Email Threat Trends : comment les attaquants réinventent les attaques par email
Les tendances des menaces par email évoluent plus rapidement que les plans d’action de la plupart des équipes. L’email a toujours été le pilier discret de la communication professionnelle, mais il est désormais en première ligne de presque toutes les menaces de sécurité liées à la messagerie : points d’entrée des ransomwares, vol d’identifiants ou encore exfiltration de données.
Les attaquants ne perdent plus de temps avec du spam bruyant ou des canulars grossiers. Ils combinent des leurres rédigés par l’IA, des escroqueries par email sophistiquées et des fichiers « inoffensifs » piégés afin de concevoir des attaques qui ressemblent à des échanges professionnels ordinaires… jusqu’à ce qu’un utilisateur clique.
Les données de notre Cybersecurity Report 2026 montrent clairement que ces tendances évoluent plus vite que les mécanismes de protection traditionnels, tels que les filtres statiques ou les formations annuelles. Les ransomwares connaissent un regain d’activité, les campagnes multi-vecteurs se propagent via les identités et les plateformes SaaS, et les failles dans la détection et la réponse aux menaces par email sont exploitées à grande échelle.
Dans les sections suivantes, nous analyserons les tendances derrière les chiffres, expliquerons comment les nouvelles techniques, l’automatisation et la compromission d’identifiants interagissent, et présenterons à quoi doit ressembler une défense moderne contre les menaces par email.
Cybersecurity Report 2026
L’accélération des menaces mondiales sous l’impulsion de l’IA
Nouvelles tendances des menaces par email qui façonnent 2025
Les e-mails restent la colonne vertébrale de la communication d’entreprise et, comme le montrent nos données, ils continuent également d’être le principal champ de bataille des attaquants. Les changements dans la classification et les types de menaces en 2025 révèlent deux réalités simultanées : les hackers expérimentent de nouveaux types de fichiers et des méthodes de livraison peu coûteuses (augmentation des fichiers TXT et DOC hérités), tandis que l’ingénierie sociale reste un levier constant pour compromettre les systèmes.
En termes simples : la quantité et la qualité changent. Alors que les volumes de spam classiques se sont stabilisés après normalisation, les catégories à fort impact (malwares, escroqueries, hameçonnage, etc.) connaissent une croissance substantielle. Cette combinaison (contenu plus dangereux diffusé à grande échelle) augmente la probabilité que même les organisations bien protégées soient confrontées à des incidents, à moins qu’elles n’adaptent leurs pratiques en matière de détection, de sensibilisation des utilisateurs et de récupération.
Spam, logiciels malveillants et mesures des menaces avancées
Les chiffres clés sont sans ambiguïté : les logiciels malveillants ont connu la plus forte augmentation relative (+130,92 %), suivis par les escroqueries (+34,70 %) et le phishing (+20,97 %). Ces trois catégories représentent la majeure partie du risque qui a un impact opérationnel (vol de données, cryptage, perturbation des activités).
Parallèlement, les catégories qui représentaient traditionnellement un risque moindre pour les entreprises, à savoir les messages légitimes, les e-mails transactionnels et commerciaux, n’ont connu qu’une évolution modeste, ce qui indique que les acteurs malveillants concentrent leurs efforts sur des types d’attaques à plus forte valeur ajoutée.
Principales implications :
- Prolifération des charges utiles malveillantes. Une augmentation de 131 % dans la classification des logiciels malveillants signifie que davantage d’e-mails contiennent des charges utiles actives (ou au moins des indicateurs de charge utile) plutôt que de simples nuisances. Les stratégies de détection doivent dans tous les cas partir du principe qu’il s’agit d’actes malveillants.
- Les escroqueries et les techniques avancées d’ingénierie sociale sont en hausse. Les scams (+34,7 %) associées au phishing (+21,0 %) indiquent que les hackers affinent leurs techniques et leur retour sur investissement. Ils mettent en place des fraudes plus convaincantes et des messages plus personnalisés, probablement grâce aux technologies d’IA générative.
- La croissance des « publicités malveillantes » sape les filtres heuristiques. L’augmentation des e-mails publicitaires malveillants (+17,72 %) suggère que les hackers informatiques pourraient utiliser des modèles marketing de moindre qualité pour contourner les filtres de contenu simples et se fondre dans le trafic marketing légitime.
- La part du spear phishing ciblé est en baisse, mais n’a pas disparu. Le spear phishing suspect est en baisse (-9,75 %), ce qui reflète probablement une évolution vers un phishing plus automatisé/standardisé et vers des approches de vol d’identifiants qui contournent la détection classique du spear phishing. Ne vous laissez pas bercer par un faux sentiment de sécurité : les attaques ciblées restent très efficaces, même si leur volume est moindre.
Email classification categories
| Catégorie | Variation annuelle ajustée 2025 par rapport à 2024 |
|---|---|
| Malware | +130.92% |
| Scam / Escroquerie | +34.70% |
| Phishing | +20.97% |
| E-mails commerciaux indésirables | +17.72% |
| Emails commerciaux | +2.37% |
| Messages légitimes | +3.38% |
| Transactionnels | +3.19% |
| Spam | +0.03% |
| Réseaux sociaux | -8.05% |
| Suspects / Spear Phishing | -9.75% |
| E-mails commerciaux professionnels | -13.73% |
| Rebonds (bounce) | -18.69% |
Descriptions des catégories :
- Spam : Messages électroniques non sollicités envoyés en masse à un grand nombre de destinataires, généralement à des fins publicitaires ou malveillantes.
- Hameçonnage / phishing : Messages électroniques frauduleux conçus pour inciter les destinataires à révéler des informations sensibles telles que des mots de passe, des numéros de carte de crédit ou des données personnelles.
- E-mails commerciaux : E-mails marketing ou promotionnels légitimes envoyés par des entreprises à leurs clients ou prospects, souvent pour annoncer des produits ou proposer des offres.
- Messages légitimes : Courriels authentiques et non promotionnels échangés entre des individus ou des organisations à des fins de communication normale.
- E-mails commerciaux professionnels : E-mails marketing de qualité professionnelle, souvent très ciblés et personnalisés, généralement utilisés dans les campagnes B2B.
- Transactionnels : E-mails déclenchés par des actions de l’utilisateur ou des événements système, tels que des confirmations de commande, des réinitialisations de mot de passe ou des notifications de compte.
- Réseaux sociaux : E-mails provenant de plateformes de réseaux sociaux, y compris les notifications, les demandes d’ajout à la liste d’amis et les alertes d’activité.
- Rebonds / bounce : E-mails qui ne parviennent pas à la boîte de réception du destinataire en raison d’adresses invalides, de boîtes aux lettres pleines ou de problèmes de serveur.
- E-mails commerciaux indésirables : E-mails marketing qui enfreignent les normes de conformité ou les bonnes pratiques, souvent mal formatés ou trompeurs.
- Escroquerie / scam : E-mails destinés à frauder les destinataires, impliquant souvent de fausses offres, des gains de loterie ou des stratagèmes d’usurpation d’identité.
- Malware : E-mails contenant des pièces jointes ou des liens malveillants conçus pour installer des logiciels nuisibles sur l’appareil du destinataire.
- Suspects / Spear Phishing : Tentatives de phishing très ciblées visant des personnes ou des organisations spécifiques, utilisant souvent des informations personnalisées pour paraître crédibles.
Techniques utilisées dans les attaques par e-mail en 2025
Le paysage des techniques d’attaque en 2025 montre une nette préférence pour les tactiques axées sur l’évasion : les attaquants se concentrent moins sur des charges utiles spectaculaires et plus sur la manière de contourner les filtres et la méfiance humaine.
Les principales techniques utilisées (falsification d’en-têtes, astuces HTML subtiles, utilisation d’hébergements légitimes et obscurcissement d’URL) sont toutes optimisées pour dissimuler les intentions malveillantes dans des e-mails d’apparence anodine.
Cette évolution explique pourquoi nous observons moins d’exemples évidents de spear phishing, mais davantage de vols d’identifiants et d’intrusions en plusieurs étapes réussis : l’e-mail n’est que la première étape, et non la conclusion.
Principales observations :
- La manipulation des en-têtes et des métadonnées domine. Les en-têtes falsifiées et manipulées liées au spam arrivent en tête de liste, ce qui démontre que l’usurpation d’identité et la falsification des métadonnées restent des méthodes peu coûteuses et très efficaces pour contourner les filtres naïfs et susciter la confiance des utilisateurs.
- L’abus d’infrastructures légitimes est en augmentation. L’envoi de campagnes via des plateformes d’hébergement réputées donne l’impression que les e-mails malveillants proviennent de sources fiables. Cette tactique augmente la délivrabilité et réduit la suspicion immédiate des filtres.
- L’obfuscation des URL est omniprésente. Le raccourcissement des URL, les caractères non ASCII, les TLD (domaines de premier niveau) exotiques et le fuzzing de domaine sont autant de moyens simples de masquer l’intention de la destination et de contourner les listes de blocage ou l’inspection visuelle.
- Les astuces HTML / MIME visent à semer la confusion chez les détecteurs, pas chez les lecteurs. Les balises <a> vides, les messages en plusieurs parties et l’insertion de polices de taille nulle sont conçus pour tromper les moteurs d’analyse basés sur les signatures et les mots-clés tout en préservant la lisibilité pour les destinataires.
- Les techniques d’évasion automatisées et à grand volume sont plus efficaces que les attaques ciblées à petite échelle. Ces techniques sont évolutives : les attaquants peuvent lancer de nombreuses campagnes qui semblent inoffensives individuellement, mais qui, collectivement, permettent de capturer des identifiants, de compromettre des comptes ou d’effectuer des téléchargements en chaîne.
Les 10 principales techniques utilisées dans les attaques par e-mail en 2025
| Classement | Technique |
|---|---|
| 1 | Fausse modification de l’en-tête « From » |
| 2 | Fausse modification de l’en-tête « Spamcause » |
| 3 | Utilisation d’une plateforme d’hébergement légitime pour envoyer la campagne |
| 4 | Utilisation de TLD exotiques ou inexistants |
| 5 | Raccourcissement d’URL |
| 6 | Balise HTML <a> vide |
| 7 | E-mails en plusieurs parties |
| 8 | URL avec des caractères non ASCII |
| 9 | Domaines aléatoires / Fuzzing d’URL |
| 10 | Technique ZeroFont |
Descriptions des techniques :
- Falsification de l’en-tête « From» : Les pirates falsifient l’en-tête « From» dans les e-mails afin d’usurper l’identité d’expéditeurs de confiance, incitant ainsi les destinataires à croire que l’e-mail est légitime.
- Falsification de l’en-tête « Spamcause » : Manipulation des en-têtes liés au spam afin de contourner les filtres anti-spam et de donner l’impression que les e-mails malveillants sont sûrs.
- Utilisation d’une plateforme d’hébergement légitime pour envoyer des campagnes : Utilisation de services d’hébergement ou de messagerie électronique réputés (par exemple, des plateformes cloud) pour diffuser des campagnes de phishing ou malveillantes, rendant leur détection plus difficile.
- Utilisation de TLD exotiques ou inexistants : Utilisation de domaines de premier niveau inhabituels ou faux (par exemple, .xyz, .club) pour créer des URL trompeuses qui semblent légitimes.
- Raccourcissement d’URL : Utilisation de raccourcisseurs d’URL (par exemple, bit.ly) pour masquer la véritable destination des liens malveillants, ce qui les rend plus difficiles à détecter.
- Balise HTML vide : Intégration de balises d’ancrage vides dans les e-mails HTML pour semer la confusion dans les filtres anti-spam ou masquer des liens malveillants.
- E-mails en plusieurs parties : Envoi d’e-mails comportant plusieurs parties MIME (par exemple, texte et HTML) afin d’échapper à la détection par les outils de sécurité.
- URL avec des caractères non ASCII : Inclusion de caractères spéciaux ou Unicode dans les URL afin de créer des liens trompeurs visuellement (par exemple, attaques par homoglyphes).
- Domaines aléatoires / Fuzzing d’URL : Génération de domaines aléatoires ou légèrement modifiés pour contourner les systèmes de filtrage et de détection basés sur les domaines.
- Technique ZeroFont : Insertion de texte en police de taille zéro dans les e-mails afin de manipuler les filtres basés sur des mots-clés tout en conservant la lisibilité du message pour les humains.
Utilisation et types de pièces jointes dans les attaques
Les tendances en matière de pièces jointes en 2025 montrent un changement radical dans la stratégie de diffusion des logiciels malveillants. Les formats de fichiers qui connaissent la plus forte croissance sont TXT (+181,39 %) et DOC (+118,25 %), tandis que les formats ZIP et Office modernes (DOCX, XLSX) sont également présents, mais connaissent une croissance plus modeste.
Les vecteurs hérités ou autrefois populaires (HTML, RAR, HTM, XLS) ont décliné, tandis que ICS et SHTML font leur apparition dans notre top 10. Cela indique que les hackers recherchent des types de fichiers négligés ou peu contrôlés, ainsi que des fichiers de calendrier ou des vecteurs d’inclusion côté serveur.
Points clés à retenir :
- Les fichiers TXT et DOC hérités sont des signaux d’alarme. Les fichiers TXT, largement considérés comme « à faible risque », sont utilisés comme artefacts de préparation (contenant des URL ou des scripts obscurcis). Les anciens fichiers DOC (avec prise en charge des macros) restent attractifs, car de nombreux environnements autorisent encore ou ne parviennent pas à inspecter de manière approfondie les macros Office.
- Les archives restent importantes. Les fichiers ZIP (+29,82 %) restent un vecteur de regroupement et de contournement des charges utiles ; les archives compressées continuent d’être une tactique fiable pour les hackers.
- L’émergence des formats ICS et SHTML est remarquable. Les invitations de calendrier (ICS) et les variantes d’inclusion de serveur (SHTML) représentent des vecteurs non traditionnels qui peuvent contourner certains filtres de messagerie et les attentes des utilisateurs. Cela est particulièrement vrai pour les destinataires qui acceptent les éléments de calendrier ou prévisualisent le contenu HTML.
- Le déclin des formats HTML/HTM/RAR/XLS reflète probablement un renforcement des mesures de défense, mais les hackers redirigent leurs attaques vers des canaux moins surveillés plutôt que d’abandonner complètement le courrier électronique comme vecteur.
Types de fichiers utilisés pour les charges utiles malveillantes en 2025
| Type de fichier | Variation annuelle ajustée 2025 par rapport à 2024 |
|---|---|
| TXT | +181.39% |
| DOC | +118.25% |
| ZIP | +29.82% |
| DOCX | +11.69% |
| XLSX | +7.85% |
| -3.32% | |
| HTML | -27.44% |
| RAR | -36.93% |
| HTM | Sorti du top 10 |
| XLS | Sorti du top 10 |
| ICS | Nouvelle entrée dans la liste en 2025 |
| SHTML | Nouvelle entrée dans la liste en 2025 |
Définitions des types de fichiers :
- PDF : Portable Document Format – Couramment utilisé pour les documents ; les hackers intègrent souvent des liens ou des scripts malveillants dans les fichiers PDF.
- DOC : Document Microsoft Word (ancien) – Ancien format de fichier Word ; peut contenir des macros qui exécutent du code malveillant.
- DOCX : Document Microsoft Word (moderne) – Format Word actuel ; prend en charge les macros et scripts intégrés qui peuvent être exploités.
- XLS : Feuille de calcul Microsoft Excel (ancienne) – Ancien format Excel ; souvent ciblé par des attaques basées sur des macros.
- XLSX : Feuille de calcul Microsoft Excel (moderne) – Format Excel actuel ; peut inclure des macros ou des liens malveillants.
- TXT : Fichier texte brut – Fichiers texte simples ; les hackers peuvent les utiliser pour diffuser du contenu de phishing ou des scripts déguisés en texte.
- HTML : Fichier HyperText Markup Language – Format de page Web ; souvent utilisé dans les e-mails de phishing avec des liens malveillants intégrés.
- HTM : Fichier HTML (variante) – Similaire au HTML. Ancienne extension de fichier pour les fichiers HTML ; utilisé pour le contenu Web et les charges utiles de phishing.
- SHTML : Fichier HTML sécurisé – Variante HTML prenant en charge les inclusions côté serveur ; peut être exploité pour des redirections malveillantes.
- ZIP : Fichier d’archive compressé – Couramment utilisé pour regrouper des fichiers ; les attaquants cachent des logiciels malveillants dans des archives compressées.
- RAR : Fichier d’archive compressé (alternative) – Similaire au ZIP, mais utilise un algorithme de compression différent ; souvent utilisé pour la diffusion de logiciels malveillants.
- ICS : Fichier calendrier – format iCalendar ; les hackers utilisent des invitations de calendrier malveillantes pour diffuser des liens de phishing ou des charges utiles.
Protégez votre environnement Microsoft 365 contre les menaces par email en constante évolution
La résurgence des ransomwares et l’évolution des tendances des menaces par email montrent que les protections natives de Microsoft 365 ne suffisent pas. Vous avez besoin d’une solution dédiée de protection contre les menaces par email, capable de contrer les techniques d’évasion, l’abus d’identités et les campagnes multi-vecteurs.
Hornetsecurity 365 Total Protection ajoute une protection avancée des emails à Microsoft 365, en combinant filtrage piloté par l’IA et sandboxing afin de bloquer les messages suspects en amont.
La solution intègre un scanner de menaces par email basé sur l’IA qui analyse :
- les en-têtes falsifiés,
- les fichiers TXT piégés,
- et les URL obfusquées
avant même qu’ils n’atteignent les utilisateurs.
S’appuyant sur une veille mondiale des menaces par email, le service apprend en continu à partir des nouvelles campagnes afin que vos politiques et vos mécanismes de détection gardent toujours une longueur d’avance sur les attaquants.
Grâce à une protection automatisée contre les menaces par email, vous empêchez les attaques modernes d’atteindre les boîtes de réception et sécurisez durablement votre environnement Microsoft 365. Découvrez 365 Total Protection dès aujourd’hui.
Conclusion : transformer les tendances des menaces par email en actions concrètes
Pris dans leur ensemble, les données de cette année dressent un constat simple, mais préoccupant : les attaques par email deviennent plus discrètes, plus sophistiquées et plus efficaces pour contourner les mécanismes de sécurité traditionnels. Les tendances les plus dangereuses sont celles qui se dissimulent dans des conversations, des partages de fichiers et des workflows apparemment légitimes, plutôt que celles qui attirent immédiatement l’attention.
Entre les en-têtes falsifiés, l’abus de plateformes d’hébergement légitimes, les fichiers TXT piégés et les invitations de calendrier malveillantes, les attaquants optimisent chaque étape de la chaîne de diffusion afin d’échapper aux filtres et d’exploiter la confiance des utilisateurs. Les organisations qui s’appuient encore sur des passerelles obsolètes ou une sensibilisation minimale offrent, de fait, aux acteurs avancés davantage de temps pour tester et affiner leurs modes opératoires.
Réduire cet écart suppose de considérer l’email comme un maillon d’un écosystème plus large mêlant ransomware et compromission d’identités : contrôles multicouches, authentification forte, supervision continue et sensibilisation des utilisateurs alignée sur la réalité actuelle, et non sur les schémas de fraude par email d’il y a plusieurs années.
L’email ne disparaîtra pas, pas plus que les attaquants. Mais vous n’êtes pas sans défense. Avec la bonne combinaison de politiques, de formation et de plateformes modernes de protection contre les menaces par email, les équipes de sécurité peuvent transformer les données brutes sur les tendances des menaces par email en mesures concrètes qui assurent la continuité des activités, même à mesure que les attaquants évoluent.
FAQ : tendances des menaces par email et ransomware moderne
Pourquoi les fichiers TXT et les anciens fichiers DOC sont-ils devenus si présents dans les tendances récentes des menaces par email ?
Parce que les attaquants se tournent vers des types de fichiers que de nombreux mécanismes de sécurité considèrent comme peu risqués. Les fichiers TXT passent souvent pour du simple texte, mais peuvent dissimuler des URL obfusquées ou des scripts déclenchant une menace en plusieurs étapes. Les anciens fichiers DOC, quant à eux, prennent encore en charge les macros dans de nombreux environnements et constituent des vecteurs idéaux pour des charges malveillantes furtives.
Qu’est-ce qui rend ces nouvelles attaques par email plus difficiles à détecter ?
Les campagnes modernes reposent avant tout sur l’évasion plutôt que sur des charges malveillantes évidentes. Les acteurs de la menace combinent en-têtes falsifiés, hébergement légitime, messages multipartites, extensions de domaine exotiques, techniques comme le ZeroFont et autres stratagèmes destinés à tromper les filtres et les outils d’analyse. L’email paraît ainsi anodin, tout en facilitant discrètement le vol d’identifiants, le déploiement de ransomwares ou une compromission ultérieure.
Si le spear phishing semble diminuer dans les données, cela signifie-t-il que les attaques ciblées par email sont en recul ?
Absolument pas. La baisse du spear phishing classique reflète surtout un basculement vers le vol automatisé d’identifiants et le phishing à grande échelle, rendus plus efficaces par de meilleurs outils et par l’IA. Les attaques ciblées, élaborées manuellement et visant des profils à forte valeur, restent bien présentes. Elles s’inscrivent désormais dans un volume beaucoup plus important de campagnes industrialisées. C’est précisément pourquoi les organisations ont besoin d’une visibilité continue sur les tendances des menaces par email et de contrôles robustes pour détecter les attaques réellement critiques.
