S'inscrire

Cybersécurité - 09/07/2026

Une nouvelle vague d’hameçonnage fantôme bouleverse la sécurité traditionnelle des courriels.

Une récente campagne d’EvilTokens ciblant des entreprises aux États-Unis et en Europe met en lumière une nouvelle faille de sécurité dans le système de messagerie électronique. Cette technique de « phishing fantôme » maintient la page malveillante cachée jusqu’à son déchiffrement et son exécution dans le navigateur de la victime.

Pour les responsables de la sécurité, le risque est clair : les vérifications d’URL traditionnelles peuvent passer à côté de l’attaque alors que l’accès à Microsoft 365, les données sensibles et le temps de réponse sont déjà en jeu.

Le courriel semble sûr. Le navigateur raconte une autre histoire.

Une récente attaque d’EvilTokens montre comment un lien d’hameçonnage peut sembler inoffensif lors d’une première inspection, tout en permettant la prise de contrôle d’un compte Microsoft 365.

Ce kit utilise l’hameçonnage par code d’identification Microsoft pour inciter les victimes à suivre une procédure de connexion Microsoft légitime et à autoriser, à leur insu, l’accès à leurs comptes. Il n’est pas nécessaire de voler directement le mot de passe.

La véritable attaque reste invisible jusqu’à l’ouverture de la page dans le navigateur. Son code HTML est chiffré avec AES-GCM et ne devient visible qu’après déchiffrement par le navigateur et affichage du contenu frauduleux dans le DOM.

Par conséquent, les vérifications d’URL statiques et les contrôles au niveau du réseau peuvent capturer la réponse initiale sans voir ce que l’employé voit réellement. Ce manque de visibilité peut entraîner :

  • Exposition prolongée à la prise de contrôle du compte Microsoft 365
  • Décisions retardées en matière de confinement et d’intervention
  • Accès non autorisé à la messagerie, aux fichiers et aux services cloud de l’entreprise
  • Des alertes plus incertaines ont été transmises aux analystes principaux.
  • Charge de travail d’enquête et coûts opérationnels plus élevés
  • Preuves incomplètes concernant le blocage des infrastructures connexes

L’intégralité du déroulement de l’attaque a cependant été découverte dans l’environnement de test interactif d’ANY.RUN. Explorez la session d’analyse pour voir ce que le navigateur a révélé et comment les équipes peuvent utiliser ces informations pour réagir plus rapidement.

Consultez les récentes attaques EvilTokens et obtenez les indicateurs de compromission (IOC) pertinents.

Une technique complexe d’hameçonnage fantôme a été découverte dans l’environnement de test d’ANY.RUN.

Où le phishing fantôme frappe le plus fort

Les renseignements sur les menaces d’ANY.RUN montrent que l’activité récente d’EvilTokens s’est concentrée aux États-Unis et en Europe, ciblant les secteurs de la technologie, de la fabrication, de l’éducation, de la banque, du conseil, des services financiers et des fournisseurs de sécurité gérés.

L’indicateur TI d’ANY.RUN révèle une activité de menace ciblant des régions spécifiques.

Le chevauchement est difficile à ignorer. D’après les données de soumission de sandbox d’ANY.RUN provenant de 15 000 organisations, l’exposition au phishing en 2026 a atteint 75,6 % dans le conseil, 72,8 % dans les services financiers, 71,9 % dans la fabrication, 67,9 % dans la technologie, 66,7 % dans le secteur bancaire et 66,1 % parmi les MSSP .

Cela rend le phishing dissimulé particulièrement dangereux pour ces secteurs. Un seul compte Microsoft 365 compromis peut exposer des données sensibles, permettre la compromission de la messagerie professionnelle et la fraude, et déclencher des interventions coûteuses.

Plus une attaque reste cachée longtemps, plus le risque qu’un seul compte se transforme en incident commercial de plus grande ampleur est grand.

Rendez le problème visible avant que l’entreprise n’en subisse les conséquences. 

La méthode la plus efficace pour démasquer les tentatives d’hameçonnage fantôme consiste à ouvrir les liens suspects dans un environnement isolé (sandbox) prenant en charge l’inspection des données directement dans le navigateur.

Dans l’environnement de test interactif d’ANY.RUN, les analystes peuvent aller au-delà de la réponse chiffrée AES-GCM et observer ce qui se passe après le déchiffrement de la page. Ils peuvent ainsi voir le contenu d’hameçonnage apparaître dans le DOM, relier la modification à une requête Fetch/XHR et remonter jusqu’au point de terminaison /api/device/start en utilisant le code du périphérique Microsoft.

Le DOM HTML déchiffré, visualisé dans le panneau d’analyse des données du navigateur.

L’affichage des données directement dans le navigateur permet de visualiser l’intégralité du déroulement de l’attaque au sein d’une seule enquête :

  • Les instantanés DOM indiquent quand la page cachée change et que le code utilisateur apparaît.
  • Les requêtes HTTP révèlent la communication en arrière-plan qui sous-tend le flux de code du périphérique.
  • Les détails de l’URL révèlent la destination finale et les signatures de détection déclenchées.
  • Les indicateurs fournissent des domaines, des points de terminaison, des hachages et une infrastructure pour une recherche plus approfondie.

Au lieu de reconstituer l’attaque manuellement, les équipes obtiennent des preuves directes du comportement de la page, des requêtes qu’elle effectue et des éléments qui permettent le confinement et la détection.

Captures d’écran du DOM affichant le code déchiffré

Des preuves au niveau du navigateur à une transition plus claire vers le SOC

Pour faire passer ces éléments de preuve du niveau 1 au niveau 2, l’enquête génère automatiquement un rapport contenant un résumé réalisé par une IA et des recommandations pour les prochaines étapes.

Rapport généré automatiquement par la session d’analyse EvilTokens

Au lieu de reconstituer le dossier à partir des données brutes du navigateur, les analystes principaux reçoivent les principaux résultats, les comportements observés, les indicateurs et le contexte des réponses au même endroit. Cela accélère les transmissions d’informations, réduit les tâches répétitives et permet aux équipes de passer plus rapidement de la validation au confinement.

Bloquez le phishing fantôme dans le navigateur avant qu’il n’atteigne l’entreprise.

L’affaire EvilTokens révèle une vérité dérangeante : un courriel peut passer l’inspection alors que la véritable attaque se cache à l’intérieur du navigateur.

Sans visibilité au niveau du navigateur, le SOC est contraint de prendre des décisions cruciales avec des preuves partielles. Ce délai donne aux attaquants davantage de temps pour accéder au système, étendre leur champ d’action et transformer un compte Microsoft 365 compromis en un incident coûteux pour l’entreprise.

Cela aide les responsables de la sécurité :

  • Réduisez la durée d’exposition avant qu’un compte compromis ne devienne un incident plus important.
  • Réduisez la pression sur les analystes principaux en fournissant aux analystes de niveau 1 suffisamment d’éléments de preuve pour résoudre davantage d’affaires.
  • Accélérer le confinement grâce à un contexte d’attaque complet disponible dès la première escalade.
  • Améliorer la couverture de détection grâce à l’analyse du comportement du navigateur, de l’infrastructure et des schémas d’attaque reproductibles
  • Réduisez le coût de la réponse au phishing en limitant les investigations manuelles et les tâches redondantes.
  • Prenez des décisions relatives aux risques en vous basant sur des preuves plutôt que sur des examens sans anomalies ou des verdicts non concluants.

Les techniques d’hameçonnage modernes ne se dévoilent plus entièrement dans l’e-mail ou la réponse initiale de l’URL. Les équipes de sécurité ont besoin d’une visibilité permettant de suivre l’attaque jusqu’au navigateur et de la détecter avant que l’entreprise n’en subisse les conséquences.

Réduisez les risques pour votre entreprise : fournissez aux analystes des preuves complètes sur l’activité du navigateur afin de contenir plus rapidement les tentatives d’hameçonnage fantôme et d’empêcher qu’un compte compromis ne se transforme en incident coûteux.

Sujets récents

CERT-FR CERTFR-2026-ALE-005 ALERTE [Màj] Vulnérabilité dans Microsoft Exchange Server (15 mai 2026) 15/05/2026 NVD CVE-1999-0095 HIGH 10 The debug command in Sendmail is enabled, allowing attackers to… 01/10/1988 CISA KEV CVE-2026-48908 EXPLOITÉE JoomShaper SP Page Builder Unrestricted Upload of File with Dangerous… 07/07/2026 CERT-FR CERTFR-2026-ALE-004 ALERTE Vulnérabilité dans F5 BIG-IP Access Policy Manager (31 mars 2026) 31/03/2026 NVD CVE-1999-0082 HIGH 10 CWD ~root command in ftpd allows root access. 11/11/1988 CISA KEV CVE-2026-55255 EXPLOITÉE Langflow Authorization Bypass Through User-Controlled Key Vulnerability 07/07/2026 CERT-FR CERTFR-2026-ALE-003 ALERTE Note d’alerte – Ciblage des messageries instantanées (20 mars 2026) 20/03/2026 NVD CVE-1999-1471 HIGH 7.2 Buffer overflow in passwd in BSD based operating systems 4.3… 01/01/1989 CISA KEV CVE-2026-56290 EXPLOITÉE Joomlack Page Builder Improper Access Control Vulnerability 07/07/2026 CERT-FR CERTFR-2026-ALE-002 ALERTE [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN (25 février 2026) 25/02/2026 NVD CVE-1999-1122 MEDIUM 4.6 Vulnerability in restore in SunOS 4.0.3 and earlier allows local… 26/07/1989 CISA KEV CVE-2026-48282 EXPLOITÉE Adobe ColdFusion Path Traversal Vulnerability 07/07/2026 CERT-FR CERTFR-2026-ALE-001 ALERTE [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (30 janvier… 30/01/2026 NVD CVE-1999-1467 HIGH 10 Vulnerability in rcp on SunOS 4.0.x allows remote attackers from… 26/10/1989 CISA KEV CVE-2026-45659 EXPLOITÉE Microsoft SharePoint Server Deserialization of Untrusted Data Vulnerability 01/07/2026 CERT-FR CERTFR-2025-ALE-014 ALERTE [MàJ] Vulnérabilité dans React Server Components (05 décembre 2025) 05/12/2025 NVD CVE-1999-1506 HIGH 7.5 Vulnerability in SMI Sendmail 4.0 and earlier, on SunOS up… 29/01/1990 CISA KEV CVE-2026-48558 EXPLOITÉE SimpleHelp Authentication Bypass Vulnerability 29/06/2026 CERT-FR CERTFR-2025-ALE-013 ALERTE [MàJ] Multiples vulnérabilités dans Cisco ASA et FTD (25 septembre… 25/09/2025 NVD CVE-1999-0084 HIGH 8.4 Certain NFS servers allow users to use mknod to gain… 01/05/1990 CISA KEV CVE-2026-12569 EXPLOITÉE PTC Windchill and FlexPLM Improper Input Validation Vulnerability 25/06/2026 CERT-FR CERTFR-2026-ALE-005 ALERTE [Màj] Vulnérabilité dans Microsoft Exchange Server (15 mai 2026) 15/05/2026 NVD CVE-1999-0095 HIGH 10 The debug command in Sendmail is enabled, allowing attackers to… 01/10/1988 CISA KEV CVE-2026-48908 EXPLOITÉE JoomShaper SP Page Builder Unrestricted Upload of File with Dangerous… 07/07/2026 CERT-FR CERTFR-2026-ALE-004 ALERTE Vulnérabilité dans F5 BIG-IP Access Policy Manager (31 mars 2026) 31/03/2026 NVD CVE-1999-0082 HIGH 10 CWD ~root command in ftpd allows root access. 11/11/1988 CISA KEV CVE-2026-55255 EXPLOITÉE Langflow Authorization Bypass Through User-Controlled Key Vulnerability 07/07/2026 CERT-FR CERTFR-2026-ALE-003 ALERTE Note d’alerte – Ciblage des messageries instantanées (20 mars 2026) 20/03/2026 NVD CVE-1999-1471 HIGH 7.2 Buffer overflow in passwd in BSD based operating systems 4.3… 01/01/1989 CISA KEV CVE-2026-56290 EXPLOITÉE Joomlack Page Builder Improper Access Control Vulnerability 07/07/2026 CERT-FR CERTFR-2026-ALE-002 ALERTE [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN (25 février 2026) 25/02/2026 NVD CVE-1999-1122 MEDIUM 4.6 Vulnerability in restore in SunOS 4.0.3 and earlier allows local… 26/07/1989 CISA KEV CVE-2026-48282 EXPLOITÉE Adobe ColdFusion Path Traversal Vulnerability 07/07/2026 CERT-FR CERTFR-2026-ALE-001 ALERTE [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (30 janvier… 30/01/2026 NVD CVE-1999-1467 HIGH 10 Vulnerability in rcp on SunOS 4.0.x allows remote attackers from… 26/10/1989 CISA KEV CVE-2026-45659 EXPLOITÉE Microsoft SharePoint Server Deserialization of Untrusted Data Vulnerability 01/07/2026 CERT-FR CERTFR-2025-ALE-014 ALERTE [MàJ] Vulnérabilité dans React Server Components (05 décembre 2025) 05/12/2025 NVD CVE-1999-1506 HIGH 7.5 Vulnerability in SMI Sendmail 4.0 and earlier, on SunOS up… 29/01/1990 CISA KEV CVE-2026-48558 EXPLOITÉE SimpleHelp Authentication Bypass Vulnerability 29/06/2026 CERT-FR CERTFR-2025-ALE-013 ALERTE [MàJ] Multiples vulnérabilités dans Cisco ASA et FTD (25 septembre… 25/09/2025 NVD CVE-1999-0084 HIGH 8.4 Certain NFS servers allow users to use mknod to gain… 01/05/1990 CISA KEV CVE-2026-12569 EXPLOITÉE PTC Windchill and FlexPLM Improper Input Validation Vulnerability 25/06/2026