Une nouvelle méthode de phishing exploite les formulaires web d’entreprise

Les cybercriminels ont trouvé une nouvelle façon d’exploiter les formulaires de contact sur les sites web des entreprises pour lancer des attaques de phishing. Cette méthode ingénieuse utilise des e-mails qui paraissent fiables aux yeux des victimes, car ils semblent provenir d’organisations légitimes. Découvrons ensemble comment cette tactique fonctionne et pourquoi elle représente une menace sérieuse.

Résumé en 3 points

• Les cybercriminels utilisent les formulaires de contact sur les sites web pour envoyer des e-mails de phishing.
• Cette méthode permet de contourner facilement les contrôles de sécurité, rendant les messages plus crédibles.
• Elle nécessite moins d’efforts techniques, augmentant ainsi sa portée et sa difficulté à être détectée.

Une exploitation ingénieuse des formulaires web

Les chercheurs du KnowBe4 Threat Lab ont mis en lumière une nouvelle tactique de phishing où les cybercriminels exploitent les formulaires de contact et de rendez-vous disponibles sur les sites web. Au lieu de pirater des comptes e-mail, les attaquants se contentent de remplir ces formulaires avec des informations falsifiées. Les e-mails de confirmation envoyés par les organisations servent ensuite à tromper les victimes.

Cette méthode a été observée pour la première fois en septembre 2025. Elle repose sur la confiance que les victimes accordent aux e-mails provenant de domaines apparemment fiables. Les messages parviennent souvent à contourner les systèmes de sécurité, ce qui augmente le taux de succès des cybercriminels.

Un processus en trois étapes

Selon KnowBe4, l’approche des cybercriminels pour ce type de phishing suit un schéma en trois étapes. Tout d’abord, ils créent un compte e-mail gratuit, qu’ils configurent pour ressembler à celui d’une organisation existante. Ensuite, ils utilisent ce compte pour remplir des formulaires de contact avec leurs coordonnées. Enfin, lorsque l’organisation envoie un e-mail de confirmation, celui-ci est transféré automatiquement à une liste de victimes potentielles.

Cette stratégie simplifie le processus par rapport aux techniques de phishing traditionnelles, car elle ne nécessite pas de compromettre des comptes e-mail ou de manipuler des serveurs de messagerie.

Les implications pour la sécurité des entreprises

Cette nouvelle forme de phishing représente un défi majeur pour la sécurité des entreprises. Elle est non seulement facile à mettre en œuvre, mais également plus difficile à détecter. Selon les données fournies par KnowBe4, en 2025, 59 % des attaques de phishing provenaient déjà de comptes compromis. L’émergence de cette technique pourrait modifier ce paysage.

Les entreprises doivent donc renforcer leurs mesures de sécurité pour détecter et bloquer ces types de menaces de manière plus proactive.

KnowBe4 et la lutte contre le phishing

KnowBe4 est une entreprise spécialisée dans la formation à la sécurité informatique et la sensibilisation au phishing. Elle fournit des outils et des ressources pour aider les organisations à protéger leurs systèmes et à éduquer leurs employés sur les menaces potentielles.

Avec l’évolution constante des techniques de phishing, KnowBe4 reste à l’avant-garde pour identifier les nouvelles stratégies des cybercriminels et proposer des solutions adaptées. Leur travail est essentiel pour aider les entreprises à naviguer dans un paysage numérique de plus en plus complexe et dangereux.