
Le phishing moderne ressemble de moins en moins aux anciennes arnaques grossières remplies de fautes d’orthographe.
Même le MFA peut être contourné
Pendant longtemps, l’authentification multifactorielle a été considérée comme l’une des meilleures protections contre le vol de comptes. Mais certains kits PhaaS sont désormais capables de contourner ces mécanismes.
Des plateformes comme Tycoon 2FA ou EvilProxy utilisent des techniques dites Adversary-in-the-Middle. Concrètement, elles interceptent en temps réel les identifiants et les codes MFA saisis par les victimes.
Pour l’utilisateur, tout semble normal. Il pense se connecter au véritable service. En réalité, les informations transitent par l’infrastructure du cybercriminel.
Certaines plateformes vont encore plus loin en volant directement les cookies de session, ce qui permet parfois de contourner totalement certaines protections après la connexion initiale.
Des campagnes beaucoup plus difficiles à détecter
Les nouveaux kits PhaaS utilisent des techniques de plus en plus sophistiquées pour échapper aux filtres de sécurité et inspirer confiance aux victimes.
Les cybercriminels exploitent aujourd’hui :
- Des domaines très crédibles
- Des copies quasi parfaites de Microsoft, Google ou DocuSign
- Des liens masqués
- Des pages générées dynamiquement
- Des techniques anti-détection avancées.
Certains kits utilisent même des caractères Unicode invisibles ou des systèmes de fragmentation d’URL capables de contourner certains outils de sécurité.
Les attaques deviennent également beaucoup plus personnalisées grâce aux données récupérées lors de précédentes fuites. Un e-mail contenant votre vrai nom, votre entreprise ou certaines informations personnelles paraît immédiatement plus crédible.
Les entreprises restent les principales cibles
Les plateformes PhaaS ciblent particulièrement les environnements professionnels comme Microsoft 365, Google Workspace ou les outils collaboratifs.
L’objectif n’est pas seulement de voler un mot de passe. Les cybercriminels cherchent souvent à :
- Accéder aux données internes
- Compromettre d’autres collaborateurs
- Détourner des paiements
- Préparer des attaques par ransomware
- Mener des campagnes de fraude plus larges.
Les PME sont particulièrement vulnérables, car elles disposent souvent de protections plus limitées que les grandes entreprises.
Pourquoi le phishing devient une véritable industrie
Le PhaaS illustre parfaitement l’industrialisation actuelle du cybercrime.
Aujourd’hui, certains groupes criminels se spécialisent uniquement dans le développement des kits de phishing, tandis que d’autres gèrent l’hébergement ou les infrastructures techniques. Les « clients », eux, se contentent de louer ces outils pour lancer leurs campagnes.
Cette organisation permet aux attaquants d’opérer beaucoup plus vite, avec davantage de volume et un niveau de sophistication toujours plus élevé.
Comment se protéger contre le PhaaS
Face à des attaques aussi crédibles, les protections traditionnelles ne suffisent plus toujours.
La vigilance reste essentielle, notamment face aux e-mails créant un sentiment d’urgence ou demandant une connexion rapide à un service en ligne. Vérifier attentivement les URLs avant de saisir ses identifiants reste également une habitude indispensable.
Les experts recommandent aussi d’utiliser des méthodes MFA résistantes au phishing, comme les clés de sécurité physiques, et de sensibiliser régulièrement les collaborateurs aux nouvelles techniques utilisées par les cybercriminels.
Enfin, les solutions de sécurité multicouches capables d’analyser les comportements suspects jouent un rôle de plus en plus important face à ces nouvelles générations d’attaques.
