Kenishirotie - stock.adobe.com

Proofpoint Protect 2025 : la confiance plus que jamais ultime frontière

Phishing, ingénierie sociale, deepfakes... la ruse s'impose plus que jamais dans le paysage de la menace. Le crime organisé, les États et les IA se mettent à parler d’une seule voix. L’ancien directeur général de la NSA ne dit pas autre chose.

« Nous analysons 3,5 milliards de mails chaque jour, soit près d’un tiers du trafic mondial de messagerie électronique », relève Davide Canali, directeur de la recherche sur les menaces chez Proofpoint. De quoi disposer d'un point de vue pour le moins privilégié.

Et cela d'autant plus que l'éditeur analyse également 49 milliards d'URL et 3 milliards de pièces jointes au quotidien à la recherche de codes malveillants, d'identifiants volés et de tentatives de fraude.

Son équipe de 80 chercheurs, répartie sur plusieurs continents, combine détection réseau, renseignement sur les menaces et investigation terrain. « Notre mission est simple : comprendre qui attaque nos clients, pourquoi et comment rester protégé », résume Davide Canali. Avec une visibilité centrée sur la phase de livraison des attaques, son équipe cartographie les menaces selon trois axes : maliciels exécutables (celptogiciels, rançongiciels, chevaux de Troie) ; phishing et récolte de données ; fraude et ingénierie sociale sans charge utile à proprement parler.

La majorité des campagnes proviennent d’acteurs à motivation financière, mais les groupes étatiques restent très actifs – les APT (Advanced Persistent Threat), notamment russes, chinoises et iraniennes. « Les uns cherchent l’argent, les autres l’information. Mais les outils et les méthodes convergent », relève Davide Canali.

De la fraude de masse aux arnaques hyper-personnalisées

Si le rançongiciel retient aisément l’attention, la fraude conventionnelle demeure le fléau dominant. Proofpoint estime que plus de 85 % des pertes mondiales liées à la cybercriminalité sont dues à des fraudes ou compromissions de courriels professionnels (Business Email Compromise, ou BEC). « Sur les 50 milliards de dollars de pertes signalées ces cinq dernières années, plus de 40 milliards proviennent de ces escroqueries », estime Davide Canali.

Les formes évoluent, mais la logique reste la même : manipuler la victime par la confiance. La technique TOAD (Telephone-Oriented Attack Delivery) explose : 117 millions de campagnes annuelles, selon Proofpoint. Un e-mail prétend confirmer un abonnement ou un paiement ; un numéro est fourni pour annuler la transaction ; au bout du fil, un opérateur malveillant guide l’utilisateur vers l’installation d’un outil de prise de contrôle à distance.

Autre variante : la fraude à la demande de devis. Un client reçoit une commande ferme, livre le matériel, mais le paiement n’arrive jamais : « nous avons documenté un cas impliquant 5 000 ordinateurs portables avec un préjudice de plusieurs millions de dollars », illustre Davide Canali.

L’IA au service du crime : productivité, persuasion et professionnalisation

Toutefois la bascule de 2025 vient indubitablement de l’IA : « nous estimons qu’elle réduit de 95 % les efforts nécessaires pour lancer une campagne », indique-t-il. Des générateurs automatiques de sites Web par IA, ont été détournés pour créer des milliers de pages de phishing en quelques secondes. « Pas besoin de coder ; il suffit de décrire l’arnaque ». L’IA en améliore aussi la qualité esthétique : logos, typographie, ton rédactionnel, tout paraît professionnel.

« Nous ne sommes plus face à des arnaques bancales, mais à des escroqueries d’entreprise parfaitement crédibles ». Le deepfake vocal peut également être utilisé pour enrichir une tentative d’escroquerie appelée « arnaque au patron ». Des chercheurs de Proofpoint ont recréé la voix de leur propre PDG pour simuler une demande de virement urgente. « Imaginez ce qu’un attaquant motivé peut faire avec cette technologie », souligne Davide Canali.

Des attaques réelles de ce type ont déjà trompé des directeurs financiers, convaincus d’avoir parlé à leur patron. La vidéo deepfake, elle aussi, entre dans l’arsenal des attaquants. Une entreprise partenaire de Proofpoint a reçu la candidature d’un ingénieur IA apparemment expérimenté, répondant par vidéo à des questions d’entretien. « La vidéo était impeccable », relate Davide Canali.

« Mais lors de l’entretien en direct, le candidat mettait plusieurs secondes à répondre, comme s’il attendait une traduction. Et quand on lui a demandé la météo à San Francisco, sa réponse ne collait pas ». Quelques heures plus tard, son profil LinkedIn disparaissait. Lors du débriefing, Proofpoint a suspecté un travailleur nord-coréen utilisant un deepfake vidéo pour décrocher un poste rémunérateur et reverser les gains à Pyongyang. Une menace déjà documentée l'an dernier.

Christiana Brafman-Kittner, responsable de la recherche sur la criminalité électronique, confirme la tendance : « les RH doivent désormais vérifier l’identité en visioconférence, passeport à l’appui. ». La frontière entre fraude, espionnage et infiltration économique devient floue : les identités numériques se fabriquent à la demande.

L’humain, maillon faible… et seule défense

Pour Christiana Brafman-Kittner, la conclusion est la suivante : « le phishing reste la principale cause de compromission dans le monde. Pourquoi ? Parce que les attaquants exploitent la confiance ». Et cette exploitation devient multicanale. Les cybercriminels envoient un e-mail, puis un message sur Teams ou WhatsApp pour donner de la légitimité au contact. « Ils se comportent comme un ami proche : vous recevez un SMS et un message sur Instagram en parallèle. Cette cohérence crée la confiance ». Dans ce contexte, Proofpoint observe une hausse de 50 % des campagnes d’ingénierie sociale avancée sur un an.

L’IA abaisse la barrière d’entrée et permet à des attaquants novices d’orchestrer des campagnes sophistiquées : « les entreprises savent contrer les attaques techniques, mais comment contrer la manipulation émotionnelle ? », interroge Christiana Brafman-Kittner

Elle plaide pour un changement de paradigme : passer d’une sécurité technique à une analyse sémantique et comportementale. L’idée est la suivante : détecter les anomalies dans le langage, la temporalité ou les graphes de relations : « un expéditeur inconnu qui écrit comme votre patron, mais à une heure inhabituelle, doit déclencher une alerte ».

Et de pousser le raisonnement plus loin : « je crois en l’humain, mais il faut désormais assumer une intention malveillante par défaut ». Au-delà du zéro-trust, cela vient à devenir du zéro-trusfulness que l’on peut traduire par zéro confiance à priori. Elle raconte avoir formé ses enfants à ce réflexe : « ils m’envoient chaque jour des captures d’écran pour me demander si un message est une arnaque ».

Les outils d’assistance à distance (Remote Monitoring and Management, ou RMM), pourtant légitimes, deviennent la nouvelle arme des cybercriminels : « 35 % des campagnes que nous avons observées en 2025 livrent un RMM via une URL ». Ces outils, utilisés à l’origine pour le support technique, servent désormais à prendre le contrôle d’un poste, installer un ransomware ou vendre l’accès à d’autres groupes. En volume de campagnes, les RMM dépassent même les chevaux de Troie : « ce sont des outils légitimes, donc peu bloqués ».

Autre fléau : le phishing par QR code. Proofpoint en a recensé 4,2 millions sur le seul premier semestre 2025. Les codes QR intégrés aux e-mails redirigent vers des sites où les identifiants de l’utilisateur sont déjà pré-remplis, créant un sentiment de légitimité : « même les plus prudents finissent par scanner un QR code ».

APT et e-crime : des mondes désormais indissociables

Alexei Dorais-Joncas, responsable de la recherche sur l’espionnage, le confirme : « les techniques de l’État et du crime organisé se confondent. Les premiers volent les idées des seconds, et inversement ». La technique du ClickFix, apparue dans la cybercriminalité, en est un exemple. L’utilisateur croit devoir réparer sa webcam défectueuse : on lui demande d’exécuter un script PowerShell — qui installe en réalité un maliciel. « Cette méthode a connu une hausse de 400 % en un an », observe Alexei Dorais-Joncas.

Autre observation : les APT intègrent les outils commerciaux légitimes dans leurs chaînes d’attaque : « les contrôles techniques sont efficaces, mais les humains, eux, cliquent ».

La convergence s’étend aussi à l’usage de l’IA. Proofpoint cite une campagne menée par un groupe chinois : « ils ont utilisé l’IA pour générer des e-mails de hameçonnage ciblé et du code malveillant, mais les résultats étaient médiocres : fautes de grammaire, incohérences, signatures bancales ». L’usage reste donc opportuniste, mais la tendance est claire : l’IA devient un amplificateur de compétence. 

L’ancien directeur adjoint de la NSA, Chris Inglis, replace le débat dans une perspective systémique : « tout système d’intérêt repose sur trois éléments : la technologie, les humains et la doctrine ». L’IA n’est qu’une vague ; la vraie question est celle des rôles et responsabilités. « Nous avons 300 000 ans d’expérience humaine qui prouvent qu’on réussit mieux en collaborant. Les cybercriminels l’ont compris : ils pratiquent le crowdsourcing du mal », résume-t-il.

Dès lors, Chris Inglis plaide pour un modèle de cyber-résilience fondé sur la coalition : « les entreprises doivent défendre non pas leur réseau, mais leur mission. La cybersécurité n’est pas un objectif, c’est une fonction de continuité ». Il met aussi en garde contre la dérive punitive de la sécurité absolue : « réduire les privilèges jusqu’à paralyser l’organisation ne protège de rien. Il faut instrumenter, observer, ajuster ».

Les acteurs malveillants utilisent l’IA pour exploiter la crédulité, la rapidité et la fatigue émotionnelle. Les défenseurs devront, eux, l’utiliser pour comprendre les signaux faibles du langage et du comportement. Ainsi, la sécurité ne consiste plus à bloquer des attaques, mais à protéger la confiance, ce tissu fragile qui relie individus, outils et institutions.

Pour approfondir sur Menaces, Ransomwares, DDoS