Rapport Cyber Hornetsecurity 2025

Qu’est-ce que le Cybersecurity Report ?

Le Cybersecurity Report publié par Hornetsecurity* est une analyse annuelle basée sur des données réelles, collectées et étudiées par l’équipe dédiée du laboratoire de sécurité du groupe Hornetsecurity alias SecurityLab, pour dresser le paysage des menaces pour Microsoft 365.

Les solutions de cybersécurité déployées par Hornetsecurity traitent plus de 4 milliards et demi d’e-mails chaque mois. En analysant les menaces identifiées dans ces communications, combinées à une connaissance approfondie du paysage des menaces au sens large, le Security Lab révèle les principales tendances en matière de sécurité, les actions des auteurs de menaces et peut faire des projections éclairées sur l’avenir des menaces de sécurité pour Microsoft 365, ce qui permet aux entreprises d’agir en conséquence.

Ces conclusions et ces données sont présentées dans le rapport. En voici l’essentiel :

Résultat de l’analyse de plus de 55,6 milliards d’e-mails en 2024

L’e-mail

L’e-mail reste un canal de communication majeur, en particulier pour les entreprises.

Selon l’analyse de plus de 55,6 milliards d’e-mails, 36,9 % sont classés comme « indésirables ».

97,8 % des e-mails indésirables sont des spams ou sont rejetés d’emblée en raison d’indicateurs externes et 2,3 % des e-mails indésirables ont été signalés comme étant malveillants (plus de 400 millions donc!).

En examinant les types d’attaques utilisés dans les attaques par e-mail, l’hameçonnage reste la méthode d’attaque la plus répandue : elle représente 33,3 % des attaques. Elle est suivie de près par les URL malveillantes, qui représentent 22,7 % des cas.

Il s’agit principalement de vol d’informations d’identification de type reverse-proxy, qui reposent fortement sur l’ingénierie sociale et les liens malveillants.

Les pièces jointes

Au cours de l’année 2024, l’utilisation de pièces jointes malveillantes n’a pas été aussi utile que par le passé pour les acteurs de la menace. Les auteurs d’attaques se tournent davantage vers l’ingénierie sociale dans le but d’amener la cible à faire autre chose que d’ouvrir une pièce jointe. Par exemple, l’utilisation de kits d’outils “reverse-proxy adversary-in-themiddle” a été très répandue au cours de la période couverte par les données. Cela s’explique par le fait qu’avec l’adoption croissante de l’authentification multifactorielle (MFA), les auteurs d’attaques utilisent plus fréquemment le vol d’identifiants via des outils tels qu’Evilginx et PyPhisher. Il est plus facile de se procurer les authentifiants que d’accéder à la méthode d’authentification multifactorielle de la cible.

Usurpation d’identité de marque

L’usurpation d’identité de marque reste une technique majeure d’attaque par e-mail ciblant les utilisateurs finaux et les entreprises en 2024.

La société d’expédition DHL a peut-être connu l’évolution la plus fulgurante en matière de tentatives d’usurpation d’identité. La marque n’a vu qu’une fraction des tentatives d’usurpation d’identité en 2024 par rapport à 2023. Cela dit, elle reste en tête de la liste des marques les plus usurpées, suivie de près par FedEx. Les marques d’expédition continuent d’être populaires car elles peuvent être facilement intégrées dans des attaques de type ingénierie sociale par le biais du phishing et du smishing. Ces deux types d’attaques présentent un degré élevé de similitude avec les communications réelles de ces entreprises et incitent facilement les utilisateurs moins expérimentés à divulguer des informations personnelles.

Le nombre d’usurpations d’identité des marques FedEx et Facebook a triplé au cours de l’année écoulée.
Le nombre d’usurpations d’identité de la marque Docusign a doublé au cours de la période de référence.
Mastercard et Netflix sont deux autres marques qui ont également connu des augmentations notables.

Des prévisions pour 2025 d’après Hornetsecurity

Il est probable que l’utilisation de l’IA et des LLM (Large Language models) feront l’actualité en 2025 pour plusieurs raisons :

1. L’IA sera de plus en plus utilisée pour la reconnaissance et la collecte d’informations.

2. L’IA sera utilisée pour aider les attaquants à comprendre le meilleur moment pour lancer des attaques sur la base des données fournies.

3. L’IA continuera à être utilisée pour améliorer presque tous les vecteurs d’attaque des acteurs de menaces, y compris le courrier électronique, la voix, l’ingénierie sociale, etc.

4. L’IA sera de plus en plus utilisée pour identifier rapidement les objets facilement exploitables dans les infrastructures faibles.

5. Les outils fondés sur l’IA continueront d’évoluer pour aider les défenseurs.

Les deepfakes basés sur l’IA

Les deepfakes basés sur l’IA seront utilisés pour le spear-phishing et pour influencer le public. L’utilisation de la technologie deepfake dans les attaques de spear-phishing est de plus en plus préoccupante et il est probable que nous assistions à cette combinaison en 2025. Les deepfakes permettent de créer des vidéos et des enregistrements audio très réalistes qui imitent l’apparence et la voix de personnes réelles : c’est l’histoire de l’escroquerie au faux Brad Pitt.

Cette technologie peut être utilisée pour créer des messages d’hameçonnage convaincants qui incitent les destinataires à révéler des informations sensibles ou à effectuer des actions qui compromettent la sécurité.

L’essor de la technologie deepfake constitue également une menace potentielle pour l’opinion publique et la confiance. Les « deepfakes » sont à même de créer des vidéos et des enregistrements audio très réalistes qu’il est difficile de distinguer d’un contenu authentique. En fin de compte, cela entraînera une érosion de la confiance dans les médias numériques.

Des attaques probables notables sur les produits LLM

Les grands modèles de langage (LLM) sont de plus en plus populaires, mais ils sont également vulnérables à divers types d’attaques. Il s’agit notamment d’attaques par injection, d’exfiltration de données et de jailbreaks, où des acteurs malveillants manipulent les données d’entrée pour tromper le modèle ou extraire des informations sensibles.

Ces vulnérabilités peuvent compromettre l’intégrité, la sécurité et, en fin de compte, la confiance dans les systèmes basés sur le LLM.

Corruption de la communauté Open Source

Pendant de nombreuses années, les logiciels libres ont été considérés comme une sorte d’oasis dans un écosystème logiciel perçu comme peu sûr. Avec l’incident XZ Utils ainsi que plusieurs autres failles de sécurité très médiatisées, ce sentiment n’est plus de mise.

Dans le cas de XZ Utils, un acteur très déterminé a tenté de s’emparer d’un logiciel libre très populaire et de l’utiliser pour créer une attaque généralisée de la chaîne d’approvisionnement. Après un quasi-succès, les attaquants seront susceptibles de tenter quelque chose de similaire avec d’autres paquets open-source critiques pour l’industrie.

Le nombre de logiciels libres malveillants a déjà augmenté, et ce qui s’est passé récemment avec le dépôt de logiciels PyPi n’est probablement qu’un avant-goût de ce qui nous attend.

https://www.hornetsecurity.com

Security Defense Business Review

Security Defense Business Review

Le Blog

Security Defense Business Review

DERNIÈRES PUBLICATIONS

Security Defense Business Review

À LA UNE

Le Security Lab d’Hornetsecurity révèle les principales tendances 2025 en matière de cybersécurité…

Le 10 janvier, le GICAN avait organisé ses traditionnelles « Rencontres de l’Industrie navale », l’occasion pour son Président de présenter ses vœux aux membres du Gican et à la Presse.

La DGAMPA a attribué au groupement SOCARENAM-MAURIC le contrat de conception et de construction d'un patrouilleur hauturier innovant.

SDBR PARTNERS

UPCOMING EVENT

SDBR ON TWITTER