Comment le phishing échappe aux passerelles de messagerie sécurisées
Une passerelle de messagerie sécurisée (SEG) est souvent la première ligne de défense contre le phishing : elle filtre spam, malwares et expéditeurs malveillants connus avant que le courrier n'atteigne la boîte de réception. Elle arrête d'énormes volumes d'attaques peu élaborées. Mais les attaquants conçoivent précisément pour la contourner, et comprendre ces techniques conceptuellement permet aux défenseurs de garder la couche humaine affûtée pour ce qui passe.
Ce qu'une SEG vérifie — et ce qu'elle ne peut pas
Une passerelle évalue les messages au moment de la livraison via la réputation de l'expéditeur, les résultats d'authentification, les signatures de contenu, le bac à sable des pièces jointes et l'analyse d'URL. Sa faiblesse structurelle est simple : elle inspecte le message une fois, surtout de l'extérieur, et surtout à la livraison. Tout ce qui suit exploite l'une de ces contraintes.
Expéditeurs de confiance : comptes internes et compromis
Le phishing le plus efficace ne vient souvent pas du tout de l'extérieur.
- Envois depuis un compte compromis. Dès qu'un attaquant contrôle une vraie boîte — via un vol de session AiTM, par exemple — son phishing arrive d'un expéditeur interne légitime et authentifié. SPF, DKIM et DMARC passent tous, car le courrier provient réellement de votre domaine.
- Compromission d'un fournisseur ou de la chaîne d'approvisionnement. Le compte d'un partenaire de confiance, déjà en liste blanche, est un point de départ à haute réputation.
Ces messages surfent sur des relations que la SEG est configurée pour approuver, et c'est exactement pourquoi ils atterrissent.
Cacher la charge aux scanners de contenu
E-mails uniquement en image
Le message entier est une seule image rendue, sans texte analysable. Les filtres par signature et mots-clés ne trouvent rien à comparer ; l'humain voit une facture ou un avis convaincant avec un numéro ou un QR code sur lequel agir.
Phishing par QR code (quishing)
Le lien malveillant est encodé dans une image QR plutôt qu'en URL cliquable. La passerelle voit une image, pas un lien, et la victime le scanne avec un téléphone personnel souvent hors du filtrage web et des contrôles MFA de l'entreprise.
HTML smuggling
L'e-mail ou la pièce jointe transporte un balisage d'apparence anodine qui assemble la vraie charge dans le navigateur, après livraison — la passerelle inspecte donc un fichier inoffensif et le laisse passer. La reconstruction a lieu sur l'endpoint, au-delà de l'inspection de messagerie.
Déjouer l'analyse au moment de la livraison
Armement différé des URL
Un lien est analysé à la livraison et jugé propre car, à cet instant, il pointe vers une page anodine. Quelques heures plus tard, l'attaquant remplace la destination par la charge de phishing. La SEG a déjà rendu son verdict et est passée à autre chose.
09:00 lien → page anodine de remplacement → verdict SEG : propre, livré
13:00 même lien → page de phishing active → la victime clique
Pages « d'abord inoffensives » et camouflées
Même au moment du clic, la page peut servir un contenu anodin aux scanners automatisés et le vrai appât aux seules victimes ciblées, via géofiltrage, vérification du referer et portails CAPTCHA.
Une SEG prend une décision ponctuelle sur un message que les attaquants peuvent modifier après cette décision. Ce décalage temporel n'est un défaut d'aucun produit — il est inhérent au filtrage du courrier à la livraison.
Pourquoi la couche humaine reste essentielle
Rien de tout cela ne signifie que la SEG échoue. Cela signifie qu'une passerelle est un filtre probabiliste dans une chaîne, et que le résidu — le courrier conçu spécifiquement pour la franchir — est par définition le plus convaincant. Ce résidu atteint une personne.
Des équipes formées, sceptiques et signalantes sont le contrôle placé exactement là où s'arrêtent les garanties de la SEG :
- Elles attrapent le courrier d'apparence interne qui s'est authentifié proprement.
- Elles résistent au QR code que la passerelle n'a jamais interprété comme un lien.
- Elles signalent le lien à armement différé, propre à la livraison.
Chaque signalement est aussi un signal vivant sur lequel votre SOC peut pivoter — pour retirer le même message d'autres boîtes et réduire le temps de présence de la campagne. Combinez cela à une MFA résistante au phishing, pour qu'un appât d'identifiants même réussi ne finalise aucune connexion.
Comment GottaPhish aide
Une passerelle de messagerie sécurisée arrête d'énormes volumes d'attaques, mais des attaquants déterminés conçoivent précisément pour la contourner — et aucun filtre à lui seul n'attrape tout ce qui atteint la boîte de réception. GottaPhish et son équipe d'experts mesurent les scénarios exacts qui survivent à une SEG — envois depuis comptes compromis et d'apparence interne, quishing, appâts en image seule et liens à armement différé — via des simulations autorisées et intégralement auditées, pour voir quels employés interagissent, lesquels signalent et à quelle vitesse. Nos experts vous aident à concevoir des scénarios réalistes, déployer les campagnes et interpréter les tableaux de bord, transformant chaque campagne en formation ciblée et en signaux de détection concrets pour votre SOC. Vous renforcez ainsi la couche humaine précisément là où la technologie atteint ses limites.
