L’équipe Threat Lab de KnowBe4 a observé une augmentation d’une nouvelle méthode d’attaque plus efficace et qui ne nécessite aucun compromis de compte. Tribune.
Une attaque de phishing émergente : le détournement de formulaires web légitimes
Depuis le 11 septembre 2025, les chercheurs de KnowBe4 ont observé une nouvelle technique : des cybercriminels exploitent les formulaires Contactez-nous ou Prendre rendez-vous disponibles sur la plupart des sites web. Ces formulaires permettent à un utilisateur de saisir son adresse e-mail et un message personnalisé, ce qui déclenche généralement une réponse automatisée de l’organisation.
Cependant, il est relativement facile pour les attaquants d’utiliser ces formulaires pour lancer des campagnes de phishing en :
- Créant un nouveau domaine “onmicrosoft” avec le nom d’affichage qu’ils souhaitent usurper et les coordonnées qu’ils souhaitent utiliser (par ex. un numéro de téléphone)
- Configurant des règles de flux de messagerie pour transférer automatiquement tous les e-mails – comme les confirmations “Contactez-nous” – à une liste de diffusion de cibles
Remplissant le formulaire en ligne avec leur adresse “onmicrosoft”, d’autres coordonnées et un message
Les recherches indiquent que cette technique cible principalement les secteurs juridique, bancaire, de la santé et de l’assurance.
Résumé de l’attaque de phishing
Vecteur et type : Phishing par e-mail
Techniques : Techniques, usurpation de marque, ciblage mobile
Cibles : Utilisateurs de Microsoft 365
Comment les cybercriminels utilisent les formulaires “Contactez-nous” pour piéger une organisation
Avant d’envoyer les e-mails de phishing à leurs cibles, l’attaquant crée un compte gratuit “onmicrosoft”.
Lors de la configuration du compte, l’attaquant renseigne également le nom d’affichage qu’il souhaite usurper – dans l’exemple étudié ici, le cybercriminel a choisi PayPal afin d’appuyer un prétexte de fraude financière. Il ajoute aussi un numéro de téléphone, qui constitue ici la charge utile (payload) de l’attaque.
Une fois le compte configuré, le cybercriminel crée une règle de flux de messagerie qui transfère automatiquement tous les e-mails entrants vers une liste de diffusion contenant souvent des milliers de destinataires ciblés.
Ensuite, le cybercriminel recherche un formulaire légitime sur le site web d’une entreprise. Dans l’exemple analysé, il s’agit d’un formulaire de la Banque du Canada permettant de demander un rendez-vous.
L’e-mail automatisé généré, lorsque le cybercriminel a rempli le formulaire, a ensuite été transféré automatiquement à la liste de diffusion via le compte “onmicrosoft”.
Comme le message provient d’un système automatisé utilisé par la Banque du Canada, l’adresse “De” est totalement légitime et tous les liens proviennent du domaine officiel. En conséquence, il passe les contrôles d’authentification (DMARC, etc.) utilisés par les SEGs et Microsoft. Ces facteurs, combinés à la mise en page HTML stylisée, renforcent la crédibilité de l’e-mail.
Le formulaire rempli permettait de demander un rendez-vous avec un représentant de la banque. L’e-mail automatisé inclut donc un événement de calendrier et un texte type confirmant le rendez-vous, la date, l’heure et les coordonnées du représentant.
Lors du remplissage du formulaire, l’attaquant a utilisé les champs disponibles pour ajouter un prétexte et sa charge utile – ici, un numéro de téléphone.
Le prétexte : Le message mentionne une “activité inhabituelle” sur le compte de la victime, impliquant une transaction de 724,46 $ via PayPal. Le montant, répété deux fois, est suffisamment élevé pour susciter la panique.
Le formulaire permettait aussi d’ajouter un message, qui est automatiquement intégré à l’e-mail de confirmation. Le cybercriminel s’en sert pour renforcer son scénario de fraude financière.
La charge utile : Le cybercriminel a utilisé les champs “Nom”, “Numéro de téléphone” et “Message” pour insérer un numéro de téléphone censé permettre de contacter la banque. Ce numéro est ensuite repris dans tout le message de confirmation.
Ce numéro est présenté comme un moyen de gérer le rendez-vous ou de signaler la fraude. En appelant, la victime tombe sur le cybercriminel, qui profite de la peur et de l’urgence pour lui soutirer des informations personnelles et financières.
Détection d’une nouvelle campagne de phishing émergente
Toute organisation disposant d’un formulaire web est vulnérable à ce type d’exploitation. Le Threat Lab de KnowBe4 prévoit une augmentation de ces attaques dans les mois à venir, à mesure que les cybercriminels affinent leurs techniques pour contourner les défenses périmétriques et manipuler socialement leurs cibles.
Bien que l’exploitation des formulaires web soit un type d’attaque nouveau, elle s’inscrit dans une tendance plus large : le détournement de plateformes légitimes afin de bénéficier de leur autorité de domaine et de la confiance associée à leur marque.
