Cloudforce One alerte sur une méthode inédite qui exploite la confiance accordée aux services de sécurité réputés. Cette campagne détourne l’encapsulation de liens Proofpoint pour tromper les utilisateurs et contourner les défenses.
Cloudforce One, l’équipe cybersécurité de Cloudflare, révèle une campagne inédite avec des pirates détournent la fonction d’encapsulation de liens de Proofpoint pour mener des attaques de phishing Microsoft 365. Cette méthode, qui transforme normalement les URL en liens sécurisés, devient une arme redoutable lorsqu’elle est abusée.
Une technique qui détourne un mécanisme de protection
Le « link wrapping » a été conçu pour protéger les utilisateurs. Son principe : réécrire chaque lien cliqué afin de le faire transiter par un service d’analyse qui bloque les destinations malveillantes connues. Dans cette campagne, le processus se retourne contre les victimes. Comme l’explique le rapport : « Cette technique revêt un danger tout particulier, car les victimes se montreront beaucoup plus enclines à cliquer sur une URL Proofpoint ou Intermedia “de confiance” ».
Entre juin et juillet 2025, Cloudflare a observé une vague d’attaques qui cible principalement les utilisateurs de Microsoft Office 365. Les assaillants utilisent deux méthodes. D’une part, ils envoient des e-mails frauduleux via des comptes compromis protégés par Proofpoint. D’autre part, ils mettent en place des redirections multiples qui enchaînent raccourcisseurs d’URL et encapsulation. Cette combinaison crée une chaîne opaque qui contourne les filtres et la vigilance humaine.
Un impact démultiplié par la confiance et l’inertie des systèmes
Ce scénario illustre une tendance inquiétante : la confiance aveugle dans les services de sécurité devient un vecteur d’attaque. Cloudflare prévient : « En dissimulant les destinations malveillantes derrière les URL légitimes urldefense[.]proofpoint[.]com et url[.]emailprotection, l’utilisation abusive des services d’encapsulation de liens augmente considérablement la probabilité de réussite de l’attaque. »
Les conséquences vont bien au-delà du simple clic. Les pertes financières directes s’accumulent. En 2024, 11 % des fraudes par e-mail ont entraîné un préjudice total de 502 millions USD. Les campagnes observées accentuent aussi les risques de vol d’identité. Plus de 1,1 million de cas ont été signalés en 2024. Ces dossiers fiscaux ont des répercussions lourdes, avec une durée moyenne de résolution de 22 mois. Ces chiffres confirment une autre réalité : 67 % des violations trouvent leur origine dans un lien trompeur.
Pourquoi les solutions classiques échouent et comment réagir ?
Les méthodes traditionnelles de filtrage basées sur la réputation s’avèrent inefficaces ici, puisque les liens proviennent de domaines de confiance. Cloudforce One mise sur l’intelligence artificielle pour combler cette faille. « Les mesures de détection […] intègrent des modèles d’apprentissage automatique entraînés sur des messages avec des URL qui résultent de l’encapsulation de liens » précise le rapport.
Cette offensive s’inscrit dans une évolution plus large : la sophistication des attaques de phishing croît à mesure que les défenses s’améliorent. L’exploitation d’un mécanisme protecteur pour piéger l’utilisateur marque une étape préoccupante. Pour les entreprises, le défi consiste désormais à combiner vigilance humaine, politiques de sécurité renforcées et outils d’analyse comportementale. Le but est d’éviter que la confiance, leur meilleur allié, ne devienne leur talon d’Achille.
Article basé sur un communiqué de presse reçu par la rédaction.
