La plateforme VENOM cible les dirigeants d'entreprises avec du phishing ultra-personnalisé capable de contourner le MFA Microsoft 365.
Une nouvelle plateforme de phishing-as-a-service baptisée VENOM cible activement les dirigeants d'entreprises — CEO, CFO et VP — pour voler leurs identifiants Microsoft 365. Active depuis novembre 2025 au moins, cette campagne se distingue par un niveau de personnalisation extrême et des techniques d'évasion sophistiquées qui lui permettent de contourner l'authentification multifacteur. Les e-mails de phishing imitent des notifications de partage SharePoint internes, intégrant des fils de discussion fictifs adaptés à chaque cible pour maximiser la crédibilité. Selon les chercheurs en sécurité qui ont documenté cette menace, VENOM fonctionne en accès fermé et n'a jamais été promu sur les forums underground, ce qui a retardé sa détection par la communauté de recherche en cybersécurité et prolongé la durée de vie de ses campagnes malveillantes.
En bref
- VENOM est une plateforme de phishing-as-a-service ciblant spécifiquement les C-suite (CEO, CFO, VP) via de faux e-mails SharePoint
- La plateforme intercepte les sessions Microsoft 365 en temps réel, contournant l'authentification multifacteur (MFA)
- Son fonctionnement en accès fermé la rend quasi invisible pour les chercheurs en sécurité
Ce qui s'est passé
Des chercheurs en cybersécurité ont mis au jour VENOM, une plateforme de phishing sophistiquée qui opère depuis au moins novembre 2025. Contrairement aux campagnes de phishing classiques qui ratissent large, VENOM adopte une approche chirurgicale : chaque attaque vise nommément un dirigeant d'entreprise, avec des e-mails personnalisés reproduisant fidèlement les notifications de partage de documents SharePoint.
Le mécanisme d'attaque repose sur un proxy en temps réel de la page de connexion Microsoft. Lorsque la victime saisit ses identifiants et valide le MFA, VENOM intercepte le jeton de session, offrant à l'attaquant un accès complet au compte Microsoft 365. Une variante utilise le device code phishing : la cible est amenée à scanner un QR code qui autorise un appareil contrôlé par l'attaquant à accéder à son compte.
Ce qui rend VENOM particulièrement dangereux, c'est son système de filtrage. Les pages de phishing détectent les environnements sandboxés et les chercheurs en sécurité, les redirigeant vers des sites légitimes. Seules les cibles réelles atteignent la page de vol d'identifiants, ce qui explique pourquoi la plateforme est restée sous les radars pendant plusieurs mois. D'après BleepingComputer, VENOM n'a jamais été promu sur les canaux publics ni les forums underground.
Pourquoi c'est important
Le ciblage des dirigeants représente un risque majeur pour les organisations. Un compte compromis de CEO ou CFO donne accès à des informations stratégiques, des données financières sensibles et la possibilité d'envoyer des ordres de virement frauduleux depuis une adresse légitime. Ce type d'attaque, connu sous le nom de Business Email Compromise (BEC), représente selon le FBI la forme de cybercriminalité la plus coûteuse, avec des pertes cumulées de plusieurs milliards de dollars chaque année.
Le contournement du MFA est particulièrement préoccupant. De nombreuses entreprises considèrent l'authentification multifacteur comme une protection suffisante contre le phishing. VENOM démontre que cette hypothèse est fausse lorsque l'attaquant opère en temps réel comme proxy entre la victime et le service légitime. Les organisations doivent désormais envisager des protections supplémentaires comme les clés FIDO2, résistantes au phishing par conception. Ce type de menace rejoint les préoccupations soulevées par les risques du Shadow AI en entreprise, où des vecteurs d'attaque émergents échappent aux contrôles traditionnels.
Ce qu'il faut retenir
- Le MFA par SMS ou application n'est plus suffisant face aux attaques de type proxy en temps réel — privilégiez les clés FIDO2/WebAuthn
- Sensibilisez spécifiquement les dirigeants et assistants de direction, premières cibles de ces campagnes de spear-phishing
- Surveillez les connexions inhabituelles sur les comptes Microsoft 365 à privilèges élevés et activez les alertes de connexion depuis de nouveaux appareils
Comment se protéger efficacement contre le phishing par proxy en temps réel ?
La meilleure protection contre ce type d'attaque est l'utilisation de clés de sécurité physiques compatibles FIDO2 (YubiKey, Google Titan). Ces clés vérifient cryptographiquement le domaine du site, ce qui les rend résistantes au phishing même lorsque l'attaquant utilise un proxy. En complément, déployez des politiques d'accès conditionnel dans Microsoft Defender pour bloquer les connexions depuis des appareils non conformes et des localisations inhabituelles.
Pourquoi les dirigeants sont-ils des cibles privilégiées du phishing ?
Les comptes de dirigeants offrent un accès à des données stratégiques et financières critiques. Un attaquant contrôlant le compte d'un CFO peut initier des virements frauduleux qui semblent légitimes, tandis qu'un compte de CEO compromis permet de lancer des attaques de type BEC contre l'ensemble de l'organisation. De plus, les dirigeants reçoivent souvent un volume élevé d'e-mails et peuvent être moins vigilants face aux notifications de partage de documents, comme celles imitées par des groupes APT sophistiqués.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Extensions IA : un angle mort critique pour la cybersécurité
Les extensions IA de navigateur sont 60 % plus vulnérables que les extensions classiques et ciblent activement les sessions ChatGPT en entreprise.
Axios compromis : Google accuse le groupe nord-coréen UNC1069
Google attribue la compromission du package npm Axios au groupe nord-coréen UNC1069, qui a piégé le mainteneur via un faux Slack.
Massachusetts : un hôpital paralysé par une cyberattaque
Signature Healthcare dans le Massachusetts a subi une cyberattaque forçant le détournement d'ambulances et l'annulation de chimiothérapies. Le secteur hospitalier reste une cible privilégiée.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire