Cette évolution a été documentée par le rapport « Rétrospective Hameçonnage 2025 » publié par Barracuda Networks, fondé sur l’analyse de plusieurs centaines de millions d’événements observés sur l’année. L’étude a mis en évidence un doublement du nombre de kits d’hameçonnage actifs et une généralisation du modèle « hameçonnage en tant que service » dans les campagnes à fort volume. Ces kits se sont présentés comme des ensembles logiciels maintenus dans le temps, dotés de mécanismes d’automatisation, de contournement du MFA et de gestion des sessions.
Cette industrialisation a profondément modifié la nature du risque pour les organisations. Les campagnes ont cessé de se limiter à la tromperie ponctuelle d’un utilisateur pour cibler directement les processus d’authentification et de confiance sur lesquels reposent les environnements numériques professionnels. L’hameçonnage est ainsi devenu un composant d’accès initial conçu pour exploiter durablement les mécanismes d’identification et de gestion des accès.
Des kits structurés en ensembles logiciels maintenus
Un kit d’hameçonnage moderne s’est présenté en 2025 comme un ensemble de briques logicielles configurables, maintenues dans le temps et distribuées sous forme de services. Barracuda a observé que ces kits intégraient des mécanismes de configuration fine, d’automatisation des campagnes et de journalisation des interactions, permettant de piloter des volumes importants avec une intervention humaine minimale.Les thématiques exploitées sont restées volontairement banales, telles que les factures, les ressources humaines ou les documents juridiques, car leur efficacité demeurait éprouvée. En revanche, leur mise en œuvre reposait sur des infrastructures capables de mutualiser les ressources, d’adapter dynamiquement les contenus et de mesurer le rendement des campagnes. Cette organisation fondée sur l’automatisation et la réutilisation des composants a permis d’optimiser les taux de compromission tout en prolongeant la durée de vie opérationnelle des kits.
Le contournement du MFA intégré aux scénarios d’attaque
L’un des constats majeurs du rapport a concerné l’intégration native du contournement de l’authentification multifacteur. Près d’une attaque sur deux observée en 2025 a reposé sur le vol de cookies de session ou sur des techniques d’attaquant positionné au milieu de la communication, permettant de capturer des jetons d’accès valides sans interrompre le parcours utilisateur.Les kits les plus avancés ont interagi directement avec les interfaces d’authentification de services largement déployés dans les environnements professionnels. Ces mécanismes ont mis en défaut des architectures reposant principalement sur le MFA et des contrôles statiques, en démontrant que la protection des identités ne pouvait plus être dissociée de la surveillance des sessions et du contexte d’accès.
L’évasion intégrée dès la conception des kits
Les capacités d’évasion ont constitué un élément central de la conception des kits d’hameçonnage modernes. Obfuscation d’URL, redirections ouvertes, abus de CAPTCHA et variations dynamiques des contenus ont été combinés afin de perturber les mécanismes de détection automatisée et de retarder l’analyse par les outils de sécurité.Certains kits ont modifié en temps réel le contenu des courriels et des pages frauduleuses pour chaque cible, rendant inefficaces les signatures statiques et les règles figées. Cette approche a traduit une compréhension précise des dispositifs de filtrage déployés par les organisations et une capacité à adapter les attaques aux mécanismes mêmes censés les bloquer.
Un déplacement des scénarios vers les usages mobiles
Le rapport a mis en évidence un déplacement marqué des scénarios d’hameçonnage vers les terminaux mobiles et la téléphonie. L’intégration de codes QR malveillants et le recours au vishing ont permis de sortir l’attaque du périmètre du poste de travail, généralement mieux surveillé et mieux outillé en matière de sécurité.Ce déplacement a complexifié la détection et fragilisé les politiques de sécurité unifiées, en particulier dans les organisations où la mobilité s’était généralisée. Il a exposé plus directement les dirigeants et les équipes nomades, souvent ciblés pour leur niveau d’accès, en exploitant des environnements moins contrôlés et des usages plus fragmentés.
Des kits compatibles avec les environnements existants
Contrairement à l’idée d’un renouvellement permanent des outils d’attaque, certains kits ont conservé leur efficacité sur la durée. Barracuda a notamment cité le cas de Mamba 2FA, responsable de millions d’attaques en fin d’année 2025. Cette persistance s’est expliquée par la compatibilité de ses mécanismes avec les environnements de messagerie et d’authentification encore largement déployés.L’hameçonnage a ainsi suivi une logique d’amortissement technique comparable à celle observée côté défense. Tant que les mécanismes de protection ont évolué plus lentement que les outils d’attaque, ces kits ont conservé une valeur opérationnelle élevée et une capacité à s’insérer dans des systèmes d’information hétérogènes.
Des conséquences opérationnelles mesurables
L’analyse détaillée des kits d’hameçonnage observés en 2025 a conduit à un constat clair. Les réponses fondées uniquement sur la sensibilisation des utilisateurs ou sur des contrôles statiques ont montré leurs limites face à des outils capables d’exploiter les mécanismes d’authentification eux-mêmes. La situation a imposé une remise à plat des modèles de protection des identités et une surveillance continue des sessions.Structuré comme un produit logiciel à part entière, l’hameçonnage a accru les coûts de détection, de réponse aux incidents et de sécurisation des accès pour les entreprises et les administrations. Il les a contraintes à renforcer leur maturité opérationnelle afin de réduire durablement leur surface d’exposition, leurs coûts d’incident et les risques de compromission transversale.
