Egidio
Dossier · 2026

Quand un antivirus ne suffit plus

Le phishing d'aujourd'hui ne ressemble plus toujours à un email mal orthographié avec un lien louche. Deux techniques documentées contournent spécifiquement les défenses automatiques — l'une la double authentification, l'autre les filtres anti-spam.

🕵️Le vol de session après authentification (AiTM)

Plutôt que de voler un mot de passe, cette technique intercepte la session juste après que la victime a validé son code de double authentification — l'attaquant se positionne comme un intermédiaire invisible entre la victime et le vrai service. Résultat : la double authentification a bien eu lieu, mais elle n'a servi à rien. Rien qu'en octobre 2025, Microsoft a bloqué plus de 13 millions d'emails malveillants liés à un seul de ces kits (« Tycoon 2FA »), utilisé contre des comptes Microsoft 365 dans le monde entier.

Microsoft Defender for Office 365, octobre 2025

☎️Le phishing par rappel téléphonique (TOAD)

Un email sans lien ni pièce jointe : juste un numéro à rappeler pour une facture douteuse ou un abonnement à confirmer. Sans URL à scanner ni fichier à analyser, les filtres automatiques classiques ne détectent rien — l'arnaque se joue entièrement au téléphone, où un faux conseiller guide la victime pour lui faire installer un accès à distance ou donner ses identifiants. Le cabinet de recherche Trustwave a mesuré une hausse de 140 % de ces campagnes entre juillet et septembre 2024, avec Microsoft, Norton, PayPal et DocuSign parmi les marques les plus imitées.

Trustwave, 2024-2025

Le point commun : contourner l'automatisme, pas l'attention

Ces deux techniques n'exploitent pas une faille technique au sens classique — elles exploitent une limite structurelle des outils de détection automatisés, en supprimant l'élément qu'ils savent analyser (un lien, une pièce jointe). Ce qui reste, c'est une interaction humaine construite pour paraître légitime : une page de connexion identique à l'originale, ou une voix rassurante au bout du fil. C'est précisément le type de schéma qu'une protection multi-canal doit apprendre à reconnaître plutôt qu'à scanner.

🔒 Un numéro à rappeler dans un email suspect, ou une page de connexion qui redemande un code déjà saisi : deux signaux qu'un filtre classique peut manquer, mais qu'un moteur qui relie les canaux entre eux peut recouper. Voir comment fonctionne Medusa.

Questions fréquentes

L'authentification à deux facteurs protège-t-elle encore contre le phishing ?

Elle reste utile contre le vol de mot de passe simple, mais plus contre une attaque « adversary-in-the-middle » : l'attaquant intercepte la session juste après la validation du code, donc la double authentification a déjà eu lieu — inutilement.

Qu'est-ce que le phishing par rappel téléphonique (TOAD) ?

Un email sans lien ni pièce jointe, seulement un numéro de téléphone à rappeler pour un motif crédible (facture, abonnement). Une fois au téléphone, un faux conseiller guide la victime pour lui faire installer un logiciel ou donner ses identifiants.

Pourquoi ces techniques échappent-elles aux filtres automatiques ?

Parce qu'elles ne contiennent souvent ni lien suspect ni pièce jointe malveillante à scanner — l'arnaque se joue dans l'interaction humaine, au téléphone ou sur une page qui imite parfaitement la vraie.

Pour aller plus loin