Partner Login

Monthly Threat Report Janvier 2026 

Nouvelle année, risques persistants

Écrit par Security Lab / 13.01.2026 /
Home » Blog » Monthly Threat Report Janvier 2026 

Introduction

Le rapport mensuel sur les menaces de Hornetsecurity vous présente chaque mois des analyses sur les tendances en matière de sécurité de Microsoft 365, les menaces liées au courrier électronique et des commentaires sur les événements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel sur les menaces porte sur des données provenant du mois de décembre 2025.

Résumé exécutif

  • Le mois de décembre a connu une hausse marquée des attaques par email à faible effort et à volume élevé, en lien avec les activités saisonnières commerciales et de livraison.
  • Les attaquants ont largement utilisé des techniques structurelles de tromperie par email, notamment la falsification des champs « de » et « à », ainsi que l’abus de message MIME multipartite.
  • L’utilisation de balises HTML vide a augmenté les acteurs malveillants privilégiant des techniques de phishing discrètes et difficiles à détecter.
  • L’exploitation de vulnérabilité de type « jour zéro » est demeurée persistante, avec des failles dans Chrome et Windows activement exploitées avant la disponibilité des correctifs.
  • Les délais d’application des correctifs continuent d’exposer même les environnements bien entretenus à des exploitations réelles.
  • Des extensions de navigateur malveillantes ont démontré comment la confiance envers les boutiques officielles peut être exploitée à grande échelle.
  • L’identité, la confiance des utilisateurs et l’hygiène des postes de travail demeurent des zones de risque centrales à l’aube de 2026.

Aperçu des menaces

La fin de l’année est toujours une période très active pour les cybercriminels. Les périodes commerciales de fin d’année entrainent souvent une augmentation des attaques par email de type massive, à faible effort, alors que les acteurs malveillants savent que davantage d’yeux surveillent les boites de réception à la recherche d’avis d’expédition et de livraison. Le principal type de menace observé pour le mois de décembre correspond à cette tendance. Les emails utilisant de fausses adresses dans le champ « de » arrivent en tête de liste, suivis de près par les emails multiples, les attaques et les utilisateurs. En parallèle, une augmentation par rapport à novembre a été observée dans le nombre d’attaques par mail utilisant des balises HTML, vides, dans le but de semer la confusion et de contourner les moteurs d’analyse.

Les trois principales techniques de menace utilisées en décembre 2025

  • #1 Faux texte « de »  : cette technique d’attaque remplace le texte du champ « de ». Elle est souvent utilisée pour usurper l’identité d’une marque connue et digne de confiance afin de contourner les filtres de messagerie et d’augmenter les taux d’ouverture auprès des utilisateurs ciblés.
  • #2 Emails massifs : les attaques massives exploitent des limites MIME mal définies, ce qui amène les moteurs de sécurité à ne pas détecter la charge utile, tandis que certains clients de messagerie l’affichent tout de même.
  • #3 Faux texte « à »  : les attaquants modifient le champ « à » pour le faire paraitre comme une institution ou une autorité de confiance, puis plaçant la victime cibler en copie carbone invisible (CCI). L’objectif est de rendre le mail plus crédible et de tromper l’utilisateur afin qu’il interagisse avec le message, en tirant parti de la confiance acquise par l’usurpation du champ « à ».

Mise en évidence d’une menace balise HTML vide <a>

En décembre, nous avons observé une augmentation des emails de phishing abusant de balises semblent visuellement inoffensifs ou vides, mais qui contiennent tout de même des liens exploitables dans le code HTML sous-jacent. Ces messages ressemblent souvent à des mails pratiquement vides, affichant parfois uniquement un espacement, que la zone cliquable soit entièrement définie par des balises d’ancrage invisibles ou de largeur nulle. L’objectif est d’éveiller le moins possible la méfiance des utilisateurs et d’éviter les mécanismes de détection fondés sur le contenu, en ne présentant aucun bouton, lien ou langage de phishing évident dans le corps du message affiché.

Du point de vue de l’évitement de la détection, cette technique exploite les écarts entre l’analyse HTML, l’extraction des liens et le rendu visuel. Elle peut également être utilisée pour générer un courriel contenant une charge utile avec des liens dissimulés vers des domaines légitimes, ce qui complique davantage l’analyse des solutions de sécurité. Certains moteurs de sécurité peuvent déprioriser ou ne pas détecter les liens intégrés dans des balises d’ancrage vide ou malformées particulièrement lorsqu’ils sont combinés à des astuces de feuilles de style en cascade. Par ailleurs, certains clients de messagerie peuvent tout de même afficher l’hyperlien, permettant à l’utilisateur d’effectuer ou à une infrastructure de diffusion de logiciels malveillants. La hausse observée en décembre suggère que les attaquants privilégient de plus en plus des techniques HTML discrètes et structurellement trompeuses, plutôt que des modèles de phishing traditionnels riches en contenu.

Incident majeur et événements de l’industrie

Les incidents et événement survenus dans l’industrie au cours du mois de décembre mettent en lumière plusieurs tendances habituelles observées en cybersécurité, comme la vulnérabilité de type « jour zéro », les correctifs du mardi et les extensions de navigateur malveillantes. Toutefois, certains événements sortaient de l’ordinaire, notamment des experts en sécurité reconnus ayant plaid. Coupable dans des affaires liées à des attaques par ransomware BlackCat.

Anciens experts en cybersécurité plaident coupable dans des affaires de ransomware BlackCat

Un fait marquant du mois de décembre concerne une affaire criminelle impliquant deux anciens intervenants en cybersécurité, devenus acteurs malveillants. Dans ce dossier, deux experts ont utilisé leurs connaissances et leurs compétences pour infiltrer plusieurs entreprises américaines dans le cadre d’attaques par ransomware BlackCat/ALPHV de 2023. Les attaquants ont plaidé coupables et risquent des peines pouvant aller jusqu’à 20 ans d’emprisonnement.

Nous abondons occasionnellement les menaces internes dans le cadre de ce rapport mensuel, et l’industrie a progressivement incité les organisations à mettre en place des mesures visant à détecter et à perturber ce type de menace. Bien que cet incident n’implique pas directement que les personnes en cause aient agi comme des menaces internes au sein de leur propre organisation, il démontre néanmoins que les entreprises doivent réellement connaitre et comprendre les personnes occupant mécanismes de contrôle et de contrepoids pour les administrateurs. Les organisations qui planifient leur modèle de réponse aux menaces en tenant compte de ce type de risque se protègeront davantage contre des attaques similaires à l’avenir.

Pourquoi c’est important

  • L’expertise technique, à elle seule, ne garantit pas la fiabilité : une connaissance approfondie des systèmes peut être tout aussi dangereuse entre de mauvaises mains.
  • Les programmes de gestion des risques internes doivent tenir compte de l’intention malveillante et non seulement du vol d’identifiants ou des attaques externes.
  • La séparation des tâaches ainsi que l’application rigoureuse de mécanismes de contrôle et de protection essentielle contre l’abus des accès privilégiés.
  • Les contrôles de sécurité doivent présumer que même des rôles hautement dignes de confiance peuvent devenir des vecteurs de menaces dans certaines conditions.

Activité liée aux vulnérabilités de type zero-day : Chrome et Windows sous les projecteurs

En décembre, les principaux fournisseurs de plateformes ont une fois de plus réagi rapidement pour corriger plusieurs vulnérabilités de type zero-day activement exploitées dans la nature. Il s’agit d’un schéma observé à maintes reprises, illustrant à quel point les attaquants sont persistants et opportunistes. Pour commencer, Google a publié une mise à jour d’urgence corrigeant sa huitième vulnérabilité de type zero-day de 2025, une faille disponibilité du correctif. Le déploiement du correctif a touché plusieurs plateformes, notamment Windows, macOS et Linux, démontrant la prévalence de Chrome dans les environnements d’entreprise et la vaste surface d’attaque exposée lorsqu’un navigateur largement utilisé est compromis.

Dans la même période, Microsoft a publié, lors du mardi de correctif de décembre 2025, des correctifs pour 57 vulnérabilités, dont trois failles de type zero-day. Il est à noter que l’une de ces failles était déjà exploitée avant la disponibilité du correctif. Parmi celles-ci figurant une vulnérabilité d’évaluation de privilèges liée aux pilotes de filtre du mini-filtre Cloud Files de Windows, ainsi que deux autres vulnérabilités de type zero-day divulguées publiquement. L’ampleur de cette mise à jour courbant l’exécution de code à distance, la divulgation d’information et les failles d’élévation de privilèges, est frappante et souligne que même des environnements Windows bien entretenus demeurent à risque lorsque l’application des mises à jour est retardée ou que les cycles de validation ralentissent le déploiement.

Nous avons répertorié ci-dessous les vulnérabilités de type zero-day (VE) pertinentes pour Chromes et Microsoft :

Pourquoi c’est important

  • Les vulnérabilités de type zero-day représentent des situations où les attaquants disposent d’un avantage, exploitant des failles avant que les défenseurs puissent les corriger.
  • La fréquence des correctifs de types zero-day dans des logiciels largement déployés (navigateurs et systèmes d’exploitation) démontre que les attaquants ciblent en priorité les plateformes les plus répandues.
  • La combinaison de mises à jour d’urgence pour les navigateurs et des correctifs réguliers du mardi de correctif oblige les équipes de sécurité à équilibrer l’urgence avec les risques opérationnels liés à la gestion des correctifs.

Les installations de l’extension ShadyPanda atteignent 4,3 millions

En décembre, des chercheurs ont mis au jour une campagne à grande échelle impliquant une famille d’extensions à partir de boutiques d’extension officielles. Ces extensions se présentaient comme des outils légitimes, tels que des convertisseurs PDF, des téléchargeurs de vidéos et des outils de coupons. En réalité, elles agissaient comme des injecteurs discrets et des outils de vol d’identifiants. Une fois installées, les extensions exécutaient des activités malveillantes allant de l’injection de publicités indésirables à la redirection des utilisateurs vers des pages de phishing et à la collecte de données sensibles. L’ampleur des installations (encore une fois, 4,3 millions) suggère que les acteurs malveillants derrière cette campagne ont investi de manière signifiance dans des tactiques d’ingénierie sociale et de distribution afin de contourner les mécanismes d’examen des boutiques.

Ce qui rend ShadyPanda particulièrement préoccupant n’est pas seulement le nombre d’installations, mais aussi les vecteurs de confiance et les mécanismes de persistance qu’elle exploite. En imitant des fonctions utilitaires courantes et en tirant parti des places de marché officiel d’extensions, ces modules malveillants ont échappé aux soupçons de nombreux utilisateurs ainsi qu’aux défenses traditionnelles données sur les adresses Web ou les fichiers. Les extensions utilisaient également des techniques d’obscurcissement et d’injection de code, rendant la détection par des systèmes de sécurité automatisés plus difficile. Même après le retrait des extensions des boutiques, des millions d’utilisateurs non avertis demeuraient vulnérables.

Pourquoi c’est important

  • Les extensions de navigateur bénéficient d’un niveau d’accès élevé aux sessions de navigation des utilisateurs, ce qui en fait des vecteurs potentiels d’interception de données et d’abus de sessions.
  • Les boutiques d’extension officielle ne sont pas à l’abri d’acteurs malveillants ; la confiance envers des plateformes sélectionnées doit être tempérée par des mécanismes de vérification.
  • Un nombre élevé d’installations amplifie l’exposition, ce qui signifie que de vastes populations d’utilisateurs peuvent être affectées silencieusement avant la détection et le retrait.
  • Les équipes de défense devraient surveiller les extensions non autorisées ou suspectes dans le cadre de l’hygiène des postes de travail et de la gestion des risques liés à l’identité.

Prévisions pour les mois à venir

  • Les techniques d’attaque par email continueront d’évoluer vers des formes de tromperie structurelle. Il faut s’attendre à une augmentation des abus liés à la manipulation des entêtes, aux astuces MIME multipartites et les attaques reposantes sur le contenu HTML malformés, continueront d’évoluer, les attaquants privilégiant des méthodes qui contournent à la fois les outils d’analyse automatisée et la vigilance des utilisateurs, tout en présentant un contenu visible minimal.
  • Les surfaces d’attaque liées aux navigateurs demeureront des cibles de grande valeur. À mesure que les activités d’affaires se déplacent vers les navigateurs, les acteurs malveillants continueront d’exploiter les extensions, l’accès aux sessions et les frontières de confiance côté client, plutôt que de s’appuyer uniquement sur des logiciels malveillants traditionnels.
  • L’exploitation de vulnérabilité de type zero-day restera courante plutôt qu’exceptionnelle. Les plateformes largement déployées, comme les navigateurs et les systèmes d’exploitation, continueront d’être ciblées, les attaquants exploitants rapidement et à grande échelle les failles avant que les correctifs ne soient largement appliqués.
  • La sensibilisation aux risques internes s’entendra au-delà des définitions traditionnelles. Les organisations devront de plus en plus tenir compte d’intention malveillante provenant de personnes possédant une expertise technique approfondie, même en l’absence d’un accès interne direct.
  • Les capacités de détection favoriseront davantage l’analyse des comportements plutôt que le contenu. À mesure que les attaquants réduisent les indicateurs visibles dans les emails et les attaques basées sur les navigateurs, les équipes de sécurité devront s’appuyer davantage sur l’analyse comportementale, la détection des anomalies et les contrôles fondés sur l’identité.

Monthly Recommendations

  • Renforcer les défenses contre les attaques par email structurellement trompeur. Mettre à profit une solution d’analyse des emails de nouvelle génération et s’assurer que les contrôles de sécurité peuvent détecter l’usurpation d’entêtes, les abus MIME multipartite et le HTML malformé, plutôt que de se fier uniquement à l’analyse du contenu.
  • Prioriser l’application des correctifs en fonctions de l’état d’exploitation, les vulnérabilités activement exploitées,  — en particulier celles de type zero-day, devraient être traitées en priorité, même si cela nécessite de raccourcir les cycles de validation.
  • Renforcer la gouvernance des navigateurs et des extensions. Dresser l’inventaire des extensions installées, restreindre les modules non approuvés et surveiller les comportements anormaux des navigateurs sur l’ensemble des postes de travail.
  • Renforcer la séparation des taches pour les rôles privilégiés. Mettre en place des contrôles techniques et procéduraux empêchant qu’un seul administrateur puisse effectuer des changements à fort impact sans supervision.
  • Traiter l’identité et la sécurité des sessions comme des mécanismes de défense fondamentaux. Surveiller les comportements de connexion anormaux, l’utilisation abusive de jetons et le vol d’identifiants par l’entremise des navigateurs comme indicateurs principaux de compromission.
  • Se préparer à des modèles d’attaque axés sur l’évitement. Partir du principe que les attaquants continueront de réduire les signaux visibles et concevoir les stratégies de détection et de réponse en conséquence.

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.

Vous pourriez aussi être intéressé par