GitBait cible 24 banques mexicaines via GitHub Pages

GitHub Pages comme infrastructure de phishing : l'architecture GitBait décryptée

Group-IB, l'une des principales sociétés mondiales de threat intelligence, a publié le 17 juin 2026 une analyse approfondie d'une opération de phishing baptisée GitBait, active depuis au moins trois ans et ayant ciblé 24 institutions financières mexicaines. La campagne a été formellement attribuée à un groupe organisé opérant un kit de phishing modulaire. Ce qui distingue GitBait des campagnes de phishing classiques est son architecture technique : plutôt que d'héberger ses pages frauduleuses sur une infrastructure dédiée — facilement détectable, blocable et saisie par les autorités — les opérateurs ont choisi de s'appuyer intégralement sur des services cloud légitimes et de confiance universelle.

Le composant central de cette architecture est GitHub Pages, la fonctionnalité d'hébergement web statique gratuite intégrée à la plateforme GitHub (propriété de Microsoft). Chaque dépôt GitHub public peut activer GitHub Pages pour servir un site web statique depuis le domaine github.io. Ce choix est particulièrement astucieux d'un point de vue offensif : le domaine github.io bénéficie d'un score de réputation extrêmement élevé dans les bases de données de threat intelligence, d'un certificat SSL valide fourni automatiquement par GitHub, et n'est pratiquement jamais bloqué par les solutions de filtrage web ou proxy d'entreprise, car cela pénaliserait l'accès à des milliers de projets open source et de documentations techniques légitimes. Pour un opérateur de phishing, cette infrastructure est idéale : gratuite, fiable, résiliente et invisible aux radars défensifs conventionnels.

Group-IB a recensé plus de 100 domaines github.io distincts liés à GitBait, chacun hébergeant plusieurs pages de phishing opérationnelles. Chaque page reproduit avec précision l'interface de connexion d'une banque mexicaine spécifique, incluant logos, chartes graphiques, mentions légales et formulaires d'authentification multi-étapes. Un sélecteur de campagne interne, accessible aux opérateurs via une interface dédiée, permet de générer dynamiquement une URL frauduleuse en sélectionnant simplement l'institution financière à usurper depuis un menu déroulant. Cette architecture orientée opérateurs, similaire à ce que l'industrie appelle du Phishing-as-a-Service (PhaaS), suggère que GitBait est géré par un groupe structuré disposant de ressources et de compétences réelles en développement logiciel et en automatisation des campagnes d'hameçonnage.

Les victimes sont principalement recrutées via des SMS et des messages WhatsApp ciblés. Les opérateurs ont porté une attention particulière à l'aspect visuel de ces messages en intégrant des métadonnées OpenGraph spécialement calibrées dans le code HTML de leurs pages frauduleuses. Lorsqu'un lien vers une page GitBait est partagé dans WhatsApp, Telegram ou iMessage, l'aperçu généré affiche automatiquement le logo officiel de la banque ciblée, son nom complet, et une accroche alarmiste du type « Activité suspecte détectée sur votre compte. Vérifiez maintenant. » Cette carte de prévisualisation de marque crée une impression d'authenticité que la grande majorité des destinataires ne pense pas à questionner, d'autant que le lien semble pointer vers une URL github.io a priori inoffensive et techniquement sécurisée (HTTPS).

Le système d'exfiltration des credentials constitue la deuxième innovation technique majeure de GitBait. Au lieu d'un backend serveur dédié — typiquement un serveur PHP avec base de données MySQL hébergé chez un opérateur peu coopératif — les opérateurs de GitBait ont choisi SheetBest, un service SaaS commercial qui convertit n'importe quelle feuille Google Sheets en endpoint d'API REST accessible publiquement. Concrètement : lorsqu'une victime soumet ses identifiants sur la fausse page bancaire, un script JavaScript côté client appelle l'API SheetBest, qui écrit instantanément les données (identifiant, mot de passe, parfois code de validation 2FA saisi par la victime) directement dans une feuille Google Sheets contrôlée par les attaquants. L'ensemble du flux de données transite uniquement par des infrastructures Google et GitHub, rendant la détection basée sur les indicateurs réseau traditionnels quasi inopérante.

Les institutions financières ciblées par GitBait incluent des banques mexicaines majeures opérant dans le secteur retail et corporate, ainsi que des filiales mexicaines de groupes bancaires internationaux. Group-IB note que certaines pages de phishing reproduisent également les interfaces de portails gouvernementaux mexicains comme le SAT (Servicio de Administración Tributaria) et l'IMSS (Instituto Mexicano del Seguro Social), indiquant que le groupe opérateur a progressivement étendu son ciblage au-delà du seul secteur bancaire pour toucher les contribuables et assurés gouvernementaux. Cette diversification des cibles suggère une montée en maturité opérationnelle et une volonté d'élargir la surface de collecte de credentials.

La réponse de GitHub, contacté dans le cadre de la divulgation responsable coordonnée par Group-IB, a consisté à supprimer les dépôts identifiés par la recherche. Toutefois, la nature même de GitHub Pages — où des dizaines de milliers de nouveaux dépôts publics sont créés quotidiennement dans le monde entier — rend une surveillance exhaustive structurellement difficile, voire impossible avec les seuls outils d'analyse automatique. Group-IB signale que de nouveaux dépôts GitBait ont pu être recréés après les suppressions initiales, illustrant la résilience opérationnelle de la campagne face aux tentatives de démantèlement par takedown et la nécessité d'une surveillance continue plutôt que ponctuelle.

Pour les équipes de sécurité des institutions financières mexicaines et leurs homologues surveillant des campagnes similaires dans d'autres régions, Group-IB recommande de déployer des services de protection contre l'usurpation de marque numérique incluant la surveillance proactive des nouvelles pages github.io. Les systèmes de monitoring de marque doivent scanner en continu les créations de dépôts GitHub publics contenant le nom, le logo ou des éléments visuels caractéristiques de l'institution. En parallèle, les équipes support doivent être formées à identifier rapidement les cas de phishing GitBait lors des signalements entrants de clients, afin de pouvoir alerter les équipes techniques et lancer les procédures de takedown dans les plus brefs délais.

Quand les services cloud de confiance deviennent des vecteurs d'attaque invisibles

GitBait illustre une évolution fondamentale dans la conception des campagnes de phishing modernes portées par des groupes organisés. L'époque des pages frauduleuses artisanales hébergées sur des serveurs compromis dans des pays à faible coopération judiciaire est révolue pour les acteurs sophistiqués. Les opérateurs de GitBait ont compris que l'infrastructure offensive la plus résiliente est celle que les défenseurs ne peuvent pas bloquer sans causer de dommages collatéraux massifs sur des activités légitimes. GitHub, Google Sheets et WhatsApp sont des services indispensables pour les entreprises et les particuliers ; aucune organisation ne peut se permettre de les bloquer par défaut. Cette contrainte défensive devient mécaniquement un avantage offensif structurel pour les groupes capables de l'exploiter avec une infrastructure serverless bien construite.

Cette tendance dépasse le seul cas GitBait. Des recherches récentes documentent un nombre croissant de campagnes de phishing abusant de services légitimes comme Cloudflare Pages, Microsoft Azure Blob Storage, Google Firebase Hosting, ou encore des formulaires Google Forms pour héberger leurs leurres et collecter des credentials. La généralisation du modèle dit « LOLBAS du cloud » (Living Off the Land appliqué aux services cloud légitimes) transforme en profondeur l'approche nécessaire pour détecter et contenir le phishing. Les solutions basées sur des listes noires d'URL ou de domaines malveillants sont structurellement insuffisantes face à des campagnes hébergées sur des domaines de confiance universelle comme github.io ou pages.cloudflare.com.

Le secteur financier mexicain n'est ni le seul ni le dernier exposé à ce modèle d'attaque. GitBait est la démonstration d'un kit exportable et reproductible : la même architecture peut être déployée en quelques heures contre des banques françaises, des assureurs européens, des plateformes de paiement ou des opérateurs de télécommunications. La vigilance des équipes de threat intelligence doit s'étendre à la surveillance des dépôts GitHub Pages publics, un espace que peu d'organisations intègrent encore dans leur programme de monitoring des menaces de marque, alors qu'il constitue désormais un vecteur documenté et actif d'hébergement frauduleux à l'échelle mondiale.

La directive NIS2, en vigueur pour les entités essentielles et importantes européennes depuis 2025, impose des mesures de gestion des risques incluant la sensibilisation des utilisateurs et la surveillance des incidents. Mais la protection des clients finaux des banques contre le phishing distribué par SMS et WhatsApp dépasse le cadre réglementaire traditionnel de la sécurité informatique interne. Elle appelle à une coopération renforcée entre les institutions financières, les fournisseurs de messagerie instantanée, les hébergeurs cloud comme GitHub, et les autorités de régulation sectorielle pour développer des capacités de détection et de réponse coordonnées face à l'hébergement frauduleux sur infrastructure légitime.

Ce qu'il faut retenir

• Un lien github.io peut héberger une page de phishing bancaire : le HTTPS et la réputation du domaine ne garantissent pas la légitimité du contenu hébergé.
• GitBait illustre l'essor du phishing sans infrastructure propre (GitHub Pages + Google Sheets + WhatsApp), qui contourne l'ensemble des défenses basées sur la réputation de domaine.
• Les institutions financières doivent surveiller activement GitHub Pages pour toute usurpation de leur marque et sensibiliser leurs clients à ne jamais cliquer sur des liens bancaires reçus par SMS ou WhatsApp.