Partner Login

Monthly Threat Report Février 2026

Usurpation d’emails et extorsion de données

Écrit par Security Lab / 10.02.2026 /
Home » Blog » Monthly Threat Report Février 2026

Introduction

Le rapport mensuel sur les menaces de Hornetsecurity vous apporte chaque mois des informations sur les tendances de sécurité M365, les menaces par email et des commentaires sur l’actualité de la cybersécurité. Cette édition du rapport mensuel sur les menaces se concentre sur les données et les événements du secteur pour le mois de janvier 2026.

Résumé exécutif

  • L’authentification des emails reste une défense de première ligne : La mise en œuvre correcte de SPF, DKIM et DMARC continue de bloquer un pourcentage significatif de tentatives de phishing, d’usurpation d’identité et de BEC avant qu’elles n’atteignent les utilisateurs finaux.
  • L’extorsion axée sur le vol de données s’accélère : La violation de Nike renforce une tendance croissante où les attaquants privilégient le vol et la fuite de données internes plutôt que le chiffrement des systèmes.
  • Microsoft Office reste un vecteur d’accès initial privilégié : L’exploitation active d’une faille zero-day Office souligne une fois de plus la rapidité avec laquelle les attaquants transforment les vulnérabilités documentaires en armes.
  • Les plateformes d’automatisation deviennent des cibles de grande valeur : Les failles critiques de n8n démontrent comment les outils de workflow disposant d’un large accès SaaS peuvent rapidement devenir les « clés du royaume ».
  • L’IA transforme la découverte de vulnérabilités : La recherche assistée par l’IA a révélé de multiples failles OpenSSL, signalant à la fois une opportunité défensive et des cycles de développement d’exploits plus rapides.
  • La vitesse des attaques continue de dépasser les cycles de correctifs : Les mises à jour hors cycle et les délais d’exploitation rapides augmentent la pression opérationnelle sur les équipes de sécurité et informatiques.

Vue d’ensemble des menaces

La valeur durable des protocoles d’authentification des emails : SPF, DKIM et DMARC

L’email reste l’un des vecteurs les plus exploités pour l’accès initial dans les cyberattaques. Il peut s’agir de collecte d’identifiants, de compromission de messagerie professionnelle (BEC), de fraude, d’usurpation d’identité, de campagnes de phishing, etc., ciblant à la fois les employés et/ou les clients MSP. Bien qu’aucun contrôle unique ne puisse bloquer toutes les menaces par email, le trio SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance) continue de prouver sa valeur en tant que couche de protection fondamentale qui bloque un large éventail d’abus avant même qu’ils n’arrivent dans une boîte de réception.

Fondamentalement, SPF permet au propriétaire d’un domaine de déclarer quels serveurs de messagerie ou services sont autorisés à envoyer des emails au nom de son domaine. DKIM va plus loin en signant cryptographiquement les messages sortants pour s’assurer que le contenu n’a pas été altéré en transit. DMARC relie les deux avec une couche de politique qui dicte comment les destinataires doivent traiter les emails échouant à l’authentification. Les réponses possibles vont de la simple surveillance et génération de rapports au rejet pur et simple des emails falsifiés.

Consultez l’article de Hornetsecurity Qu’est-ce que DMARC et comment fonctionne-t-il ? pour un aperçu détaillé.

Types d’attaques courants contrecarrés par l’utilisation correcte de SPF, DKIM et DMARC

Même en 2026, les attaquants s’appuient toujours sur des techniques d’ingénierie sociale familières qui deviennent considérablement plus efficaces lorsque des emails falsifiés se font passer pour des expéditeurs de confiance. SPF, DKIM et DMARC interrompent collectivement ce mode opératoire de plusieurs façons notables :

Collecte d’identifiants basée sur l’usurpation d’identité

Les attaquants usurpent fréquemment l’identité de marques d’entreprise ou de partenaires commerciaux dans des campagnes de phishing pour inciter les utilisateurs à saisir leurs identifiants sur des portails malveillants. Sans signatures SPF/DKIM valides et une politique DMARC protectrice, ces messages usurpés ont beaucoup plus de chances de contourner les filtres anti-spam et la vigilance des utilisateurs.

Compromission de messagerie professionnelle (BEC)

Les escroqueries BEC commencent fréquemment par des adresses usurpées de dirigeants ou de fournisseurs demandant des virements bancaires ou des modifications sensibles des coordonnées de paiement. Une authentification des emails à haute confiance réduit drastiquement le succès de livraison de ces falsifications en indiquant aux systèmes récepteurs « cet email ne provient pas d’une source valide, traitez-le comme suspect ».

Fraude aux factures et aux paiements

Les schémas de fraude financière qui injectent de fausses factures ou demandes de paiement dans les flux de travail de l’entreprise sont souvent rendus possibles par des adresses d’expéditeur usurpées. La validation des emails via SPF/DKIM et l’application des actions d’échec DMARC perturbent ces tactiques dès la passerelle.

Abus de marque et manipulation de la confiance dans la chaîne d’approvisionnement

Les attaquants usurpent des domaines de confiance pour tromper les clients, partenaires ou fournisseurs. Une application stricte de DMARC envoie un signal clair dans l’écosystème que les emails non autorisés ne seront pas acceptés, réduisant l’efficacité de tels abus.

Pourquoi c’est important

Bien que les acteurs de menaces avancés puissent parfois contourner les défenses périmétriques par des identifiants compromis ou des exploits zero-day, une proportion surprenante d’attaques d’ingénierie sociale sont neutralisées simplement en rendant plus difficile l’usurpation d’identité des expéditeurs de confiance. Correctement mis en œuvre, SPF, DKIM et DMARC :

  • Réduisent la livraison réussie d’emails usurpés,
  • Augmentent la visibilité des abus grâce aux rapports agrégés et forensiques,
  • Augmentent le coût et l’effort requis pour que les attaquants réussissent,
  • Et complètent d’autres couches défensives comme l’authentification multifacteur (MFA) et la formation de sensibilisation aux menaces.

À une époque où l’identité et la confiance sont constamment menacées, l’authentification des emails reste l’un des contrôles les plus rentables et mesurables que les entreprises puissent déployer. Les organisations qui tardent à adopter DMARC laissent effectivement la porte grande ouverte aux techniques courantes de phishing et de BEC qui sont exploitées de manière fiable depuis plus d’une décennie.

Adopter DMARC avec une politique « reject » et être soutenu par une couverture SPF et DKIM complète ne fait pas qu’améliorer l’hygiène de messagerie ; cela dégrade matériellement l’un des vecteurs d’accès initial favoris des attaquants.

Les organisations auraient tout intérêt à commencer à mettre en œuvre une stratégie d’authentification des emails dès aujourd’hui si elles ne l’ont pas encore fait.

Incidents majeurs et événements du secteur

Nike victime d’une fuite de données majeure suite à une extorsion par ransomware

Fin janvier, des rapports ont émergé indiquant que Nike avait subi une violation de données significative après qu’un groupe d’extorsion opérant sous le nom World Leaks avait publié environ 1,4 To de données internes d’entreprise en ligne. Selon de multiples rapports, le contenu des données ayant fait l’objet de la fuite n’a pas été divulgué à ce stade. Au moment de la divulgation, Nike a confirmé qu’elle enquêtait sur l’incident, tandis que les acteurs de la menace semblent avoir retiré les données, suggérant que des négociations en coulisses pourraient être en cours, selon l’article de Bleeping Computer.

Bien que les détails publics restent limités, l’ampleur de la publication de données suggère potentiellement un accès bien au-delà d’un seul endpoint compromis. Certains rapports affirment même que des données de fabrication étaient impliquées. Les analystes ont noté que le volume de matériaux exposés pourrait indiquer une compromission interne plus large, impliquant potentiellement un vol d’identifiants ou un accès aux systèmes internes de développement et de collaboration, plutôt qu’un déploiement de ransomware traditionnel qui se contente de chiffrer les systèmes de production.

Pourquoi est-ce important ?

Nous continuons d’observer une tendance croissante dans le secteur où les attaquants privilégient le vol de données et les fuites publiques plutôt que le ransomware basé sur le chiffrement. Pour les grandes entreprises, la propriété intellectuelle, les outils internes et le code source peuvent être aussi dommageables qu’une interruption prolongée. Même sans exposition des données financières des clients (toutes les indications montrent jusqu’à présent aucune exposition de ce type), les informations internes ayant fait l’objet de fuites peuvent alimenter des attaques ultérieures, des abus dans la chaîne d’approvisionnement ou des préjudices concurrentiels. Cette violation est une preuve supplémentaire que les opérations centrées sur l’extorsion continuent d’évoluer, et que les organisations doivent traiter la protection des données internes et le contrôle d’accès comme des composants cruciaux de la défense contre les ransomwares, et pas seulement la sauvegarde et la récupération.

Zero-day Microsoft Office activement exploitée dans la nature

Janvier a également vu Microsoft se démener pour corriger une zero-day Microsoft Office activement exploitée, déclenchant une mise à jour de sécurité hors cycle en dehors du calendrier normal du Patch Tuesday. Comme rapporté par TechRadar, les attaquants ont exploité CVE-2026-21509 qui permettait à des documents Office spécialement conçus de contourner les contrôles de sécurité locaux. Cela poursuit malheureusement une tendance de longue date selon laquelle les applications Office constituent un vecteur d’accès initial hautement fiable.

L’exploitation rapide observée avant la disponibilité du correctif a forcé les organisations à réagir rapidement, perturbant souvent les flux de travail établis de correction et de gestion des changements. Comme pour de nombreuses attaques basées sur Office, le phishing a joué un rôle central dans la distribution de documents malveillants, augmentant la probabilité d’exploitation réussie dans les environnements d’entreprise réels.

Pourquoi est-ce important ?

Les zero-days Office combinent ampleur et vitesse. Lorsque l’exploitation est active, la fenêtre entre la divulgation et la compromission peut être extrêmement réduite, en particulier dans les environnements fortement dépendants de l’email. Les correctifs hors cycle augmentent également la pression opérationnelle, renforçant la nécessité de défenses en couches qui ne reposent pas uniquement sur les correctifs pour stopper les attaques basées sur des documents.

Des vulnérabilités de haute sévérité dans n8n permettent l’exécution de code à distance authentifiée

Des chercheurs en sécurité ont divulgué deux vulnérabilités de haute sévérité dans n8n, une plateforme populaire d’automatisation de workflows open-source, qui permettent aux utilisateurs authentifiés d’exécuter du code à distance sur le serveur sous-jacent. La couverture de The Hacker News a mis en lumière comment ces failles pouvaient être exploitées une fois qu’un attaquant obtient des identifiants valides. Oui, ces deux failles nécessitent un utilisateur déjà authentifié, mais nous savons que le vol d’identifiants se produit fréquemment via le phishing, la réutilisation de mots de passe ou le vol de jetons OAuth.

Les deux CVE en question sont :

Étant donné que n8n est couramment utilisé comme hub d’automatisation, il détient souvent des clés API, des secrets et des accès privilégiés à de multiples plateformes SaaS. Une exploitation réussie pourrait donc permettre aux attaquants de pivoter à travers les services connectés plutôt que d’être confinés à un seul système.

Pourquoi est-ce important ?

Les plateformes d’automatisation deviennent de plus en plus les « clés du royaume » dans les environnements modernes. Une faille d’exécution de code à distance (RCE) dans un outil comme n8n ne compromet pas seulement un serveur, elle peut exposer des chaînes de confiance SaaS entières. Cet incident renforce la raison pour laquelle les plateformes d’automatisation de workflows et d’intégration méritent le même examen de sécurité que les systèmes d’infrastructure de base et d’identité. En fait, la portée infrastructurelle considérable de ces systèmes l’exige.

Découverte assistée par l’IA de multiples vulnérabilités OpenSSL

En tant que secteur, nous avons été submergés par les fonctionnalités d’IA, mais les entreprises et les équipes de sécurité recherchent des méthodes et exemples concrets pour tirer une valeur réelle de l’IA. Dans un autre développement de janvier, des chercheurs ont annoncé la découverte de multiples vulnérabilités OpenSSL jusqu’alors inconnues grâce à des techniques d’analyse assistées par l’IA.

Comme rapporté par TechRadar, les résultats ont démontré comment l’IA peut être efficacement associée à l’expertise humaine pour découvrir des problèmes subtils de cryptographie et de gestion de la mémoire dans l’une des bibliothèques de sécurité les plus largement déployées au monde.

Bien qu’aucun des problèmes nouvellement identifiés n’ait immédiatement déclenché une exploitation massive, la recherche a attiré l’attention en raison de l’empreinte massive d’OpenSSL sur les systèmes d’exploitation, les appliances et les applications. Même des failles de sévérité moindre dans une bibliothèque aussi fondamentale peuvent comporter un risque disproportionné.

Pourquoi est-ce important ?

Ce développement met en lumière une réalité à double tranchant. L’IA peut aider les défenseurs et les chercheurs à trouver des vulnérabilités plus tôt, ce qui est une BONNE nouvelle. Il convient toutefois de noter que les attaquants peuvent utiliser les mêmes techniques. À mesure que la découverte de vulnérabilités assistée par l’IA mûrit, le délai entre la découverte d’une faille et sa militarisation est susceptible de se réduire, en particulier pour les composants fondamentaux comme OpenSSL qui restent des cibles de grande valeur.

Prévisions pour les mois à venir

  • L’extorsion sans chiffrement deviendra la norme : L’incident Nike montre un mouvement continu des acteurs de menaces vers des opérations axées en priorité sur le vol de données. Attendez-vous à ce que davantage d’attaquants renoncent entièrement au chiffrement, se concentrant plutôt sur le vol de propriété intellectuelle, de documentation interne et de code source pour maximiser leur levier.
  • Les attaques d’usurpation d’identité par email persisteront là où l’adoption de DMARC est en retard : Les organisations sans politiques DMARC appliquées continueront d’être ciblées de manière disproportionnée pour le phishing et le BEC. Les attaquants gravitent généralement vers les opportunités d’usurpation les plus faciles. Une configuration correcte de l’authentification des emails aide à atténuer ce risque.
  • Les plateformes de workflow et d’intégration seront de plus en plus ciblées : Des outils comme n8n se trouvent au cœur des écosystèmes SaaS et détiennent souvent des identifiants puissants pour d’autres composants au sein d’un environnement donné. À mesure que l’adoption croît, l’intérêt des attaquants augmentera également. Cela est particulièrement vrai dans les situations où le vol d’identifiants et les attaques par abus OAuth constituent une première étape.
  • Les zero-days basées sur Office continueront d’être rapidement transformées en armes : Les vulnérabilités basées sur des documents restent attractives en raison de leur portée et de leur fiabilité. Attendez-vous à une exploitation rapide continue, souvent avant que les organisations ne puissent déployer complètement les correctifs.
  • L’IA comprimera les délais de découverte de vulnérabilités et d’exploitation : À mesure que la recherche assistée par l’IA se généralise, l’écart entre la découverte de vulnérabilités et l’exploitation réelle se réduira, en particulier pour les composants fondamentaux et les plus anciens comme OpenSSL.
  • Les équipes de sécurité feront face à une pression opérationnelle croissante : Davantage de correctifs hors cycle, des cycles d’exploitation plus rapides et des surfaces d’attaque en expansion continueront de mettre sous pression la gestion des correctifs, le contrôle des changements et les processus de réponse aux incidents.

Recommandations mensuelles

  • Appliquer DMARC avec une politique de rejet : Les organisations devraient dépasser les configurations de surveillance uniquement et appliquer des politiques de rejet DMARC soutenues par une couverture SPF et DKIM complète pour réduire significativement les risques d’usurpation.
  • Traiter la protection des données internes comme un contrôle anti-ransomware : Face à la montée de l’extorsion par vol de données, concentrez-vous sur les contrôles d’accès, le moindre privilège et la surveillance de l’exfiltration de données à grande échelle. N’oubliez pas non plus les stratégies adéquates de sauvegarde et de récupération. Ce n’est pas parce que certains acteurs de menaces ignorent l’étape du chiffrement que le ransomware n’est pas une menace. Les organisations doivent se préparer en conséquence.
  • Accélérer la réponse aux vulnérabilités Office : Les failles Office activement exploitées exigent une attention immédiate. Les défenses en couches telles que le sandboxing des pièces jointes, la réécriture des liens et la formation de sensibilisation des utilisateurs sont essentielles pendant les périodes sans correctifs.
  • Auditer les plateformes d’automatisation et de workflow : Examinez les outils comme n8n pour les niveaux de correctifs, l’hygiène des identifiants et la portée des accès. Ces plateformes doivent être traitées comme des composants d’infrastructure à haut risque, et non comme de simples outils de commodité.
  • Se préparer à des cycles d’exploitation plus rapides : À mesure que la découverte de vulnérabilités assistée par l’IA mûrit, les organisations doivent anticiper un délai d’avertissement plus court entre la divulgation et l’exploitation, en particulier pour les bibliothèques et services largement déployés.
  • Continuer à investir dans la formation de sensibilisation à la sécurité : Les attaques par email restent efficaces en grande partie en raison du facteur humain. Former les utilisateurs à reconnaître l’usurpation d’identité, la fraude au paiement et les documents malveillants reste un investissement défensif à fort rendement.

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.

Vous pourriez aussi être intéressé par