Archives par mot-clé : phishing

Cybersécurité, Entreprise, Securite informatique

Flickr alerte sur une fuite via un prestataire d’e-mails

Laisser un commentaire

Une faille chez un fournisseur tiers a pu exposer des données d’abonnés Flickr. L’entreprise bloque l’accès en quelques heures et redoute surtout une vague d’hameçonnage ciblant ses 35 millions d’utilisateurs mensuels.

Flickr a averti ses utilisateurs d’une possible fuite de données liée à une faille dans les systèmes d’un prestataire de messagerie tiers. L’entreprise dit avoir découvert l’incident le 5 février 2026 et avoir bloqué l’accès au système compromis quelques heures plus tard. Selon Flickr, les identifiants de connexion et les informations financières ne sont pas concernés. En revanche, des données pourraient avoir été exposées, notamment noms d’utilisateur, adresses e-mail, surnoms Flickr, types de comptes, adresses IP, données de géolocalisation et informations d’activité. Les utilisateurs sont invités à vérifier leurs paramètres et à se méfier du phishing. Flickr enquête et renforce ses contrôles fournisseurs.

Une brèche indirecte, et le risque de phishing à grande échelle

L’alerte ne vient pas d’un piratage frontal de Flickr, mais d’un angle souvent sous-estimé : la dépendance à un prestataire. Le service d’hébergement de photos indique qu’une faille de sécurité dans les systèmes d’un fournisseur de messagerie tiers a pu permettre à des pirates d’accéder à des informations d’abonnés. L’entreprise dit avoir eu connaissance du problème le 5 février 2026, puis avoir bloqué l’accès au système compromis quelques heures plus tard.

Flickr précise que les identifiants des utilisateurs et les informations financières n’ont pas été affectés. Cette ligne de défense est essentielle, mais elle ne supprime pas le principal danger opérationnel : l’attaquant n’a pas forcément besoin de mots de passe pour provoquer des dégâts. Des données comme les noms, les adresses e-mail, les surnoms Flickr, les types de comptes, les adresses IP, la géolocalisation et des informations d’activité suffisent à fabriquer des messages de fraude crédibles, personnalisés et difficiles à distinguer d’une communication légitime.

Le contexte donne la mesure du risque. Fondé en 2004, Flickr reste un acteur majeur, revendiquant plus de 28 milliards de photos et de vidéos. La plateforme est utilisée par 35 millions de personnes chaque mois et totalise 800 millions de pages vues. Une exposition même partielle peut donc fournir une base de ciblage massive pour des campagnes de hameçonnage, de prise de compte par tromperie, ou de collecte secondaire via de faux formulaires de support.

Flickr ne communique pas le nom du prestataire touché ni le nombre d’utilisateurs concernés. Ce silence complique l’évaluation externe, mais il ne change pas la logique de menace : dès que des coordonnées et des signaux d’usage circulent, les fraudeurs peuvent orchestrer des attaques “à la bonne adresse”, au bon moment, avec un récit cohérent.

Ce que Flickr demande aux utilisateurs, et ce que l’incident révèle

Dans les notifications par courriel, les utilisateurs potentiellement concernés sont invités à vérifier les paramètres de leur compte pour détecter toute modification suspecte. L’entreprise leur demande aussi de redoubler de prudence face aux messages d’hameçonnage, car des pirates pourraient exploiter des données volées pour usurper l’identité de Flickr. Elle rappelle un point de repère simple : Flickr ne demande jamais un mot de passe par e-mail.

L’entreprise indique enquêter sur l’incident, renforcer son architecture et resserrer ses contrôles sur les fournisseurs tiers. L’aveu implicite est celui d’une surface d’attaque élargie : même si le cœur du service n’est pas touché, un maillon périphérique peut exposer des informations suffisamment riches pour alimenter une fraude rentable. Dans ce schéma, le renseignement utile pour l’attaquant n’est pas le contenu des comptes, mais les métadonnées permettant de choisir une victime, de la profiler et de la convaincre.

À l’échelle cyber, l’épisode illustre une règle constante : les compromis “indirects” via prestataires transforment des données de contact en armes, et déplacent la bataille vers la détection de faux messages et la discipline des accès.

Banque, Cybersécurité, Justice

Fuite de données chez un géant de la CB : 192 000 commerçants touchés

Shinhan Card confirme une fuite visant environ 192 000 commerçants affiliés. Pas de cyberattaque, mais un soupçon de faute interne. Les autorités sud-coréennes sont saisies, sur fond de risque accru de phishing.

Shinhan Card, groupe sud-coréen de services financiers, a confirmé une fuite de données concernant environ 192 000 commerçants franchisés, majoritairement des indépendants. Les informations exposées portent surtout sur des numéros de téléphone, avec, dans une partie des cas, des éléments limités d’identité. L’entreprise indique qu’aucun numéro de carte, détail bancaire, numéro d’identification national ou donnée de crédit n’a, à ce stade, été identifié comme compromis.

Fuite interne, pas de piratage

Le scénario tranche avec l’imaginaire d’un assaut venu d’Internet. Shinhan Card affirme que l’incident n’est pas lié à une intrusion externe, mais à un comportement interne jugé déviant. Selon son explication, un employé d’une agence commerciale aurait transmis des données de commerçants à un recruteur de cartes, dans une logique de prospection. La formule choisie par la société est sans ambiguïté : « This was not due to external hacking but an employee’s misconduct » [Ce n’est pas un piratage], a déclaré un responsable de Shinhan Card, en précisant que la chaîne opérationnelle concernée a été bloquée.

Derrière ce vocabulaire, l’enjeu est concret : des indépendants, exploitant des points de vente affiliés, avaient fourni des informations personnelles dans le cadre des contrats standards liant commerçant et émetteur. Shinhan Card resserre le périmètre temporel : les contrats concernés s’échelonnent de mars 2022 à mai 2025. Autrement dit, l’exposition ne viserait pas l’ensemble des partenaires historiques, mais un segment récent, suffisamment vaste pour toucher près de deux cent mille entités.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

La nature des données divulguées est décrite comme « limitée« , mais elle suffit à alimenter des campagnes de manipulation. L’entreprise indique que la majorité des enregistrements concernent des numéros de téléphone mobile, environ 180 000 cas. Dans près de 8 000 situations, le numéro aurait fuité avec un nom. Un sous-ensemble plus restreint inclurait aussi des informations comme la date de naissance et le genre. Pour clarifier ce que recouvrent ces ordres de grandeur, on peut faire un calcul simple à partir des chiffres fournis : 192 000 au total moins 180 000 numéros seuls, moins 8 000 numéros accompagnés d’un nom, cela laisse environ 4 000 dossiers. Ce reliquat correspond plausiblement aux enregistrements où figurent des détails additionnels, sans que Shinhan Card ne donne de ventilation plus fine.

Sur le point le plus sensible, Shinhan Card martèle l’absence d’indice d’atteinte aux données financières critiques. L’enquête interne n’aurait détecté ni numéro d’enregistrement citoyen, ni numéro de carte, ni données de compte, ni information de crédit exposés. À ce stade, la société ajoute n’avoir reçu aucun signalement confirmé d’usage frauduleux lié à ces fuites.

L’affaire a émergé en fin d’année 2025, après un signalement adressé à la Personal Information Protection Commission (PIPC), autorité sud-coréenne de protection des données. Une fois alertée, la PIPC a demandé des pièces à Shinhan Card pour mesurer l’étendue de la fuite et en établir la cause. Après sa propre revue, l’entreprise indique avoir formellement notifié l’incident à la PIPC le 23 décembre, au titre des obligations de déclaration, et dit coopérer pendant l’examen.

En parallèle, Shinhan Card tente de reprendre la main sur la relation de confiance. Elle a publié des excuses et des consignes sur son site et son application, et mis en ligne une page dédiée permettant aux commerçants de vérifier s’ils figurent dans le périmètre. « We will make every effort to protect our customers and prevent similar incidents from recurring« , a assuré un porte-parole, en insistant sur un renforcement des contrôles internes et une révision des droits d’accès aux données marchands.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, Entreprise, Securite informatique

Email, première brèche pour les entreprises en 2025

En 2025, l’email reste la porte d’entrée la plus rentable pour les attaquants. Un rapport mondial décrit des violations fréquentes, coûteuses et liées au ransomware, avec une réponse freinée par l’humain et l’automatisation.

Selon le Rapport 2025 sur les violations de la sécurité des emails de Barracuda, fondé sur une enquête auprès de 2 000 décideurs IT et sécurité (avril-mai 2025), 78 % des organisations interrogées ont subi une violation liée à l’email sur douze mois . Les attaques les plus citées mêlent phishing et spear phishing (27 % des victimes), compromission de messagerie professionnelle, dite BEC (24 %), et piratage de compte (22 %). L’étude souligne un enchaînement typique, le phishing ouvrant la voie à des compromissions plus profondes, jusqu’au ransomware. Elle chiffre aussi l’impact, de la réputation aux arrêts d’activité, et met en évidence un point dur pour les petites structures, qui supportent un coût par employé nettement plus élevé.

Une chaîne d’attaque structurée autour de l’email

L’enquête, menée dans plusieurs zones (États-Unis, Royaume-Uni, France, DACH, Benelux, Nordiques, Australie, Inde, Japon) auprès d’organisations de 50 à 2 000 employés, décrit un paysage où les menaces s’emboîtent. Le rapport insiste sur un mécanisme de « premier domino » : l’hameçonnage sert souvent de point de départ, puis les identifiants volés alimentent l’usurpation d’identité interne, le piratage de comptes et, dans certains cas, la livraison de charges malveillantes .

Dans les réponses, les victimes citent aussi virus et malwares (29 %), spam (28 %), usurpation de marque (23 %), détournement de conversations (17 %) et menace interne intentionnelle (19 %). Cette diversité est un indicateur utile côté renseignement : la surface d’attaque ne se limite pas au « mail piégé », elle inclut la crédibilité de l’expéditeur, la continuité des fils de discussion et les techniques de spoofing. Le rapport rappelle que les attaquants peuvent falsifier le nom d’affichage, le domaine ou recourir à des domaines sosies pour obtenir un clic, un virement ou un identifiant.

La BEC est décrite comme une menace ciblée et financièrement motivée : l’objectif n’est pas seulement l’intrusion, mais la tromperie opérationnelle, pousser un employé à transférer de l’argent ou à divulguer des informations sensibles. Dans une logique renseignement, cela met l’accent sur la connaissance de l’organisation par l’adversaire, ses procédures de paiement, ses habitudes d’échanges et ses « signaux de confiance » internes.

Des dégâts mesurables, une réputation fragile

Le rapport situe la conséquence la plus fréquente au niveau de la marque : 41 % des répondants citent une atteinte à la réputation, avec, pour une partie d’entre eux, une perte d’opportunités commerciales qui pèse sur la croissance . Les effets opérationnels suivent de près : interruptions d’activité et temps d’arrêt (38 %), baisse de productivité (36 %). La perte de données sensibles est également mentionnée par 36 % des organisations, et les impacts commerciaux se traduisent par une perte de nouvelles affaires (27 %) et de clients (25 %) .

Le rapport note que l’atteinte à la réputation peut dépasser la perception immédiate, en entraînant des conséquences juridiques, contractuelles et stratégiques. Dit autrement, l’email n’est pas qu’un vecteur technique : c’est une zone de confiance. Lorsqu’elle est compromise, la capacité d’une organisation à convaincre, signer et encaisser peut se dégrader, même après remise en état des systèmes.

Pour objectiver l’impact, l’étude donne un coût moyen de réponse et de récupération de 217 068 $ (199 702,56 €), conversion indicative calculée avec l’hypothèse 1 $ = 0,92 € (217 068 × 0,92 = 199 702,56) . Cette moyenne cache un point clé : le choc relatif est plus violent pour les petites structures. La mesure d’atténuation la plus coûteuse atteint en moyenne 145 921 $ (134 247,32 €) pour les organisations de 50 à 100 employés, contre 364 132 $ (335 001,44 €) pour celles de 1 000 à 2 000 employés, toujours avec la même hypothèse de conversion . Le rapport traduit surtout cette asymétrie en coût par employé : 1 946 $ (1 790,32 €) dans les petites organisations, contre 243 $ (223,56 €) dans les plus grandes. Le calcul est direct, 1 946 × 0,92 = 1 790,32 et 243 × 0,92 = 223,56.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres

Détection, réponse, ransomware : le temps comme facteur de risque

La donnée la plus opérationnelle concerne la vitesse. La moitié des organisations indiquent avoir détecté la violation en moins d’une heure . Pourtant, le rapport relie les retards à un risque accru de ransomware : 71 % des organisations ayant subi une violation email déclarent aussi un ransomware sur la même période . L’explication avancée est une continuité de chaîne : un message de phishing « anodin » sert de tremplin, via identifiants volés ou accès compromis, puis les pièces jointes et liens malveillants facilitent la livraison et l’extension de l’attaque.

L’étude compare les profils. Parmi les victimes de violations email non touchées par un ransomware, 58 % détectent en moins d’une heure et 47 % atténuent la menace dans l’heure suivant la détection. À l’inverse, chez celles touchées aussi par ransomware, 51 % mettent de deux heures à une journée ouvrée pour détecter, et 56 % nécessitent de deux à huit heures après détection pour atténuer . Le rapport résume : 64 % des victimes de ransomware mettent plus de deux heures à corriger une violation email.

Pourquoi ce délai ? Trois familles d’obstacles ressortent. D’abord, la sophistication et l’évasion : 47 % citent les techniques d’évasion avancées comme principal frein à une réponse rapide, et 43 % pointent des emails plus convaincants dans le langage et la mise en forme . Ensuite, l’humain : 46 % observent une forme de complaisance, les employés supposant que les outils les protègent quoi qu’il arrive, et 34 % indiquent que les mails suspects ne sont pas signalés. Enfin, l’outillage : 44 % estiment que l’absence de réponse automatisée retarde détection, confinement et nettoyage des boîtes de réception, tandis que 40 % évoquent le manque de personnel qualifié .

La recommandation implicite côté renseignement est claire : réduire la fenêtre d’exploitation exige des signaux exploitables vite, des procédures d’isolement, et des capacités de suppression post-livraison. Le rapport évoque une approche intégrée, mêlant détection avancée, formation, automatisation, authentification multifacteur et protocoles d’authentification (SPF, DKIM, DMARC), ainsi que l’usage de flux de renseignements sur les menaces pour suivre domaines malveillants et tactiques émergentes .

Le tableau dressé est celui d’une menace email industrialisée, où la compromission initiale conditionne la suite, BEC ou ransomware, et où le facteur temps, plus encore que l’outil, décide souvent de l’ampleur des dégâts. Si 44 % des organisations lient leurs retards au manque d’automatisation, jusqu’où une réponse orchestrée et nourrie par le renseignement sur les menaces peut-elle raccourcir la fenêtre qui sépare l’email reçu de l’attaque réussie ?

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Antivirus, Cybersécurité, Securite informatique

Antivirus en 2026 : toujours indispensable ?

En 2026, les protections intégrées progressent, mais les attaques aussi. La vraie question n’est plus « antivirus ou pas », c’est quel niveau de contrôle vous voulez sur vos postes et vos données.

Faut-il encore installer un antivirus en 2026, alors que Windows, macOS, iOS et Android intègrent déjà des défenses solides ? La réponse dépend moins d’un réflexe d’achat que d’un modèle de risque : usages, exposition, valeur des données et capacité à réagir vite. Un antivirus moderne n’est plus seulement un « scan » de fichiers, il sert à bloquer des comportements, filtrer le web, durcir le navigateur, surveiller des processus et produire des traces utiles après incident. Pour un particulier, il peut réduire l’impact des arnaques et des téléchargements piégés. Pour une entreprise, il devient une brique d’hygiène et de preuve, surtout face au phishing, aux rançongiciels et aux vols d’identifiants.

Ce qui a changé : l’antivirus n’est plus un simple “scanner”

Pendant longtemps, l’antivirus a été résumé à une image : un programme qui repère une « signature » dans un fichier, puis le met en quarantaine. En 2026, cette vision est trop étroite, parce que la menace ne se limite plus à un exécutable grossier déposé sur le disque. Les attaques s’insinuent via le navigateur, des documents piégés, des scripts, des extensions, des publicités, ou des identifiants volés. Elles misent souvent sur la vitesse, l’automatisation et la confusion, plutôt que sur un code facilement reconnaissable.

L’antivirus moderne, quand il est bien conçu, travaille donc sur plusieurs couches. Il peut analyser des comportements, détecter des enchaînements suspects, bloquer des connexions vers des destinations risquées, empêcher un processus de modifier massivement des fichiers, ou alerter sur des tentatives d’accès aux mots de passe du navigateur. Ce glissement est important pour comprendre le débat. Si vous pensez « antivirus = signatures », vous conclurez trop vite que les protections intégrées suffisent. Si vous pensez « antivirus = surveillance, blocage, et preuves », vous verrez qu’il reste une valeur, à condition de choisir une solution adaptée et de ne pas la laisser fonctionner en roue libre.

Il faut aussi regarder l’adversaire tel qu’il opère réellement. Le cybercrime industrialisé ne cherche pas forcément à « infecter » au sens classique, comme une grippe ,hivernale. Il cherche à monétiser, en volant des comptes, en extorquant, en détournant une session, ou en poussant à payer une fausse assistance comme on peut le lire dans cet article. Dans ce théâtre, la prévention ne se limite pas à éviter un fichier. Elle consiste à réduire les occasions de cliquer, à limiter les permissions, à contrôler les scripts, à contenir l’exécution, et à récupérer des indices quand quelque chose a dérapé. L’antivirus, dans sa version 2026, est souvent l’un des rares outils grand public capables d’apporter ces protections sans exiger une équipe sécurité.

Enfin, il y a un aspect rarement assumé : la charge mentale. Beaucoup d’incidents naissent d’un moment d’inattention, d’un faux message « urgent », d’une fenêtre qui se superpose, d’une page qui imite un service. Dans ces scénarios, un bon produit ne remplace pas le discernement, mais il peut casser la chaîne, au bon moment, en bloquant un site, un script, un téléchargement ou une action à risque. C’est moins spectaculaire qu’un « nettoyage » après coup, mais c’est là que se joue l’essentiel.

Protections natives : suffisantes pour qui, et dans quels usages ?

Les systèmes actuels intègrent des mécanismes de défense sérieux. Pour beaucoup d’utilisateurs, c’est déjà une base efficace, à condition d’activer les options de sécurité, de maintenir le système à jour, et de ne pas transformer l’ordinateur en terrain d’essai. Dans ce cadre, la question “faut-il encore un antivirus ?” devient une question de couverture. Qu’est-ce qui est déjà pris en charge, et qu’est-ce qui reste fragile dans votre usage quotidien ?

Le premier facteur, c’est l’exposition. Un poste utilisé pour consulter des sites connus, avec peu d’extensions, des mises à jour automatiques et des comptes protégés, court moins de risques qu’un poste où l’on télécharge souvent, où l’on installe des utilitaires, où l’on partage des fichiers, ou où l’on jongle entre plusieurs comptes. Le second facteur, c’est la valeur des actifs. Si votre machine contient des documents sensibles, des accès professionnels, des identifiants bancaires, ou si elle sert de « coffre-fort » à vos vies numériques, alors votre seuil d’acceptation du risque est plus bas. Le troisième facteur, c’est votre capacité à réagir. Un incident n’est pas seulement un “virus”. C’est du temps perdu, des mots de passe à changer, des comptes à récupérer, parfois des démarches, et une incertitude sur ce qui a été vu ou copié.

Dans cet arbitre, l’antivirus tiers peut ajouter des couches de protection ou de visibilité. Il peut offrir une interface plus lisible, des contrôles web plus agressifs, des règles plus strictes sur les scripts, un suivi d’événements, et des outils de remédiation. Il peut aussi fournir une forme de redondance utile. Une défense n’est pas parfaite, donc deux lignes de défense, si elles ne se gênent pas, peuvent réduire la probabilité qu’un même angle mort soit exploité.

C’est là que le choix devient concret. Chercher le meilleur antivirus n’a de sens que si vous définissez vos critères, simplicité, impact sur les performances, protection web, gestion des alertes, et qualité des journaux en cas d’incident. Sinon, vous achetez un logo et vous espérez. En cybersécurité, l’espoir n’est pas une stratégie, la clarté des règles l’est.

Le vrai risque en 2026 : l’arnaque qui ressemble au normal

Si l’on devait résumer le danger dominant côté grand public, ce ne serait pas « le virus » au sens des années 2000. Ce serait l’arnaque parfaitement plausible, livrée au bon moment, avec les bons codes visuels, et parfois une assistance téléphonique qui imite un support officiel. Les ransomwares et les vols d’identifiants continuent de peser, mais ils arrivent souvent par un point d’entrée très banal : un lien, une pièce jointe, une connexion sur un faux site, un mot de passe réutilisé.

Dans ces attaques, l’antivirus joue un rôle moins visible mais décisif, casser des redirections, empêcher un téléchargement, détecter un script inhabituel, bloquer un domaine récemment utilisé pour des campagnes, alerter sur un comportement de chiffrement massif, ou isoler une action suspecte. Ce sont des micro-interruptions qui peuvent éviter un incident majeur. La défense la plus efficace est celle qui vous épargne l’étape où vous devez « récupérer » votre vie numérique. Un logiciel de cybersécurité qui produit des traces compréhensibles n’est pas seulement une barrière, c’est un instrument d’enquête à l’échelle du poste.

En 2026, la question n’est pas de savoir si l’antivirus « sert encore », mais si votre environnement exige une couche supplémentaire de blocage, de contrôle web et de traçabilité. Pour un usage simple et discipliné, les protections natives peuvent suffire. Dès que l’exposition augmente, téléchargements, usages professionnel, données sensibles, famille peu technophile, une solution dédiée redevient rationnelle, indispensable. Le point décisif est la capacité à prévenir, mais aussi à comprendre, quand une tentative a eu lieu : sans traces, on subit, avec des preuves, on corrige. (Image : Pixabay)

backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Piratage, Securite informatique

Fuites massives via Salesforce : l’effet domino des applis tierces

Une série d’attaques de phishing exploitant l’intégration entre Salesforce et l’appli Drift expose de grandes entreprises mondiales à des fuites massives de données clients et à des poursuites judiciaires.

Ces derniers mois, Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont signalé des violations de données liées à l’usage d’une application tierce connectée à Salesforce. Le gang ShinyHunters est accusé d’avoir détourné des jetons OAuth de la plateforme Drift Salesloft pour siphonner des informations sensibles de bases CRM. Noms, emails et numéros de téléphone ont circulé, exposant clients et employés à un risque élevé de phishing. Plusieurs victimes poursuivent Salesforce en Californie, estimant que l’éditeur n’a pas garanti une protection suffisante. Cette affaire illustre les failles critiques de la cybersécurité dans la chaîne d’approvisionnement logicielle.

Une faille exploitée dans l’écosystème Salesforce

Au printemps, une vague d’attaques a visé l’intégration entre Salesforce, leader mondial du CRM, et Drift Salesloft, une plateforme d’automatisation marketing. Ce connecteur permet aux entreprises de synchroniser conversations clients et données commerciales. Les cybercriminels du groupe ShinyHunters ont exploité les jetons OAuth de Drift, normalement destinés à authentifier des applications, pour interroger les bases Salesforce de leurs cibles. Ils ont ainsi accédé à des objets tels que Cases, Accounts, Users et Opportunities. Ces requêtes leur ont permis de récupérer des informations identifiantes comme adresses mail, numéros de téléphone et identifiants internes.

Selon Google Threat Intelligence Group (GTIG), il ne s’agissait pas d’une faille structurelle de Salesforce mais bien d’un abus des droits accordés par l’appli tierce. Une fois alerté, Salesforce a retiré Drift de son AppExchange et conseillé de désactiver l’intégration. L’entreprise insiste sur le fait que ses clients non-utilisateurs de Drift ne sont pas concernés.

Des multinationales contraintes de notifier des fuites

La liste des victimes reflète l’ampleur du problème. Constructeur automobile, compagnies aériennes, assureurs, groupes de luxe et distributeurs de mode ont été touchés. Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont confirmé des incidents. Tous ont dû notifier des clients exposés à la perte de données. Le Service Veille de ZATAZ a d’ailleurs remarqué que le compte Telegram de ceux qui s’annonçaient comme les auteurs de ces infiltrations a été fermé. L’espace affiche un message laconique « fermé pour non respect des règles« .  La justice est-elle passée par là ?

Les informations volées n’ont pas l’ampleur de numéros de cartes bancaires ou de mots de passe, mais elles suffisent à alimenter des campagnes de phishing ciblé. Les cybercriminels peuvent désormais usurper des identités, exploiter des mails professionnels crédibles ou orchestrer des fraudes au président. Cette réutilisation des données accentue le risque de compromission secondaire, souvent plus destructeur que la fuite initiale.

Le gang ShinyHunters, actif depuis plusieurs années, a revendiqué de nombreuses campagnes similaires. Entre mai et août, il aurait lancé des centaines d’attaques contre des organisations connectées à Salesforce par Drift, industrialisant l’usage frauduleux de jetons OAuth.

Procès en Californie et question de responsabilité

Au-delà du volet technique, le scandale devient juridique. Une quinzaine de plaintes ont été déposées en Californie contre Salesforce. Plusieurs cherchent à obtenir le statut de recours collectif. Les plaignants accusent l’éditeur de n’avoir pas pris les mesures suffisantes pour sécuriser l’accès aux données, malgré sa position dominante sur le marché du CRM.

Salesforce réfute ces accusations et insiste sur l’absence de vulnérabilité directe dans sa plateforme. L’entreprise renvoie la responsabilité vers la connexion tierce. Les victimes rétorquent que l’éditeur aurait dû mieux contrôler les applications autorisées sur son marketplace et sécuriser les processus d’intégration.

Cette affaire illustre la zone grise de la cybersécurité en chaîne d’approvisionnement. Lorsqu’un maillon externe est compromis, la responsabilité du fournisseur principal reste floue. Or, pour des entreprises dont la valeur repose sur la confiance client, l’impact réputationnel est immédiat.

backdoor, Cyber-attaque, Cybersécurité, Securite informatique

Google sous pression après une menace du collectif Scattered LapSus Hunters

Un collectif cybercriminel exige le licenciement de deux experts sécurité de Google. Sans preuve d’intrusion, la menace illustre une nouvelle tactique d’intimidation contre les équipes de renseignement.

Le collectif Scattered LapSus Hunters, réunissant trois groupes de pirates connus, menace Google de divulguer des données internes si deux de ses experts en cybersécurité ne sont pas renvoyés. Cette demande inédite, relayée sur Telegram, cible directement les équipes de Threat Intelligence de l’entreprise. Aucune preuve d’intrusion n’a été présentée à ce jour, mais la menace intervient après une fuite récente liée à un prestataire Salesforce ayant touché des données de contacts professionnels. Google n’a pas confirmé de compromission ni réagi publiquement à cet ultimatum. L’affaire met en lumière les pressions croissantes exercées sur les géants technologiques et le rôle clé de leurs cellules de renseignement cyber.

Origines et méthodes du collectif

Les Scattered LapSus Hunters se présentent comme une alliance de trois acteurs notoires de la cybercriminalité : Scattered Spider, LapSus$ et ShinyHunters. Chacun s’est déjà illustré par des attaques marquantes contre de grandes entreprises technologiques. Scattered Spider est réputé pour ses campagnes de social engineering et ses opérations de rançongiciels. LapSus$ s’est fait connaître en piratant Microsoft, NVIDIA et d’autres géants du secteur. ShinyHunters, pour sa part, a bâti sa réputation en volant et en revendant des bases de données issues de plateformes comme Wattpad ou Tokopedia. Personne ne s’est encore imaginé « publiquement » qu’ilm s’agirait peut-être de la même personne, cachait depuis peu sous ces trois signatures.

Cette coalition revendique aujourd’hui une stratégie atypique : exiger non pas une rançon financière, mais le renvoi de deux employés de l’équipe de Threat Intelligence de Google. Une telle démarche suggère que ces analystes mènent activement des enquêtes susceptibles de nuire aux opérations des cybercriminels. Les noms n’ont pas été divulgués, mais le ciblage personnel constitue une escalade significative dans la confrontation entre acteurs malveillants et équipes de défense.

Alerte après une fuite via Salesforce

La menace survient quelques semaines après un incident impliquant l’écosystème de Google. En août, l’un des groupes liés au collectif a exploité une faille chez Salesforce, prestataire externe de Google, pour accéder à des données de contacts professionnels. Les systèmes centraux de l’entreprise n’ont pas été compromis, mais l’événement a permis aux attaquants de récupérer des informations exploitables pour des campagnes de phishing et de vishing à grande échelle.

Face à ce risque accru, Google a diffusé une recommandation mondiale de réinitialisation de mots de passe, visant ses 2,5 milliards d’utilisateurs Gmail. Ce geste illustre la sensibilité de la menace, même lorsque la compromission ne touche pas directement les infrastructures internes. Les cybercriminels misent sur ces brèches périphériques pour multiplier les angles d’attaque.

À ce stade, Google n’a publié aucun communiqué officiel en réponse à l’ultimatum des Scattered LapSus Hunters. L’entreprise semble attendre d’éventuelles preuves tangibles avant d’ajuster sa posture publique. Complyer à une exigence visant des employés serait inédit et risquerait de créer un précédent dangereux, incitant d’autres groupes à recourir à l’extorsion ciblée.

Cette situation constitue un test pour les grandes entreprises technologiques. Elles doivent arbitrer entre discrétion stratégique, communication transparente envers leurs utilisateurs et protection de leurs équipes de renseignement. Si les pirates publient un jour des preuves crédibles d’intrusion, Google sera contraint d’activer ses protocoles de divulgation et de confinement. En attendant, l’épisode illustre la montée en puissance des tactiques de pression psychologique sur les défenseurs, autant que sur les infrastructures techniques.

Arnaque, cyberattaque

Rakuten face à une vague d’escroqueries par hameçonnage : les clients appelés à renforcer leur sécurité

Rakuten Securities a récemment alerté ses clients sur une augmentation inquiétante des escroqueries par hameçonnage ayant entraîné des connexions et des transactions non autorisées. L’entreprise exhorte ses clients à renforcer la sécurité de leurs comptes pour faire face à cette menace croissante.

Depuis la fin de l’année dernière, les cyberattaques ciblant le secteur financier se sont intensifiées, exposant les investisseurs à des risques accrus. Rakuten Securities, l’un des plus grands courtiers en ligne, a constaté une augmentation spectaculaire des cas d’hameçonnage (phishing) conduisant à des transactions boursières non autorisées. Les victimes se retrouvent souvent piégées après avoir reçu des messages frauduleux ressemblant à des communications officielles. Cette situation met en lumière les vulnérabilités du système financier numérique et la nécessité de renforcer les mesures de sécurité pour protéger les investisseurs.

Une montée en puissance des attaques ciblées

Le 21 mars 2025, Rakuten Securities a publié une déclaration officielle sur sa page d’accueil, attirant l’attention de ses clients sur la gravité de la situation. L’entreprise a signalé une hausse significative des demandes de renseignements concernant des connexions suspectes à des comptes de trading et des transactions effectuées sans l’autorisation des titulaires.

« Depuis la fin de l’année dernière, nous avons reçu de nombreuses demandes de renseignements de la part de clients concernant des connexions non autorisées« . Cette augmentation des signalements reflète une tendance inquiétante dans le secteur financier, où les attaques informatiques se professionnalisent et ciblent des comptes à fort potentiel de rendement.

Parmi les cas signalés, certains clients ont découvert que des actions chinoises avaient été achetées à leur insu. Cette situation laisse supposer une tentative de manipulation des cours boursiers par des criminels cherchant à exploiter les fluctuations de titres peu liquides. Ce type de fraude est particulièrement difficile à détecter, car il repose sur des transactions en apparence légitimes, dissimulées au sein de volumes de trading importants.

La stratégie des criminels : sophistication et adaptation

Les escroqueries par hameçonnage sont devenues de plus en plus sophistiquées. Les cybercriminels utilisent des méthodes avancées pour inciter les investisseurs à divulguer leurs identifiants de connexion. Des faux emails, des messages texte et des appels téléphoniques imitant les communications officielles de Rakuten Securities sont employés pour tromper les victimes.

Ces techniques d’hameçonnage ne se contentent plus de demander des identifiants de connexion. Elles exploitent également des méthodes d’ingénierie sociale pour obtenir des informations sensibles supplémentaires, comme les codes de vérification envoyés par SMS.

Les criminels s’adaptent rapidement aux nouvelles mesures de sécurité. Ils exploitent les failles comportementales des utilisateurs et utilisent l’intelligence artificielle pour personnaliser leurs attaques.

L’une des stratégies les plus fréquentes consiste à pousser la victime à télécharger une application ou un fichier infecté. Une fois installé, le logiciel malveillant permet aux attaquants d’intercepter les données de connexion en temps réel et de contourner les dispositifs de sécurité tels que l’authentification à deux facteurs (2FA).

Des transactions boursières suspectes : la menace d’une manipulation du marché

Le rapport de Rakuten Securities met en évidence une tendance inquiétante : les attaques ciblent non seulement des comptes individuels, mais également des portefeuilles d’actions spécifiques. Les actions chinoises semblent être une cible privilégiée des criminels.

En achetant des titres peu liquides à l’insu des investisseurs, les attaquants parviennent à influencer temporairement le cours de ces actions. En gonflant artificiellement la demande, ils provoquent une hausse des prix, leur permettant de vendre ensuite ces titres à profit avant que le marché ne corrige l’anomalie.

Cette tactique, connue sous le nom de « pump and dump« , est particulièrement redoutable dans un contexte de marché volatil. Les actions chinoises, souvent cotées à la fois sur les bourses asiatiques et internationales, offrent un terrain propice à ce type de manipulation. Les criminels peuvent ainsi exploiter les écarts de cotation entre différentes places boursières pour maximiser leurs profits.

Le fait que des actions chinoises soient spécifiquement ciblées suggère une coordination entre plusieurs acteurs criminels. Cela pourrait être le signe d’une tentative de manipulation de grande ampleur.

Une menace persistante dans le secteur financier

Les incidents signalés s’inscrivent dans une tendance plus large de cybercriminalité ciblant les institutions financières. Les services de courtage en ligne sont particulièrement vulnérables en raison du volume élevé de transactions et de la valeur des portefeuilles détenus par leurs clients.

Les plateformes de trading sont devenues une cible de choix pour les cybercriminels, attirés par la perspective de gains rapides et la possibilité de blanchir des fonds par le biais de transactions complexes. Les cryptomonnaies jouent également un rôle clé dans ces opérations, offrant aux criminels un moyen d’échapper aux contrôles traditionnels.

Dans un contexte de marché de plus en plus interconnecté, la question demeure : les plateformes de trading seront-elles capables de combler le fossé technologique face à des attaquants toujours plus sophistiqués ?

cyberattaque, Cybersécurité

Phishing : le bilan alarmant de la cybersécurité

Un acteur majeur dans la lutte contre les cybermenaces a récemment publié les résultats édifiants de sa deuxième édition du baromètre annuel de la cybersécurité. Cette étude, basée sur l’analyse de 5,9 milliards de courriels et représentant plus de 2 millions d’utilisateurs, dévoile un panorama complexe et inquiétant de la cybersécurité actuelle.

En 2023, 1,6 milliard de courriers indésirables ont été interceptés et 143 millions de tentatives de cyberattaques, principalement sous forme de phishing, ont été neutralisées par la société MailingBlack, mettant en lumière l’ingéniosité et la persévérance des cybercriminels. L’étude révèle que des marques de confiance telles que La Poste, WeTransfer, Amazon, Microsoft, et Google sont fréquemment imitées dans le but de leurrer les utilisateurs. 7,6 % des spams contiennent des cybermenaces. 77,5 % de ces assauts numériques se manifestent par un hameçonnage exploitant des biais cognitifs humains tels que le stress, la curiosité, et l’appât du gain pour piéger les employés.

Les petites et moyennes entreprises (PME), suivies des administrations publiques, figurent parmi les cibles privilégiées. Ces entités, souvent moins armées contre les cybermenaces, se retrouvent en première ligne face à des adversaires numériques de plus en plus sophistiqués. Le secteur du commerce se distingue particulièrement, victime de 82 % des attaques exploitant des macros malveillantes dans des documents Word ou Excel, par exemple.

Par ailleurs, les postes de direction et les fonctions marketing sont particulièrement visés, soulignant la stratégie des attaquants de cibler les maillons clés au sein des organisations pour maximiser leur impact. Les postes de direction sont visés, en moyenne, 25 fois par mois. Vient ensuite, les postes marketing, avec 21 tentatives. Les postes administratifs arrivent quant à eux en troisième position, avec 9 tentatives par mois.

Les biais cognitifs auxquels les collaborateurs sont le plus sensibles, sont aussi les plus triviaux : le stress, la curiosité et l’appât du gain. Les messages pour les piéger varient peu, ou pas. Ils restent cependant très efficace. Voici quelques exemples repérés par ZATAZ et MailingBlack.

Promotions et événements spéciaux : “Profitez de notre offre exclusive Black Friday ! Des surprises incroyables vous attendent” ;
Facturation et paiements : “Alerte de facture impayée !” ;
Offres d’entreprise et bien-être : “Améliorez le bien-être de votre équipe ! Découvrez nos solutions exclusives” ;
Logistique et livraison : “Alerte de colis en attente ! Confirmez vos détails de livraison immédiatement !” ;
Sécurité et authentification : “Action requise pour votre sécurité ! Veuillez confirmer votre numéro de téléphone pour protéger votre compte”.

Banque, Cybersécurité, Phishing

Hameçonnage : Les banques contraintes de rembourser, la Banque de France intervient

Le phishing est une menace croissante qui expose de nombreux Français à des fraudes bancaires. Malgré les protections légales en place, les banques ont souvent échappé à leurs obligations de remboursement, ce qui a conduit la Banque de France à prendre des mesures. Cet article examine les recommandations récentes de la Banque de France et souligne l’importance pour les banques de respecter les droits des victimes de phishing. Il met également en évidence les décisions de justice favorables aux clients et appelle à une vigilance accrue de la part des consommateurs et des entreprises.

Les recommandations de la Banque de France pour le remboursement des victimes de phishing

La fraude par phishing a connu une augmentation significative ces dernières années, exposant de nombreux utilisateurs de cartes bancaires à des risques financiers. Consciente de ce problème, la Banque de France, à travers son « Observatoire de la sécurité des moyens de paiement », a émis des recommandations claires le 16 mai 2023 pour garantir le remboursement des victimes de phishing par les banques. Ces recommandations insistent sur le respect du droit applicable et soulignent que les clients victimes de phishing doivent être remboursés, à moins qu’une négligence grave de leur part ne puisse être démontrée.

Le phishing est une méthode de fraude sophistiquée qui trompe les utilisateurs en les incitant à divulguer leurs informations bancaires personnelles par le biais de courriels non sollicités. Les fraudeurs se font passer pour des institutions financières légitimes en créant des sites web qui ressemblent à ceux des banques. Ils incitent les destinataires à mettre à jour leurs informations de compte en prétextant un problème technique ou une mise à jour nécessaire. Une fois que les victimes ont partagé leurs données personnelles, les fraudeurs peuvent accéder à leur compte bancaire et détourner des fonds en utilisant de faux ordres de paiement.

Selon les recommandations de la Banque de France, les banques sont tenues de rembourser les victimes de phishing. Le droit des opérations de paiement prévoit une protection solide pour les utilisateurs de cartes bancaires. Lorsqu’une opération non autorisée est effectuée après que des tiers aient obtenu les informations d’identification du titulaire du compte, la banque doit immédiatement rembourser le client afin de rétablir le solde du compte comme s’il n’y avait pas eu d’opération non autorisée.

Toutefois, les pertes liées à des opérations de paiement non autorisées ne peuvent être imputées au client que s’il a fait preuve d’une négligence grave dans la sécurisation de ses données personnelles. Il incombe à la banque de prouver cette négligence et cela ne peut être déduit simplement du fait que les informations de paiement ou les données personnelles du client ont été utilisées frauduleusement.

La Banque de France a souligné ces principes importants dans son communiqué, car dans la pratique, de nombreuses banques ont cherché à éviter les remboursements en accusant leurs clients de faute.

Les décisions de justice favorables aux clients et l’appel à la vigilance

Malgré les tentatives des banques de se soustraire à leurs responsabilités, certaines victimes de phishing ont réussi à obtenir justice grâce à des recours judiciaires. Les tribunaux ont régulièrement statué en faveur des clients, soulignant que les banques ne peuvent pas simplement imputer la responsabilité à leurs clients en se basant sur des éléments tels que le piratage de l’adresse e-mail ou la connaissance de la signature du titulaire du compte par des pirates, car ces informations peuvent être facilement obtenues par des fraudeurs habiles.

De plus, les décisions judiciaires ont mis en évidence l’obligation des banques de garantir l’inviolabilité de leurs plateformes et de prévenir toute opération frauduleuse permettant l’accès aux données personnelles et confidentielles des clients, y compris les informations figurant sur les cartes de code. Ainsi, les banques doivent assumer la responsabilité de prouver la sécurité de leurs systèmes, plutôt que de mettre en doute la négligence de leurs clients.

La Banque de France rappelle également l’importance de la vigilance tant pour les consommateurs que pour les entreprises. Il est crucial de renforcer les mesures de sécurité et de sensibilisation pour prévenir les attaques de phishing. Les utilisateurs de services bancaires en ligne doivent être attentifs aux courriels non sollicités et aux sites web suspects. Il est essentiel de ne jamais divulguer d’informations personnelles ou bancaires en réponse à de telles communications.

En réponse aux recommandations de la Banque de France, les établissements bancaires sont tenus de renforcer leurs systèmes de sécurisation des plateformes pour s’assurer du consentement et de la protection des titulaires de comptes lors des opérations de paiement. Cela inclut des mesures telles que l’authentification à deux facteurs, des systèmes de détection d’activité suspecte et des alertes de sécurité pour les utilisateurs.

En conclusion, l’hameçonnage reste un défi majeur pour les utilisateurs de services bancaires en ligne. Les recommandations de la Banque de France visent à garantir le remboursement des victimes de phishing par les banques, en mettant l’accent sur le respect du droit applicable. Les décisions de justice ont également soutenu les droits des clients et rappelé aux banques leur obligation de sécurité. En restant vigilants et en renforçant les mesures de sécurité, les consommateurs et les entreprises peuvent contribuer à lutter contre cette forme de fraude et à protéger leurs informations personnelles et financières.

Cybersécurité, Entreprise

Augmentation des fausses applications Cloud

Un rapport sur les menaces révèle les nouvelles sources principales de renvois vers de fausses pages de connexion, ainsi que l’augmentation des fausses applications cloud tierces exploitées pour tromper les utilisateurs.

Une nouvelle étude explique comment la prédominance des applications cloud a changé la façon dont les cybercriminels livrent les attaques de phishing pour voler des données.

Le rapport « Netskope Cloud and Threat Report: Phishing » détaille les tendances relatives aux méthodes de diffusion du phishing, telles que les fausses pages de connexion et applications cloud tierces conçues pour imiter les versions légitimes. Il analyse également les cibles de ce type attaques ainsi que l’hébergement des contenus frauduleux.

Bien que l’email reste le principal moyen d’acheminer des liens de phishing vers de fausses pages de connexion dans le but de voler des noms d’utilisateur, des mots de passe ou encore des codes d’authentification multifacteur, le rapport révèle que les utilisateurs cliquent plus fréquemment sur des liens de phishing provenant d’autres canaux, notamment des sites internet et des blogs, des médias sociaux et des résultats de moteurs de recherche. Le rapport décrit également l’augmentation du nombre de fausses applications cloud tierces conçues pour inciter les utilisateurs à autoriser l’accès à leurs données et à leurs ressources dans le cloud.

Les nombreuses origines du phishing

Traditionnellement considérée comme la principale menace de phishing, seules 11 % des tentatives d’attaques proviennent de services de messagerie web, tels que Gmail, Microsoft Live et Yahoo. Les sites internet et les blogs, en particulier ceux hébergés sur des services gratuits, sont les sources les plus courantes en matière de phishing, avec 26 %. Le rapport a identifié deux techniques principales : l’utilisation de liens malveillants par le biais de spams sur des sites web et des blogs légitimes, et l’exploitation de sites internet et de blogs créés spécifiquement pour promouvoir le contenu frauduleux.

Les renvois de moteurs de recherche vers des pages de phishing sont également devenus courants, car les cybercriminels exploitent les vides de données. Ainsi, ils créent des pages centrées sur des termes de recherche peu courants et sur lesquelles ils peuvent facilement s’imposer dans les premiers résultats pour ces termes. Parmi les exemples identifiés par le Threat Labs de Netskope dans l’exploitation de cette technique, figurent le mode d’emploi de fonctionnalités spécifiques de logiciels connus, les réponses à des questionnaires pour des cours en ligne ou encore les manuels d’utilisation de divers produits pour les entreprises et les particuliers.

« Les employés des entreprises ont été formés à repérer les messages de phishing dans les emails et les SMS. Les cybercriminels ont donc adapté leurs méthodes et incitent les utilisateurs à cliquer sur des liens de phishing dans des endroits moins attendus,  explique Ray Canzanese, de chez Netskope. Même si nous ne pensons pas forcément à la possibilité d’une attaque de phishing en surfant sur internet ou sur notre moteur de recherche préféré, nous devons tous faire preuve du même niveau de vigilance et de scepticisme qu’avec les emails entrants. Cela suppose de ne jamais saisir d’informations d’identification ou de données sensibles dans une page après avoir cliqué sur un lien. Il faut toujours se rendre directement sur les pages de connexion.« 

La montée en puissance des fausses applications cloud tierces

Le rapport révèle une autre méthode de phishing importante, qui consiste à inciter les utilisateurs à autoriser l’accès à leurs données et leurs ressources dans le cloud par le biais de fausses applications cloud tierces. Cette tendance est particulièrement inquiétante car l’accès aux applications tierces est omniprésent et constitue une surface d’attaque considérable. En moyenne, les utilisateurs finaux des entreprises ont accordé à plus de 440 applications tierces l’accès à leurs données et applications Google, avec une entreprise ayant jusqu’à 12 300 plugins différents accédant aux données, soit une moyenne de 16 plugins par utilisateur. Tout aussi alarmant, plus de 44 % de toutes les applications tierces accédant à Google Drive ont accès soit à des données sensibles, soit à toutes les données de Google Drive d’un utilisateur, ce qui incite les cybercriminels à créer de fausses applications tierces pour le cloud.

La nouvelle génération d’attaques de phishing est à nos portes. Avec la prédominance des applications cloud et l’évolution de la nature de leur utilisation, des extensions Chrome ou d’applications, les utilisateurs sont invités à autoriser l’accès dans ce qui est devenu un vecteur d’attaque négligé.

Cette nouvelle tendance des fausses applications tierces est un phénomène que nous surveillons et suivons de près pour nos clients. Nous nous attendons à ce que ces types d’attaques augmentent au fil du temps. Les entreprises doivent donc s’assurer que les nouvelles voies exploitées, telles que les autorisations OAuth, sont limitées ou verrouillées. Les employés doivent également être conscients de ces attaques et examiner minutieusement les demandes d’autorisation de la même manière qu’ils examinent les emails et les SMS.

Les employés continuent à cliquer et à être victimes de liens malveillants

Il est largement admis qu’il suffit d’un seul clic pour compromettre gravement une organisation. Alors que la sensibilisation et la formation des entreprises au phishing ne cessent de gagner en importance, le rapport révèle qu’en moyenne 8 utilisateurs sur 1 000 dans l’entreprise ont cliqué sur un lien de phishing ou ont tenté d’accéder d’une autre manière à un contenu de phishing.

Les utilisateurs sont attirés par de faux sites internet conçus pour imiter les pages de connexion légitimes. Les cybercriminels hébergent principalement ces sites internet sur des serveurs de contenu (22 %), suivis par des domaines nouvellement enregistrés (17 %). Une fois que les utilisateurs ont entré des informations personnelles sur un faux site, ou lui ont accordé l’accès à leurs données, les cybercriminels sont en mesure de collecter les noms d’utilisateur, les mots de passe et les codes d’authentification multifacteur.

La situation géographique joue un rôle dans le taux d’accès au phishing. L’Afrique et le Moyen-Orient présentent le pourcentage le plus élevé d’utilisateurs accédant à des contenus de phishing; en Afrique ce taux est supérieur de plus de 33 % à la moyenne, et il est plus de deux fois supérieur à la moyenne au Moyen-Orient. Les cybercriminels utilisent fréquemment la peur, l’incertitude et le doute (FUD) pour mettre au point des appâts de phishing et tentent également de tirer parti des grands sujets d’actualité. Au Moyen-Orient en particulier, ils semblent réussir à concevoir des leurres qui tirent parti des problèmes politiques, sociaux et économiques de la région.