Phishing as a Service (PhaaS)
- il y a 3 jours
- 7 min de lecture
Histoire, fonctionnement et enjeux d’une cybercriminalité industrialisée
Sous cet acronyme abscons (PhaaS), le phishing as a service représente aujourd’hui l’une des mutations les plus profondes, une des plus inquiétantes aussi, de la cybercriminalité internationale.
Ce modèle transforme une technique d’escroquerie autrefois artisanale, l’hameçonnage numérique, souvent aisément repérable, en une industrie structurée, hautement qualitative, accessible à des individus sans compétences techniques particulières.
Les plateformes PhaaS proposent des outils clés en main conçus par des spécialistes, des infrastructures prêtes à l’emploi et un support technique efficace, reproduisant très exactement les codes et l’aspect des services SaaS (Software as a Service) légitimes !
Cette industrialisation a contribué à faire du phishing le principal vecteur d’intrusion en 2024, impliqué dans près de 60 % des attaques réseau, selon Sopra Steria, une société de conseil française spécialisée dans l’information numérique.
Pour comprendre l’ampleur du phénomène, il est nécessaire de retracer l’évolution du phishing, d’examiner les mécanismes du PhaaS et d’analyser les conséquences de cette transformation sur la cybersécurité mondiale.
Origines du phishing : des débuts artisanaux aux premiers kits automatisés
Le phishing apparaît dans les années 1990, notamment sur AOL (America On Line) où des individus usurpent l’identité de services officiels pour soutirer des mots de passe ou des informations bancaires.
Les premières attaques sont rudimentaires : messages mal rédigés, souvent avec une pauvre orthographe, pages frauduleuses approximatives, diffusion manuelle, au point d’en être parfois comique...
A la suite des premiers services internet
Pourtant, dans les années 2000, le phishing se professionnalise.
Les cybercriminels commencent à partager des kits de phishing : archives contenant des pages clonées, des scripts PHP et des instructions d’installation et les premiers traducteurs automatiques apparaissent en ligne.
Ces kits permettent déjà à des individus peu expérimentés de lancer des attaques, mais ils nécessitent encore :
Un hébergement web
Quelques compétences techniques
Une configuration manuelle
Une gestion autonome de l’infrastructure.
Le véritable tournant survient dans les années 2010, avec l’essor des modèles as a service dans la cybercriminalité : ransomware as a service, botnet as a service, exploit as a service… pour ne citer que les plus courants !
C’est la déferlante de la cybercriminalité de masse, dites "clefs en main", pensée pour atteindre tous les utilisateurs d’internet.
Le phishing suit naturellement cette tendance, encore accentuée par l’avènement du logiciel en tant que service qui se généralise.
Sur le darkweb, les plateformes PhaaS émergent alors eux aussi comme des services complets, automatisés et accessibles par abonnement (!) souvent pour une somme dérisoire de quelques centaines de dollars par mois.
L’émergence du PhaaS : une industrialisation de la fraude
Le PhaaS transforme le phishing en un modèle économique structuré. Les plateformes proposent des services comparables à ceux des entreprises légitimes :
Kits de phishing prêts à l’emploi
Domaines préconfigurés
Hébergement automatisé
Outils d’envoi massif, conçus pour leurrer les anti spams
Tableaux de bord statistiques
Mises à jour régulières, au gré des progrès de la cybersécurité
Sans oublier le support technique !
Logiquement, cette industrialisation a démocratisé la cybercriminalité en abaissant drastiquement les barrières à l’entrée.
Comme nous l'avons vu, les attaquants n’ont plus besoin de compétences avancées en codage ou en administration système pour mener des campagnes sophistiquées ; le volume et la portée des attaques ont ainsi augmenté mécaniquement, voire exponentiellement !
Les plateformes, toutes illégales qu’elles soient, fonctionnent comme de véritables entreprises : abonnements mensuels, options premium, programmes d’affiliation, documentation détaillée : certaines proposent même des garanties de disponibilité ou des SLA (Service Level Agreement) informels !
Fonctionnement d’une plateforme de Phishing as a Service
Une plateforme PhaaS moderne fournit à elle seule l’ensemble des éléments nécessaires pour mener une campagne d’hameçonnage efficace, y compris avec des conseils au niveau du blanchiment des fonds obtenus (...)
Le processus typique comprend plusieurs étapes :
Inscription et accès à l’infrastructure
Les cybercriminels s’inscrivent et paient via :
Des forums clandestins
Des canaux Telegram, Signal, ou plus récemment TOX CHAT, une messagerie cryptée décentralisée très discrète.
Des places de marché situées sur le darknet.
Une fois abonnés, ils accèdent à un tableau de bord centralisé, généralement bien protégé, leur permettant de gérer leurs campagnes.
Choix et personnalisation des kits
Les kits disponibles couvrent les services les plus ciblés, notamment :
Microsoft 365
Google Workspace
Banques et autres services financiers
Services de livraison
Plateformes de paiement en ligne diverses
Les attaquants peuvent personnaliser, entre autres :
Les logos
Les messages et les langues
Les URL
Et, bien sûr, les scénarios d’attaque
Déploiement automatisé
La plateforme se charge :
D’héberger les pages frauduleuses
De générer des URL temporaires
De contourner les listes noires via rotation automatique
D’utiliser des serveurs compromis pour l’envoi massif
Vous avez dit de tout ?
Collecte et exploitation des données
Les identifiants volés sont transmis en temps réel via :
API (applications Programming Interface)
Bots Telegram ou autres
Tableaux de bord intégrés.
Les plateformes les plus avancées utilisent des proxys adversary in the middle (AiTM) capables d’intercepter :
identifiants
cookies de session
codes MFA (Multi-Factor Authentication)
Ces techniques permettent de contourner l’authentification multi-facteur, ce qui constitue une évolution majeure, et particulièrement inquiétante, des attaques modernes.
Pourquoi le PhaaS connaît-il un essor si fulgurant ?
Plusieurs facteurs expliquent la popularité croissante du PhaaS, mais le premier est sans doute l'accessibilité.
Selon Barracuda Networks, une entreprise américaine spécialisée dans la cybersécurité, même des personnes peu douées en informatique peuvent lancer régulièrement des campagnes sophistiquées très lucratives grâce au PhaaS…
Coût réduit et efficacité accrue
Les abonnements sont souvent très abordables, parfois moins de 100 euros par semaine…
Et les kits sont optimisé pour :
Contourner les filtres antispam
Imiter parfaitement les services légitimes
Exploiter des infrastructures compromises
Anonymat
Les paiements en cryptomonnaies et les communications via des messageries cryptées spécialisées renforcent l’impunité des attaquants.
Rentabilité
Un seul identifiant compromis peut permettre, notamment :
Un accès réseau
Une fraude financière
Une attaque par ransomware
Le phishing multicanal : une extension du modèle PhaaS
Dans ce cas de figure, le phishing ne se limite plus aux e mails. Les plateformes PhaaS incluent désormais :
SMS frauduleux (smishing)
Appels téléphoniques contrefaits (vishing)
Messageries instantanées
Réseaux sociaux
Selon Sopra Steria encore, cette diversification constitue l’une des évolutions les plus préoccupantes, car elle augmente la surface d’attaque et rend les campagnes plus crédibles, réduisant les signaux faibles d’alertes.
Techniques avancées utilisées par les kits PhaaS
Les plateformes modernes intègrent des techniques d’évasion et d’attaque très avancées :
HTML smuggling (contrebande HTML, ou le logiciel malveillant est diffusé par le code HTML)
Fichiers ZIP chiffrés
Proxys AiTM (Adversary-in-the-Middle)
Rotation automatique des URL
Exploitation de services légitimes compromis
Ces techniques, malheureusement parmi tant d’autres, rendent les attaques difficiles à détecter, même pour des organisations bien protégées.
Cibles privilégiées du PhaaS
La variété est grande :
Particuliers (banques, e commerce)
Entreprises (accès Microsoft 365 ou Google Workspace)
Administrations, hôpitaux
PME moins protégées, en particulier les plus petites d’entre elles.
Les attaquants privilégient les environnements réseau non segmentés où un seul compte compromis peut ouvrir l’accès à un réseau entier.
Un écosystème cybercriminel complet
Le PhaaS s’inscrit dans une chaîne de valeurs illégales plus large :
Vendeurs de données volées
Services de blanchiment
Fournisseurs de botnets
Groupes spécialisés dans l’exploitation post intrusion.
Cette spécialisation multiplie l’efficacité globale des attaques, et surtout, leur rentabilité… Mais en contrepartie, l’ampleur de la menace oblige une réponse des États, coordonnées avec les spécialistes des fournisseurs de services contrefaits, notamment Microsoft et Google.
Démantèlement et lutte contre le PhaaS
Les forces de l’ordre mènent régulièrement des opérations de démantèlement.
Début 2026, après une longue enquête internationale, Europol a récemment coordonné une action ayant permis de neutraliser une plateforme PhaaS, Tycoon 2FA, dont les serveurs étaient basés au Pakistan, et de faire saisir 330 domaines utilisés pour héberger des pages frauduleuses et des panneaux de contrôle.
Cette plateforme de PhaaS, aux services accessibles par un abonnement (120$/10j) en moyenne, a généré plus de 60% des tentatives de phishing interceptées par Microsoft en 2025, et ce en contournant la double authentification !
Selon Europol, plus de 100 000 organisations ont été compromises mondialement (entreprises et administrations, sans compter les particuliers) par cette seule plateforme…
Ces opérations montrent que le PhaaS est désormais considéré comme une menace majeure nécessitant une coopération internationale, comme bien souvent en matière de cybersécurité organisée.
Stratégies de défense face au PhaaS
Comme très souvent en matière de cybersécurité, la lutte contre le PhaaS nécessite une approche globale.
Sensibilisation continue
Les utilisateurs doivent être formés à reconnaître, à minima :
Les signaux faibles
Les demandes inhabituelles
Les URL suspectes
Authentification renforcée
L’usage de méthodes sans code, comme FIDO2 (une méthode d’authentification sécurisée incluant la biométrie) réduit l’efficacité des proxys AiTM.
Politiques de sécurité des e mails
La mise en place de protocoles de sécurisé avancés, tels que SPF, DKIM et DMARC limitent l’usurpation d’identité.
Surveillance et détection
Les entreprises doivent surveiller :
Les connexions anormales
Les proxys suspects
Les comportements inhabituels
Segmentation des accès
Comme toujours en cybersécurité, limiter les privilèges réduit l’impact d’un compte compromis, mais ce n’est pas une option populaire, spécialement dans les petites structures qui ne disposent pas d'un service informatique dédié.
Tendances futures du PhaaS
Plusieurs évolutions se dessinent :
Automatisation par intelligence artificielle
Deepfakes vocaux indétectables pour le vishing
Attaques hybrides combinant phishing et ransomware
Modularisation des services PhaaS
Utilisation de modèles linguistiques pour contourner les filtres
Le PhaaS continuera probablement à se professionnaliser, comme toutes les autres menaces cyber, rendant la détection encore plus complexe.
Conclusion
Le phishing as a service représente une transformation redoutable, profonde et, hélas, attendue de la cybercriminalité internationale.
En industrialisant l’hameçonnage, il permet à des individus sans compétences techniques de mener des attaques sophistiquées, massives et multicanaux, qui rapporteront infiniment plus que l’abonnement demandé pour les utiliser…
Cette très rentable démocratisation technique accroît considérablement la menace pour les particuliers, les entreprises et les institutions, car l'argent facile exerce toujours un fort pouvoir d'attraction... Surtout que les risques sont relativement faibles, comme en témoigne un taux d'arrestation très bas selon les chiffres d'Europol.
En résumé, les défenses traditionnelles ne suffisent plus : seule une combinaison de technologies avancées, de bonnes pratiques organisationnelles et, surtout, de sensibilisation régulière, pourra réduire l’impact de cette menace en constante évolution.
Pour aller plus loin :
Commentaires