Le phishing a longtemps reposé sur une mécanique simple : se faire passer pour un acteur externe crédible afin d’inciter un utilisateur à cliquer, répondre ou transmettre une information sensible. Banques, prestataires connus, services publics ou plateformes largement utilisées ont servi de supports à des campagnes massives, parfois grossières, parfois sophistiquées. Cette logique, bien que toujours active, n’est plus la seule à l’œuvre. Depuis plusieurs mois, une évolution plus discrète mais plus efficace s’impose : le phishing qui n’a plus besoin d’imiter l’extérieur, parce qu’il emprunte les codes de l’interne.
« Le phishing le plus efficace n’a plus besoin d’imiter l’extérieur. »
Dans ces campagnes, les messages ne cherchent plus à copier une marque ou un service tiers. Ils s’inscrivent dans l’univers quotidien de l’organisation ciblée : notifications de réinitialisation de mot de passe, messages de ressources humaines, documents partagés, alertes IT ou rappels administratifs. L’expéditeur semble interne, le ton est familier, le contexte cohérent. Rien, à première vue, ne justifie une méfiance particulière. Ce basculement n’est pas le fruit d’une ingénierie sociale plus brillante, mais d’un constat pragmatique : la confiance implicite accordée aux flux internes reste l’un des angles morts les plus persistants de la sécurité de la messagerie.
Le mécanisme à l’œuvre n’a pourtant rien de mystérieux. Il ne repose ni sur une vulnérabilité logicielle inédite ni sur une compromission préalable du système d’information. Il s’appuie sur des configurations imparfaites, parfois anciennes, parfois mal comprises, souvent considérées comme acquises. Des enregistrements MX incorrectement définis, des politiques DMARC permissives, des alignements SPF incomplets ou des connecteurs tiers laissés trop ouverts suffisent à créer une zone grise exploitable. Dans cet espace, des courriels peuvent être acceptés comme légitimes alors même qu’ils ne devraient jamais franchir les filtres.
« Quand un email semble interne, il n’est plus perçu comme une menace. »
Ce type d’attaque exploite une ambiguïté fondamentale : la frontière entre l’interne et l’externe n’est pas toujours aussi nette que les organisations le pensent. Un email peut paraître interne sans l’être réellement, simplement parce que les mécanismes d’authentification et de routage n’imposent pas de rupture claire. Les plateformes de phishing-as-a-service, désormais largement industrialisées, savent tirer parti de ces failles de configuration pour injecter des messages qui respectent suffisamment de critères techniques pour être acceptés, tout en conservant une finalité strictement malveillante.
La force de ces campagnes réside moins dans leur sophistication technique que dans leur banalité apparente. Elles ne déclenchent pas d’alertes évidentes, n’utilisent pas de pièces jointes suspectes et ne reposent pas nécessairement sur des domaines fraîchement enregistrés. Les hyperliens présentés semblent cohérents, parfois internes, parfois proches de l’environnement habituel de travail. La charge utile, lorsqu’elle existe, est souvent hébergée sur des infrastructures temporaires ou des services détournés, rendant la détection encore plus délicate.
Les conséquences, en revanche, sont bien réelles. Le vol d’identifiants reste l’objectif principal, avec des effets en cascade : compromission de comptes professionnels, accès persistants aux services internes, préparation d’attaques ultérieures de type BEC ou exploitation de privilèges existants. Dans certains cas, l’impact financier est direct. Dans d’autres, il s’inscrit dans la durée, sous la forme d’une perte de maîtrise progressive des accès et des flux.
Ce qui rend ces attaques particulièrement préoccupantes, c’est qu’elles ne contournent pas les protections : elles les traversent. Les mécanismes de sécurité sont bien en place, mais leur efficacité est conditionnée à un paramétrage rigoureux et cohérent. Or la messagerie reste souvent perçue comme un service stabilisé, configuré une fois pour toutes. Les politiques DMARC sont déployées mais rarement durcies, les enregistrements SPF évoluent au fil des intégrations sans revue globale, et les exceptions s’accumulent au nom de la continuité opérationnelle.
« La sécurité de la messagerie échoue rarement par absence de mécanismes, mais par défaut d’alignement. »
Les environnements modernes accentuent encore cette fragilité. Les organisations multiplient les services tiers, les plateformes collaboratives, les outils RH ou financiers connectés à la messagerie. Chaque intégration ajoute un maillon supplémentaire, parfois documenté, parfois non. Les connecteurs sont créés pour répondre à un besoin précis, puis oubliés. Les politiques d’authentification deviennent progressivement incohérentes, sans que cela ne se traduise immédiatement par un incident visible.
Dans ce contexte, les attaques de phishing interne ne font qu’exploiter une réalité organisationnelle : la gouvernance de la messagerie est rarement traitée comme un sujet de sécurité à part entière. Elle est souvent reléguée au rang de prérequis technique, alors qu’elle constitue l’un des principaux vecteurs d’accès aux systèmes d’information. La confiance accordée aux emails internes n’est pas remise en question, car elle conditionne le bon fonctionnement quotidien de l’organisation.
Ce décalage entre perception et réalité explique pourquoi ces campagnes rencontrent un taux de succès élevé. Les utilisateurs ne sont pas nécessairement moins vigilants ; ils évoluent simplement dans un cadre où certains signaux d’alerte ont disparu. Lorsqu’un message semble provenir d’un service interne, la suspicion est naturellement moindre. La sécurité repose alors sur la robustesse des configurations, non sur la capacité individuelle à détecter une anomalie subtile.
Réduire ce risque ne passe pas par une surenchère technologique. Les recommandations sont connues : alignement strict des enregistrements MX, politiques DMARC en mode rejet, SPF configuré en « hard fail », limitation et revue régulière des connecteurs. Mais leur efficacité dépend d’une discipline organisationnelle souvent sous-estimée. La configuration n’est pas un état figé, elle évolue avec l’organisation, ses usages et ses dépendances.
Ce phénomène révèle une tension plus large dans la manière dont les entreprises abordent la sécurité. Les outils sont déployés, les standards connus, mais l’effort de cohérence et de maintien dans le temps est plus difficile à soutenir. La messagerie, parce qu’elle fonctionne, parce qu’elle est critique, devient paradoxalement un terrain propice aux approximations. Les attaquants n’ont pas besoin d’innover : ils attendent que la confiance fasse le reste.
En définitive, le phishing interne n’est pas une rupture dans le paysage des menaces, mais un révélateur. Il met en lumière la fragilité des frontières implicites, la dépendance aux réglages initiaux et la difficulté à maintenir un niveau de sécurité homogène dans des environnements en constante évolution. Tant que la messagerie sera considérée comme un simple service, et non comme un actif de sécurité à gouverner, ces attaques continueront de prospérer dans les angles morts du quotidien.
