Une nouvelle plateforme de phishing-as-a-service baptisée VENOM cible activement les dirigeants d'entreprises — CEO, CFO et VP — pour voler leurs identifiants Microsoft 365. Active depuis novembre 2025 au moins, cette campagne se distingue par un niveau de personnalisation extrême et des techniques d'évasion sophistiquées qui lui permettent de contourner l'authentification multifacteur. Les e-mails de phishing imitent des notifications de partage SharePoint internes, intégrant des fils de discussion fictifs adaptés à chaque cible pour maximiser la crédibilité. Selon les chercheurs en sécurité qui ont documenté cette menace, VENOM fonctionne en accès fermé et n'a jamais été promu sur les forums underground, ce qui a retardé sa détection par la communauté de recherche en cybersécurité et prolongé la durée de vie de ses campagnes malveillantes.

En bref

  • VENOM est une plateforme de phishing-as-a-service ciblant spécifiquement les C-suite (CEO, CFO, VP) via de faux e-mails SharePoint
  • La plateforme intercepte les sessions Microsoft 365 en temps réel, contournant l'authentification multifacteur (MFA)
  • Son fonctionnement en accès fermé la rend quasi invisible pour les chercheurs en sécurité

Ce qui s'est passé

Des chercheurs en cybersécurité ont mis au jour VENOM, une plateforme de phishing sophistiquée qui opère depuis au moins novembre 2025. Contrairement aux campagnes de phishing classiques qui ratissent large, VENOM adopte une approche chirurgicale : chaque attaque vise nommément un dirigeant d'entreprise, avec des e-mails personnalisés reproduisant fidèlement les notifications de partage de documents SharePoint.

Le mécanisme d'attaque repose sur un proxy en temps réel de la page de connexion Microsoft. Lorsque la victime saisit ses identifiants et valide le MFA, VENOM intercepte le jeton de session, offrant à l'attaquant un accès complet au compte Microsoft 365. Une variante utilise le device code phishing : la cible est amenée à scanner un QR code qui autorise un appareil contrôlé par l'attaquant à accéder à son compte.

Ce qui rend VENOM particulièrement dangereux, c'est son système de filtrage. Les pages de phishing détectent les environnements sandboxés et les chercheurs en sécurité, les redirigeant vers des sites légitimes. Seules les cibles réelles atteignent la page de vol d'identifiants, ce qui explique pourquoi la plateforme est restée sous les radars pendant plusieurs mois. D'après BleepingComputer, VENOM n'a jamais été promu sur les canaux publics ni les forums underground.

Pourquoi c'est important

Le ciblage des dirigeants représente un risque majeur pour les organisations. Un compte compromis de CEO ou CFO donne accès à des informations stratégiques, des données financières sensibles et la possibilité d'envoyer des ordres de virement frauduleux depuis une adresse légitime. Ce type d'attaque, connu sous le nom de Business Email Compromise (BEC), représente selon le FBI la forme de cybercriminalité la plus coûteuse, avec des pertes cumulées de plusieurs milliards de dollars chaque année.

Le contournement du MFA est particulièrement préoccupant. De nombreuses entreprises considèrent l'authentification multifacteur comme une protection suffisante contre le phishing. VENOM démontre que cette hypothèse est fausse lorsque l'attaquant opère en temps réel comme proxy entre la victime et le service légitime. Les organisations doivent désormais envisager des protections supplémentaires comme les clés FIDO2, résistantes au phishing par conception. Ce type de menace rejoint les préoccupations soulevées par les risques du Shadow AI en entreprise, où des vecteurs d'attaque émergents échappent aux contrôles traditionnels.

Ce qu'il faut retenir

  • Le MFA par SMS ou application n'est plus suffisant face aux attaques de type proxy en temps réel — privilégiez les clés FIDO2/WebAuthn
  • Sensibilisez spécifiquement les dirigeants et assistants de direction, premières cibles de ces campagnes de spear-phishing
  • Surveillez les connexions inhabituelles sur les comptes Microsoft 365 à privilèges élevés et activez les alertes de connexion depuis de nouveaux appareils

Comment se protéger efficacement contre le phishing par proxy en temps réel ?

La meilleure protection contre ce type d'attaque est l'utilisation de clés de sécurité physiques compatibles FIDO2 (YubiKey, Google Titan). Ces clés vérifient cryptographiquement le domaine du site, ce qui les rend résistantes au phishing même lorsque l'attaquant utilise un proxy. En complément, déployez des politiques d'accès conditionnel dans Microsoft Defender pour bloquer les connexions depuis des appareils non conformes et des localisations inhabituelles.

Pourquoi les dirigeants sont-ils des cibles privilégiées du phishing ?

Les comptes de dirigeants offrent un accès à des données stratégiques et financières critiques. Un attaquant contrôlant le compte d'un CFO peut initier des virements frauduleux qui semblent légitimes, tandis qu'un compte de CEO compromis permet de lancer des attaques de type BEC contre l'ensemble de l'organisation. De plus, les dirigeants reçoivent souvent un volume élevé d'e-mails et peuvent être moins vigilants face aux notifications de partage de documents, comme celles imitées par des groupes APT sophistiqués.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact