• Abus d'infrastructure légitime : la technique de hameçonnage qui contourne l'authentification des e-mails

Abus d'infrastructure légitime : la technique de hameçonnage qui contourne l'authentification des e-mails

Blog

Une nouvelle catégorie d'attaques de hameçonnage n'utilise ni faux domaines ni expéditeurs suspects : elle exploite à des fins malveillantes l'infrastructure de messagerie cloud à laquelle vos filtres font déjà confiance. Découvrez comment fonctionne l'exploitation abusive d'une infrastructure légitime et comment la surveillance DMARC permet de la détecter.

par Milena Baghdasaryan

Dernière mise à jour :
8 Temps de lecture : 8 min
Abus d'infrastructure légitime : la technique de hameçonnage qui contourne l'authentification des e-mails

Points clés à retenir

  • L'« abus d'infrastructure légitime » est une technique de hameçonnage dans laquelle les attaquants acheminent des e-mails malveillants via des plateformes cloud de messagerie fiables afin de profiter de la réputation irréprochable de ces dernières en tant qu'expéditeurs.
  • Comme l'infrastructure utilisée est techniquement autorisée, ces campagnes de hameçonnage sophistiquées passent systématiquement et sans problème les contrôles SPF, DKIM et DMARC.
  • Les passerelles de messagerie sécurisées traditionnelles ne détectent pas ces menaces, car elles ne peuvent pas bloquer les principales adresses IP des services cloud sans entraîner des taux de faux positifs catastrophiques pour le trafic légitime.
  • Les cybercriminels alimentent ce type d'attaques en achetant, sur des forums dédiés à la cybercriminalité, des clés API volées de plateformes cloud pour seulement 15 dollars.
  • Même si l'application du protocole DMARC ne bloque pas purement et simplement ces attaques, la surveillance continue du DMARC fait office de système d'alerte précoce en signalant les anomalies inattendues au niveau du volume des e-mails sortants.

Imaginez la scène : un e-mail de hameçonnage atterrit directement dans la boîte de réception d’une entreprise. La passerelle de sécurité l’analyse et lui attribue une note excellente. Sender Policy Framework (SPF) : validé. DomainKeys Identified Mail (DKIM) : validé. Domain-based Message Authentication, Reporting, and Conformance (DMARC) : validé. Cet e-mail est extrêmement malveillant, et pourtant, il a franchi sans encombre toutes les couches de défense. Pourquoi ? Parce qu’il a été envoyé via une infrastructure cloud réputée à laquelle vos outils de sécurité de messagerie font déjà aveuglément confiance.

Cette stratégie est connue sous le nom d’« abus d’infrastructure », ou « living off the land » dans le contexte du hameçonnage par e-mail. Au lieu de créer des domaines douteux et éphémères, les pirates acheminent leurs campagnes via des plateformes cloud d’envoi d’e-mails bien établies et jouissant d’une excellente réputation.

Il s'agit d'une tendance majeure. Le rapport « Cloudflare 2026 Threat Report » met en évidence que les plateformes de messagerie dans le cloud constituent des vecteurs largement exploités pour le phishing sophistiqué et la diffusion de logiciels malveillants, et souligne que des acteurs étatiques intègrent activement cette technique dans leurs stratégies. Les chercheurs en sécurité de Kaspersky ont également constaté une forte augmentation soutenue des tentatives de phishing envoyées via les principales infrastructures cloud à partir de janvier 2026.

Qu'est-ce qu'un abus légitime d'infrastructure ?

L’« abus d’infrastructure légitime » désigne la pratique consistant à acheminer des campagnes de phishing via des plateformes de messagerie cloud reconnues et réputées, plutôt que via des infrastructures spécialement conçues par les attaquants. Dans le domaine de la sécurité des terminaux, l’expression « living off the land » signifie que les pirates utilisent des outils système natifs et de confiance, tels que PowerShell, pour mener leurs attaques, plutôt que d’installer des logiciels malveillants facilement repérables. Cela rend la détection extrêmement difficile, car l’outil lui-même fait partie intégrante du système. L’« abus d’infrastructure légitime » applique exactement la même logique à l’envoi d’e-mails.

Au lieu d’acheter un nom de domaine issu d’un typosquatting ou de mettre en place un serveur de messagerie malveillant dédié, les escrocs piratent ou louent de l’espace sur des plateformes cloud bien établies dédiées à la messagerie transactionnelle. Des plateformes telles qu’Amazon SES, SendGrid et Mailjet sont fréquemment ciblées, non pas parce que leur sécurité interne est défaillante, mais parce que leur excellente réputation d’expéditeur constitue l’atout ultime pour un attaquant.

Les cybercriminels parviennent généralement à s'introduire dans les systèmes par deux moyens principaux :

  • Vol d'identifiants et de clés API : les pirates volent ou achètent des clés API légitimes ainsi que les identifiants de comptes de messagerie existants hébergés dans le cloud. Selon Abnormal AI, ces informations sont régulièrement échangées sur des forums dédiés à la cybercriminalité pour seulement 15 dollars.
  • Domaines d'envoi compromis : les pirates compromettent un domaine d'entreprise existant pour lequel un fournisseur de services de messagerie dans le cloud (ESP) est déjà configuré en tant qu'expéditeur autorisé, bénéficiant ainsi directement de la réputation d'expéditeur acquise au fil des années.

Qu'est-ce qu'un abus légitime d'infrastructure ?-

Pourquoi l'authentification des e-mails n'y met pas fin

Le déficit d'authentification

Les protocoles tels que SPF, DKIM et DMARC ont été conçus pour répondre à une question fondamentale : cet e-mail provient-il d'un expéditeur autorisé pour ce domaine ? Lorsqu'un pirate détourne un compte cloud légitime ou exploite la configuration d'un fournisseur de services de messagerie (ESP) autorisé pour un domaine, la réponse technique est un « oui » sans équivoque.

L'e-mail est transmis SPF car l'adresse IP du fournisseur de services cloud figure explicitement dans SPF du domaine. Il est également validé par DKIM, car la plateforme signe le message avec la clé cryptographique appropriée du domaine. Enfin, DMARC est validé, car les deux protocoles s'alignent parfaitement.

Il ne s'agit ni d'un bug ni d'une faille de DMARC. Les protocoles fonctionnent exactement comme prévu. Le problème réside dans le fait que vérifier si un expéditeur est autorisé est tout à fait différent de vérifier si le compte est toujours sous le contrôle du véritable propriétaire du domaine.

Pourquoi le blocage basé sur la réputation IP échoue

Les outils de sécurité traditionnels s'appuient largement sur les scores de réputation des adresses IP. Si une adresse IP envoie du spam, elle est bloquée. Mais face aux abus d'infrastructure, cette approche s'avère totalement inefficace.

Les adresses IP d'origine appartiennent à de grands fournisseurs de services cloud qui traitent chaque jour des milliards d'e-mails professionnels légitimes. Si une passerelle de messagerie sécurisée (SEG) bloquait ces plages d'adresses IP pour mettre fin à une campagne de hameçonnage, cela entraînerait des taux de faux positifs catastrophiques et bloquerait des e-mails professionnels importants au sein de milliers d'entreprises qui n'ont aucun lien entre elles. Le pirate se cache au sein d'une foule immense et de confiance.

Pourquoi les passerelles de messagerie sécurisées passent à côté de l'essentiel

La plupart des systèmes de filtrage de l'e-mail (SEG) évaluent les e-mails entrants en fonction de l'ancienneté du domaine, des liens malveillants connus et des signatures des pièces jointes. Dans ce type d'attaques, le domaine d'origine est sain, sa réputation est irréprochable et son score d'authentification est de 100 %.

De plus, les pirates neutralisent les scanners de liens en exploitant des techniques de hameçonnage par redirection ouverte intégrées aux fournisseurs de services de messagerie eux-mêmes. Ils utilisent les URL de suivi des clics natives de la plateforme, qui sont systématiquement autorisées par les passerelles de messagerie. La passerelle analyse le lien de suivi, considéré comme hautement fiable, et laisse passer le message ; la destination malveillante n’est activée que par une redirection au moment précis où l’utilisateur clique sur le lien.

Dans d'autres variantes, les escrocs contournent complètement l'analyse des URL en envoyant des messages de type « Business Email Compromise » (BEC) ne contenant aucun lien. Ils joignent des fichiers PDF « propres » contenant des informations de paiement brutes ou insèrent de faux fils de discussion concernant des modifications de factures, et s'appuient sur des techniques d'ingénierie sociale dissimulées dans un e-mail authentifié.

À quoi ressemble concrètement l'utilisation abusive d'une infrastructure légitime ?

Dans la pratique, ces campagnes s'appuient sur des leurres très urgents et inspirant une grande confiance. Parmi les stratagèmes les plus courants, on trouve les fausses notifications de signature électronique usurpant l'identité de plateformes telles que DocuSign, les alertes urgentes concernant la sécurité des comptes et les fraudes à la facturation ciblant les services comptables.

Ces attaques tirent leur source directement d'une mauvaise gestion des identifiants. Les pirates récupèrent régulièrement des clés API à partir de configurations AWS Identity and Access Management (IAM) exposées dans des dépôts GitHub publics ou de fichiers .env validés par inadvertance.

Lorsque tous les éléments s’alignent, les résultats sont stupéfiants. Un incident réel documenté par IRONSCALES en avril 2026 a mis en évidence un e-mail de hameçonnage qui a obtenu un score d’authentification composite Microsoft parfait de 100 sur 100. Il usurpait l’identité d’un outil de gestion de projet très répandu et a passé sans encombre SPF, DKIM et DMARC, car il avait été envoyé via la configuration légitime d’un fournisseur de services de messagerie (ESP) dans le cloud, associée à un domaine compromis.

Message entrant : résultats de l'authentification

Contrôle d'authentification / IndicateurStatut / ScoreVerdict final
SPF (Sender Policy Framework)PASSAutorisé
DKIM (DomainKeys Identified Mail)PASSAutorisé
DMARC (Authentification des messages basée sur le domaine)PASSConforme et agréé
Score d'authentification composite de Microsoft100 / 100Note de confiance parfaite

Conclusion principale : Authentifié, mais non légitime. (D'après un incident documenté par IRONSCALES, avril 2026).

Ce qui aide vraiment : une défense réaliste

Pour être tout à fait franc : aucun outil ne permet à lui seul de bloquer totalement ce type d'attaques. Quiconque prétend que le protocole DMARC, à lui seul, peut automatiquement empêcher l'utilisation abusive des infrastructures fait des promesses exagérées. En revanche, une approche réaliste et à plusieurs niveaux permet de réduire considérablement vos risques.

1. Surveillance DMARC : votre système d'alerte précoce

Même si un e-mail de hameçonnage authentifié passe la validation, les rapports agrégés DMARC (RUA) offrent une visibilité totale sur votre écosystème de messagerie sortante. Si un cybercriminel vole vos clés API et commence à acheminer du spam via une plateforme cloud en utilisant votre domaine, cette hausse massive du volume apparaîtra instantanément dans vos rapports.

L'analyse régulière des rapports DMARC (RUA) vous permet de détecter rapidement toute utilisation non autorisée de votre infrastructure, avant que cela n'entraîne une atteinte généralisée à votre réputation. Pour les équipes qui souhaitent bénéficier d'une détection automatisée, l'outil DMARC Analyzer de PowerDMARC assure une surveillance continue et envoie des alertes en temps réel en cas d'anomalies, afin de signaler les sources d'envoi inattendues dès leur apparition.

2. Application de la norme DMARC : protégez le trafic sortant de votre domaine

En configurant votre politique DMARC sur « p=reject », vous vous assurez que si un pirate tente d'usurper votre domaine via des canaux non autorisés, en dehors de votre infrastructure cloud approuvée, les messages seront immédiatement bloqués. De plus, une application stricte de cette politique rend votre domaine beaucoup plus difficile à attaquer. Les escrocs à la recherche de vecteurs d'exploitation faciles préfèrent les cibles plus vulnérables, soumises à une politique « p=none » peu stricte.

3. Sécurité des identifiants ESP : fermer le point d'entrée

La stratégie la plus efficace pour prévenir le phishing d'identifiants consiste à protéger les clés de votre infrastructure d'envoi.

  • Appliquer l'authentification multifactorielle (MFA) à tous les comptes d'administrateur ESP.
  • Utilisez des clés API dont le champ d'application est strictement délimité et dont les autorisations sont limitées au strict minimum requis.
  • Renouvelez régulièrement les clés API de production.
  • Mettez en place une analyse automatisée du code afin de vous assurer qu'aucune information confidentielle ne soit jamais validée dans des dépôts publics.
  • Vérifiez chaque semaine vos tableaux de bord d'utilisation de l'ESP afin de détecter d'éventuels pics de volume inhabituels ou des configurations d'expéditeurs inconnus.

4. Sécurité comportementale des e-mails

Les passerelles traditionnelles s'avérant inefficaces face aux infrastructures de confiance, vous avez besoin d’une couche de sécurité intégrée des e-mails dans le cloud (ICES). Les outils de sécurité comportementale basés sur l’IA analysent le contexte plutôt que de se limiter à la réputation. Ils examinent l’historique des communications, les volumes d’envoi habituels et les schémas linguistiques. Si un compte entièrement authentifié envoie soudainement une demande de facture anormale à un destinataire inhabituel, les outils comportementaux peuvent quarantine signaler et quarantine .

5. Formation ciblée de sensibilisation des utilisateurs

Si un e-mail de hameçonnage passe tous les contrôles techniques, tout repose alors sur la vigilance humaine. Les employés doivent être formés pour reconnaître qu’un e-mail présentant une image de marque irréprochable, une adresse d’expéditeur valide et ne suscitant aucun signal d’alerte technique peut tout de même s’avérer être un piège si le compte associé a été piraté.

Apprenez à votre équipe à vérifier de manière indépendante toute instruction de paiement ou modification de compte inattendue via un canal de communication secondaire et hors bande (comme un bref appel téléphonique). Elle doit également examiner attentivement les pages de destination finales du navigateur avant de saisir ses identifiants, même si le lien figurant dans l'e-mail initial semblait fiable.

Enfin, les employés peuvent simplement utiliser un outil de vérification des e-mails de hameçonnage pour obtenir une analyse instantanée des menaces. Il leur suffit de coller le corps complet de l'e-mail, y compris les en-têtes, pour vérifier les informations d'authentification, les indices relatifs à l'expéditeur, les liens suspects, les schémas d'urgence, etc.

Vérificateur d'e-mails de hameçonnage

En conclusion

Le modèle de menace pour les entreprises a radicalement évolué. Le phishing moderne et sophistiqué ne repose plus sur des e-mails mal formatés envoyés depuis des domaines aléatoires et suspects. En détournant des infrastructures légitimes, les attaquants profitent activement de la popularité des services cloud que nous utilisons et auxquels nous faisons confiance au quotidien, en exploitant le décalage entre l’autorisation de l’expéditeur et le contrôle réel de l’identité.

Votre stratégie de défense doit s'adapter à cette réalité. Même si les protocoles d'authentification ne suffisent pas à eux seuls à résoudre le problème, une surveillance rigoureuse de votre environnement change complètement la donne.

Sécurisez dès aujourd'hui votre écosystème de messagerie : vous souhaitez savoir exactement qui envoie des e-mails au nom de votre marque ? Prenez le contrôle de votre périmètre et recevez des alertes en temps réel en cas de comportements d'envoi inhabituels grâce à l'outil DMARC Analyzer de PowerDMARC.

Foire aux questions

Si un e-mail passe SPF, DKIM et DMARC, pourquoi ma passerelle de sécurité le laisse-t-elle tout de même passer ?

En effet, les passerelles de sécurité sont programmées pour faire confiance à ces protocoles précis. Lorsqu’un e-mail répond parfaitement à ces trois critères, la passerelle considère qu’il s’agit d’une communication légitime et autorisée émanant du propriétaire du domaine. Les passerelles vérifient si l’infrastructure est autorisée à envoyer l’e-mail, et non pas qui se trouve derrière le clavier en train de le rédiger.

Cela signifie-t-il que le protocole DMARC est défaillant ou inutile ?

Pas du tout. DMARC fait exactement ce pour quoi nous l’avons conçu : empêcher des malfaiteurs quelconques d’usurper votre nom de domaine à partir de rien. Il ne peut pas déterminer si un attaquant a acheté une clé API volée ou s’il a piraté votre compte cloud. Considérez DMARC comme un verrou high-tech : il fonctionne parfaitement, à moins que le cambrioleur ne vole vos vraies clés de maison.

Pourquoi ne peut-on pas simplement bloquer les adresses IP d'où proviennent ces e-mails de hameçonnage ?

En effet, ces adresses IP appartiennent à des services de grande envergure et tout à fait légitimes, tels qu’Amazon SES ou SendGrid. Des millions d’e-mails professionnels courants et sûrs (comme des reçus, des confirmations de vol et des réinitialisations de mot de passe) transitent chaque jour par ces mêmes adresses IP. Si vous bloquez cette plage d’adresses IP, vous bloquez le trafic légitime en même temps que le trafic malveillant.

Comment les pirates informatiques parviennent-ils à se procurer ces identifiants d'accès aux plateformes de messagerie dans le cloud ?

En général, cela se résume à de simples erreurs humaines. Il arrive que des développeurs laissent accidentellement des clés API accessibles dans des dépôts GitHub publics ou qu’ils valident des fichiers tels que .env contenant des identifiants de connexion en clair. D’autres fois, les cybercriminels achètent tout simplement, pour une bouchée de pain, des identifiants valides qui ont fait l’objet d’une fuite sur des forums de cybercriminalité, souvent pour seulement 15 dollars.

Une formation visant à sensibiliser les utilisateurs peut-elle réellement être utile si les filtres techniques échouent ?

Oui, mais il faut changer la manière dont on forme les collaborateurs. Les formations traditionnelles enseignent aux utilisateurs à repérer des « signaux d’alerte », tels que des adresses e-mail qui semblent fausses ou des indicateurs d’authentification erronés. Or, dans le cas d’une exploitation abusive de l’infrastructure, ces signaux d’alerte ne sont pas présents. La formation doit donc se concentrer sur des points de contrôle comportementaux, comme le fait de décrocher le téléphone pour vérifier toute demande soudaine et hors canal habituel d’argent ou de mise à jour sensible du compte, même si l’e-mail semble parfaitement légitime.

Derniers messages de Milena Baghdasaryan (voir tous)
Dernière mise à jour :
Étude de cas DMARC MSP : The Great Geek étend ses services de sécurité des e-mails destinés aux PME grâce à...La rubrique « The Great Geek »Sécurité des e-mails en Amérique latine : état des lieux du DMARC et de l'authentification des e-mails en...