En 2026, les techniques de phishing ne ciblent presque plus les failles techniques d’un système d’information. Elles ciblent la personne assise devant l’écran. Les cybercriminels le savent bien, et ils ont fait évoluer leurs méthodes en conséquence. Fini le mail bourré de fautes d’orthographe. Fini aussi le lien grossièrement maquillé. Les techniques de phishing actuelles sont conçues pour retourner contre l’utilisateur ses propres réflexes de sécurité : cliquer sur « je ne suis pas un robot », valider une notification de double authentification, ou encore rappeler un numéro de support.
Voici donc un panorama concret des techniques de phishing les plus récentes, observées par les équipes de cybersécurité. Et surtout, ce qu’elles changent concrètement pour une PME. Pour une vision de référence sur ces menaces, Cybermalveillance.gouv.fr publie régulièrement des alertes actualisées à destination des entreprises.
L’essentiel en une minute
- ClickFix : un faux CAPTCHA pousse l’utilisateur à coller lui-même une commande malveillante dans une fenêtre Windows. C’est donc l’utilisateur qui exécute l’attaque, ce qui contourne une grande partie des protections automatiques.
- Phishing AiTM (Adversary-in-the-Middle) : des kits comme Tycoon2FA se positionnent entre l’utilisateur et le vrai service pour voler le cookie de session, juste après la double authentification. Résultat : la MFA classique ne suffit plus toujours à bloquer l’attaque.
- Callback phishing (TOAD) : l’e-mail ne contient plus de lien piégé, seulement un numéro de téléphone à rappeler. C’est donc au téléphone que la manipulation opère, hors de portée des filtres anti-phishing.
- IA générative et deepfake vocal : rédaction de mails sur mesure en quelques minutes, imitation de voix de dirigeants, et parfois même conversations complètes simulées en temps réel.
- Quishing : le lien malveillant se cache dans un QR code, souvent glissé dans un PDF. Il échappe ainsi aux filtres qui n’analysent que le texte des e-mails.

Le kit le plus documenté sur ce créneau s’appelle Tycoon2FA. Il fonctionne en mode « phishing-as-a-service » : il est loué comme un abonnement à d’autres cybercriminels, avec panneau d’administration et modèles de pages prêts à l’emploi. Cela explique sa diffusion très large, y compris auprès d’acteurs peu qualifiés techniquement. Ce type de kit illustre bien la professionnalisation actuelle des techniques de phishing.
ClickFix : quand la victime infecte elle-même sa machine
C’est aujourd’hui l’une des techniques de phishing qui progresse le plus vite. Le principe est simple : l’utilisateur arrive sur un site compromis ou une publicité malveillante. Une fausse vérification s’affiche alors : « Je ne suis pas un robot », erreur de mise à jour du navigateur, ou échec d’affichage d’un document. Contrairement à un CAPTCHA classique, la page demande ensuite une manipulation inhabituelle : ouvrir la fenêtre « Exécuter » de Windows (Windows + R) ou un terminal, puis coller (Ctrl + V) et valider.
Ce que l’utilisateur ne voit pas, c’est que la page a déjà copié une commande malveillante dans son presse-papiers dès son arrivée sur le site. En collant et validant, il exécute donc lui-même le premier maillon d’une chaîne d’infection. C’est le plus souvent un infostealer, capable de voler identifiants, cookies de session ou portefeuilles de cryptomonnaies. Cela peut aussi être un cheval de Troie d’accès à distance.
L’efficacité de cette technique tient à un seul détail. Aucun fichier n’est téléchargé, et aucune alerte de sécurité du navigateur ne se déclenche. En effet, l’action est réalisée « manuellement » par l’utilisateur, avec des outils Windows parfaitement légitimes. Les antivirus classiques, conçus pour repérer des fichiers suspects, ne voient donc rien passer.
Le réflexe à diffuser en interne : aucun site web légitime ne demande jamais d’ouvrir une fenêtre d’exécution ou un terminal pour « vérifier » quoi que ce soit. Si une page conduit à cette manipulation, il faut fermer l’onglet, sans hésiter.
Le phishing AiTM : la double authentification n’est plus une garantie absolue
Pendant longtemps, activer la double authentification (MFA) était considéré comme la protection ultime contre le vol d’identifiants. Or, les kits de phishing dits AiTM (« Adversary-in-the-Middle ») ont changé la donne. Microsoft détaille précisément ce mécanisme dans son analyse du kit Tycoon2FA, l’un des plus répandus sur ce créneau.
Comment fonctionne une attaque AiTM
Le principe : l’utilisateur reçoit un e-mail imitant parfaitement une demande de connexion Microsoft 365 ou Google Workspace. En cliquant, il arrive sur une page qui n’est pas le vrai service, mais un proxy contrôlé par l’attaquant. Cette fausse page est quasiment indiscernable de l’originale. L’utilisateur saisit alors son mot de passe, puis valide sa notification de double authentification, comme il le fait tous les jours.
Le proxy relaie ensuite ces informations en temps réel au véritable service. Mais au passage, il intercepte aussi le cookie de session délivré une fois l’authentification réussie. Or, ce cookie est la clé du problème : il permet à l’attaquant de se connecter à la place de l’utilisateur. Il n’a donc pas besoin de repasser par le mot de passe, ni par la double authentification. Cela fonctionne parfois même après un changement de mot de passe, si les sessions actives ne sont pas explicitement révoquées.
Comment s’en protéger réellement
Seules les méthodes MFA dites « résistantes au phishing » bloquent efficacement ce type d’attaque. C’est le cas des clés de sécurité physiques FIDO2, ou des passkeys. Contrairement à un simple code, ces méthodes lient cryptographiquement l’authentification au nom de domaine exact du service légitime. Ainsi, un faux site, même parfaitement imité visuellement, ne peut tout simplement pas obtenir la validation.
Pour les organisations qui ne peuvent pas encore déployer FIDO2 partout, deux réflexes restent indispensables. D’une part, surveiller les connexions inhabituelles, comme un changement brutal de zone géographique. D’autre part, révoquer systématiquement les sessions actives en cas de doute.
Le callback phishing (TOAD) : l’attaque se joue au téléphone
Le « Telephone-Oriented Attack Delivery », plus connu sous le nom de callback phishing, contourne un maillon entier de la défense habituelle : les filtres anti-spam des messageries. C’est l’une des rares techniques de phishing qui ne repose sur aucun lien ni pièce jointe.
Le mail reçu ne contient ni lien, ni pièce jointe suspecte. Il affiche seulement un numéro de téléphone, présenté comme celui d’un support technique ou d’un prestataire connu. Le message annonce par exemple un prélèvement inhabituel ou une facture à contester. Comme il n’y a donc aucun élément technique malveillant à détecter, l’e-mail passe la plupart des filtres sans encombre.
C’est au moment de l’appel que la manipulation opère vraiment. Un faux technicien, souvent très professionnel dans son discours, guide alors la victime pour qu’elle installe elle-même un logiciel de prise en main à distance. Il peut aussi simplement lui demander de communiquer des informations sensibles. Cette technique est de plus en plus souvent combinée à une usurpation via les outils collaboratifs d’entreprise, comme Teams ou Slack, ce qui renforce encore la crédibilité de l’appel.
IA générative et deepfake vocal : la personnalisation à grande échelle
L’intelligence artificielle a changé deux choses fondamentales dans les techniques de phishing actuelles : la rédaction des messages, et la voix.
La rédaction sur mesure
Générer un e-mail de phishing sans faute ne prend plus que quelques minutes. Le ton peut être parfaitement adapté au secteur d’activité et au poste du destinataire. Les campagnes ne sont donc plus des envois de masse identiques. Ce sont désormais des messages personnalisés, construits à partir d’informations glanées sur les réseaux sociaux professionnels ou les sites d’entreprise. Un mail qui cite un projet interne réel, ou le nom exact d’un supérieur hiérarchique, est ainsi nettement plus difficile à repérer qu’un message générique.
Le clonage de voix
Le clonage vocal par IA permet désormais de reproduire la voix d’un dirigeant. Quelques secondes d’audio public suffisent, par exemple une interview ou une vidéo LinkedIn. Combiné au vishing, c’est-à-dire au phishing par téléphone, ce procédé alimente des fraudes au virement : un faux « directeur financier » demande alors en urgence, de vive voix, un paiement exceptionnel. Certaines attaques signalées vont même jusqu’à simuler des échanges conversationnels en temps réel, ce qui rend la détection à l’oreille beaucoup plus difficile.
Le quishing : le QR code comme angle mort des filtres
Le QR code phishing, ou quishing, exploite une faille structurelle des outils de filtrage. La plupart analysent en effet le texte et les liens visibles d’un e-mail. Ils n’examinent pas forcément le contenu d’une image ou d’un QR code intégré à une pièce jointe PDF. Or, l’utilisateur, lui, est habitué à scanner des QR codes sans arrière-pensée dans sa vie quotidienne.
Le piège type ressemble à ceci : une facture ou un document RH en pièce jointe contient un QR code à scanner « pour valider votre identifiant ». Le scan se fait généralement depuis un smartphone personnel, souvent hors du réseau de l’entreprise. L’attaque devient donc doublement efficace, puisqu’elle contourne à la fois les filtres de messagerie et les protections des postes professionnels.
Ce que ces techniques changent concrètement pour une PME
Ces cinq méthodes partagent un point commun. Elles ne cherchent plus à exploiter une faille technique, mais à transformer l’utilisateur en complice involontaire de sa propre compromission. Cela a une conséquence directe : un antivirus à jour et un pare-feu bien configuré, bien que nécessaires, ne suffisent plus face aux techniques de phishing actuelles.
Cinq priorités concrètes
Voici quelques priorités réalistes, même sans équipe cybersécurité dédiée :
- Former par des cas réels, pas par des généralités. Montrer à quoi ressemble une fausse page ClickFix marque en effet davantage les esprits qu’une simple liste de consignes.
- Prioriser une MFA résistante au phishing (clé FIDO2, passkey) sur les comptes à privilèges. Cela concerne par exemple la messagerie de direction ou les accès administrateur, plutôt que de se reposer uniquement sur les SMS.
- Vérifier systématiquement toute demande de virement par un canal différent de celui utilisé pour la demande. Il faut donc rappeler sur un numéro déjà connu, jamais celui indiqué dans le message.
- Restreindre l’exécution de scripts PowerShell aux comptes qui en ont réellement besoin. Il est également utile de surveiller les commandes lancées depuis la fenêtre « Exécuter » de Windows.
- Diffuser une règle simple à toute l’équipe : aucun support technique légitime ne demande d’ouvrir un terminal ou de communiquer un code de double authentification par téléphone.
Notre pôle infogérance accompagne les PME bretonnes dans le diagnostic et la sécurisation de leur système d’information, avec un plan d’action adapté à la taille de la structure.
Questions fréquentes
ClickFix est une méthode d’ingénierie sociale. Elle affiche une fausse vérification, comme un CAPTCHA ou une erreur système. L’utilisateur est ainsi incité à coller et exécuter lui-même une commande malveillante, déjà copiée dans son presse-papiers à son insu.
Oui, dans le cas des attaques dites AiTM. Des kits comme Tycoon2FA se placent entre l’utilisateur et le service légitime pour voler le cookie de session, juste après la validation de la MFA classique. Seules les méthodes résistantes au phishing, comme les clés FIDO2, bloquent efficacement ces techniques de phishing.
C’est une attaque où l’e-mail piégé ne contient aucun lien ni pièce jointe suspecte, seulement un numéro de téléphone à rappeler. La manipulation a lieu pendant l’appel, ce qui permet de contourner les filtres anti-phishing classiques.
Vous souhaitez évaluer le niveau d’exposition réel de votre entreprise à ces techniques de phishing ? Notre pôle infogérance vous accompagne dans le diagnostic et la sécurisation de votre système d’information.

