Monthly Threat Report Avril 2025

Introduction

Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces par emails et les événements actuels dans le domaine de la cybersécurité. Cette édition se concentre sur les données du premier trimestre de l’année 2025.

Ce que vous allez découvrir ce mois

• Le nombre d’attaques peu sophistiquées a augmenté au premier trimestre probablement alimentée par l’utilisation croissante de l’IA générative par les cybercriminels
• Les fichiers PDF, archives et HTML ont été les trois principaux types de fichiers utilisés pour la distribution de payloads malveillants au premier trimestre.
• On observe une baisse de l’indice de menace par email pour tous les secteurs au premier trimestre par rapport au quatrième, probablement due à la fin des fêtes.
• DocuSign, DHL et PayPal ont été les marques les plus touchées par l’usurpation d’identité au premier trimestre.
• La possibilité de construire des kits de phishing entiers à l’aide d’outils d’IA est toujours d’une facilité déconcertante.
• Une nouvelle attaque de la supply chain a exploité GitHub Actions à partir de tokens SpotBug compromis.
• Le secteur a été agité par des rumeurs de brèche de sécurité chez Oracle Cloud, une information confirmée à contrecœur par l’entreprise qui n’a fourni que peu de détails.

Vue d’ensemble des cybermenaces

Emails indésirables classés par catégorie

Le graphique suivant montre la répartition des emails indésirables par catégorie pour Q1 2025 par rapport à Q4 2024.

Le premier trimestre 2025 a vu une augmentation notable des attaques peu sophistiquées par rapport au dernier trimestre 2024. Ces attaques, basées sur des méthodes facilement détectables ou provenant de sources malveillantes connues, sont instantanément rejetées par notre système de détection.

L’essor de l’IA générative pourrait être à l’origine de l’augmentation de ce type d’attaques. En simplifiant la création et la diffusion d’emails frauduleux, cette technologie contribue à l’accroissement de leur volume.

NOTE : Pour rappel, la catégorie “Rejeté” concerne les emails que les services Hornetsecurity ont rejetés durant le dialogue SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur ou l’adresse IP. Si un expéditeur est déjà identifié comme compromis, le système ne procède pas à une analyse plus approfondie. Le serveur SMTP refuse le transfert  de l’email dès le point de connexion initial en se basant sur la réputation négative de l’IP et de l’identité de l’expéditeur.

Les autres catégories du schéma sont décrites dans le tableau ci-dessous :

Catégorie	Description
Spam	Ces emails sont indésirables et souvent de nature promotionnelle ou frauduleuse. Ils sont envoyés simultanément à un grand nombre de destinataires.
Threat	Ces emails contiennent du contenu dangereux, tels que des pièces jointes ou des liens malveillants, ou sont envoyés dans le but de commettre des crimes tels que le phishing.
AdvThreat	La protection contre les menaces avancées (Advanced Threat Protection) a détecté une menace dans ces emails. Ces derniers sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejected	Notre serveur de messagerie rejette directement ces emails lors de l’échange SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, sans procéder à une analyse plus approfondie.

Types de fichiers utilisés dans les attaques emails

Le graphique suivant présente la répartition des types de fichiers utilisés dans les attaques par email au cours de la période étudiée.

La plupart des types de fichiers ont vu leur utilisation diminuer au premier trimestre 2025. Parmi les exceptions figurent les PDF, les images disque et les XLSX, qui ont tous enregistré une augmentation. La baisse générale montre que l’ingénierie sociale et les outils de vol d’identifiants (comme Evilginx) fonctionnent mieux que les pièces jointes malveillantes pour les cybercriminels. On s’attend à ce que cette tendance se poursuive dans les mois qui arrivent.

Indice de menace par email selon le secteur d’activité

Le graphique suivant présente notre Indice de menace par email selon le secteur d’activité. Cet indice est calculé en comparant le nombre d’emails malveillants reçus par les entreprises d’un secteur donné avec le nombre d’emails légitimes reçus par ces mêmes entreprises (médiane). Le volume d’emails reçus varie considérablement d’une entreprise à l’autre. Pour établir une comparaison équitable, nous calculons le pourcentage d’emails malveillants par rapport au nombre total d’emails (malveillants et légitimes) reçus par chaque entreprise. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les entreprises d’un même secteur afin d’obtenir le score de menace final du secteur.

Au premier trimestre 2025, le nombre de menaces par e-mail a baissé dans tous les secteurs. Ce phénomène est habituel pour la majorité des premiers trimestres, les attaques liées aux fêtes de fin d’année s’estompant.

Usurpation d’identité de marques et d’organisations

Le graphique suivant présente les marques et organisations les plus souvent usurpées par les cybercriminels.

Bien que les attaques par usurpation d’identité aient globalement diminué, DocuSign, DHL et PayPal restent les marques les plus ciblées. La présence de DocuSign dans ce classement n’est guère surprenante compte tenu de la période actuelle de dépôt des déclarations fiscales aux États-Unis. DHL et PayPal sont des noms fréquemment rencontrés dans ce classement, le premier en tant qu’acteur majeur de la livraison et le second du paiement en ligne. Des secteurs qui en font des cibles privilégiées pour les cybermenaces.

Suivi de nos travaux de recherche sur les kits de phishing conçus à l’aide de l’IA.

Dans le rapport du mois dernier, nous détaillions comment nous avions utilisé certains des derniers modèles d’IA pour construire avec succès un kit de phishing complet. Réalisé avec un minimum voire aucune forme de “jailbreaking”, ce système fonctionnel pouvait copier les pages de connexion Netflix pour voler les identifiants et les données bancaires.

Nous avons approfondi cette étude pour mesurer la sophistication d’un kit qu’un acteur malveillant avec des compétences en codage minimes pourrait concevoir. Bien que les pages de connexion contrefaites aient été jusqu’à présent relativement crédibles, elles auraient quand même été facilement repérées par des utilisateurs vigilants.

Pour la phase suivante de ce projet, notre équipe avait pour objectifs d’améliorer la qualité visuelle de la page afin de la rendre plus convaincante et d’intégrer une assistance multilingue via le LLM. C’est une pratique qu’un acteur malveillant plus aguerri serait susceptible d’adopter car si la victime réside en Allemagne et que le lien malveillant affiche une version française de la page de connexion, la victime sera plus susceptible de douter de la légitimité de cette page. Grâce à une série de prompts, nous avons réussi à ce que le LLM modifie l’écran de connexion et le rende adaptable selon la région

Par exemple, ci-dessous se trouve un écran de connexion Netflix en langue allemande.

Il est également important de noter que de nombreuses API de traduction (comme Google Traduction) sont des services payants. Par conséquent, lors de nos tests, nous nous sommes appuyés uniquement sur le LLM pour effectuer toute la traduction linguistique en fonction de l’adresse IP et de la localisation de la cible.

Nous avons appliqué ces mêmes étapes pour voir si une approche similaire pouvait être employée pour copier le site des impôts français (très fréquenté) et faire une première version utilisable de notre outil de phishing. Les étapes et le résultat sont présentés ci-dessous.

• Procédé :
  • Création de la page de connexion
    • Tâche : Développer une page de connexion ressemblant à l’esthétique su site impots.gouv.fr
    • Durée: environ 30 secondes d’échange avec l’IA.
    • Approche : L’IA a reçu pour instruction de générer du code HTML/CSS/JavaScript pour une page de connexion standard, en lui fournissant une capture d’écran de la page authentique.
  • Implémentation technique
    • HTML: Structuration d’un formulaire simple avec des champs que l’on trouve sur la page réelle.
    • CSS : Mise en forme pour imiter l’identité visuelle d’impots.gouv.fr.
    • JavaScript: Ajout d’une fonctionnalité de base pour la soumission du formulaire (aucune collecte de données sensibles au départ).
  • Résultat
    • Une page de connexion fonctionnelle a été créée, servant de base pour les étapes suivantes, où l’IA a démontré sa capacité à affiner efficacement le code et la langue de manière constante.

Ceci démontre que l’IA est un outil facile à utiliser pour les cybercriminels débutants et que, malgré les efforts des principaux fournisseurs de LLM, il reste aisé de concevoir des outils malveillants à l’aide de LLM disponibles publiquement.

Incidents majeurs et événements de l’industrie

Nouvelle Supply Chain Attack via GitHub

En mars 2025, une supply chain attack utilisant GitHub a exposé des vulnérabilités dans plusieurs repositories, résultant d’un token SpotBugs compromis. Les acteurs malveillants ont initialement accédé à l’outil d’analyse de sécurité en exploitant un Personal Access Token (PAT) divulgué, ce qui leur a permis d’infiltrer des projets. L’attaque a rapidement progressé, les attaquants se déplaçant latéralement pour compromettre d’autres repositories, dont Reviewdog, un outil d’automatisation très répandu. Par la manipulation des GitHub tags, ils se sont assurés que des développeurs peu soupçonneux téléchargeraient des versions compromises de tj-actions/changed-files, un outil de workflow essentiel. La brèche a finalement conduit à l’exposition d’identifiants sensibles dans 218 repositories, soulevant des inquiétudes quant à la menace croissante des software supply chain attacks.

Malgré l’échec de l’attaque contre Coinbase, qui était une cible de départ, cet incident a révélé des failles de sécurité importantes dans les workflows GitHub Actions et le traitement des third-party tokens. Les chercheurs en sécurité ont insisté sur l’impératif pour les entreprises d’auditer les repositories afin de détecter toute modification non autorisée, et d’éviter d’utiliser les balises “latest” dans les scripts d’automatisation, en optant plutôt pour des dépendances fixes. Cette brèche met une nouvelle fois en lumière comment les vulnérabilités de la supply chain peuvent être exploitées pour infiltrer des trusted open-source projects, soulignant l’importance de contrôles de sécurité continus dans les environnements de développement.

Brèche Oracle Cloud

Il y a quelques semaines, un cybercriminel connu sous le nom de “rose87168” a affirmé avoir piraté Oracle Cloud, compromettant prétendument six millions de mots de passe chiffrés, des fichiers Java KeyStore (JKS) et des données de clés d’authentification. L’attaquant a publié des extraits des informations volées sur des forums illégaux, cherchant de l’aide pour décrypter les fichiers confidentiels et exigeant une rançon des entreprises affectées. Alors que des experts en cybersécurité ont confirmé l’authenticité de certains enregistrements divulgués, Oracle a gardé le silence pendant des jours, sans faire la moindre déclaration concernant l’incident. Ce manque de transparence a engendré de la confusion parmi les clients de l’entreprises, dont beaucoup ont eu du mal à évaluer leur exposition face au piratage. Finalement, sous la pression grandissante des experts en cybersécurité et des entreprises affectées, Oracle a admis avec réticence qu’une violation avait eu lieu, tout en minimisant sa gravité, attribuant les données dérobées à “deux serveurs obsolètes” plutôt qu’à son infrastructure cloud principale.

En dépit de cette admission, la réponse d’Oracle a été accueillie avec frustration, l’entreprise persistant à minimiser l’impact sans donner de solutions claires aux clients touchés. Les professionnels de la sécurité ont insisté sur le fait que les données ayant fuité comprenaient des identifiants LDAP, des informations de connexion cryptées et des fichiers de gestion de clés, soulevant des inquiétudes quant à des conséquences plus vastes. Le manque de transparence et la réaction tardive d’Oracle ont poussé certains clients à entamer des actions en justice pour défaut de communication immédiate. Cet incident met en lumière les inquiétudes persistantes sur la sécurité du cloud et la nécessité d’une communication rapide en cas de brèche, car des réponses tardives peuvent gravement compromettre la sécurité des entreprises touchées.

Prévisions pour les mois à venir

• En raison de la période fiscale actuellement en cours dans de nombreux pays, il est probable que nous observions lors du second trimestre une augmentation du spam et des tentatives d’usurpation d’identité.
• La communauté surveillera avec attention les services cloud, au regard notamment du dénouement de la brèche d’Oracle Cloud.

---

Recommandations mensuelles

• Renforcer les mesures de sécurité des e-mails – Devant la montée des attaques peu sophistiquées rendues possibles par l’IA générative, les équipes informatiques doivent réexaminer leur système de sécurité. L’implémentation d’un filtrage renforcé et la formation des employés aideront à atténuer les risques.
• Auditer les File-Based Attack Entry Points – Face à l’utilisation grandissante des formats PDF, des fichiers images disque et XLSX dans les attaques par e-mail, les services informatiques doivent s’assurer que leurs solutions de sécurité analysent correctement ce type de pièces jointes avant leur distribution en interne.
• Mieux se défendre contre l’usurpation d’identité de marque – Étant donné que DocuSign, DHL et PayPal restent des cibles privilégiées pour les attaques par usurpation d’identité, les organisations devraient sensibiliser les employés à l’identification de celles-ci et envisager la mise en place de DMARC pour leurs propres domaines.
• Surveiller les menaces de phishing basées sur l’IA – La capacité de l’IA générative à générer des kits de phishing multilingues et graphiquement convaincants souligne la nécessité d’une sécurité proactive. Il est donc crucial que les équipes informatiques mènent des simulations de phishing régulières et adoptent des solutions de détection basées sur l’IA pour faire face à ces menaces en constante évolution.
• Renforcer la sécurité de la supply chain et du cloud – Les récents incidents concernant des brèches de sécurité chez GitHub Actions et Oracle Cloud mettent en évidence l’impératif de renforcer la sécurité des tokens, d’implémenter une rotation régulière des identifiants et de s’abstenir d’utiliser les balises “latest” dans l’automatisation des logiciels.

---

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.