Tout le monde pensait que la MFA était un bouclier inviolable pour les connexions C-suite. Faux. Cette plateforme de phishing Venom vient de révéler à quel point cette idée est fragile, transformant les vérifications d’emails routinières en jackpots d’identifiants pour les attaquants.
De novembre 2025 à mars 2026, des hackers ont mené une campagne chirurgicale contre des PDG, directeurs financiers et VP dans plus de 20 secteurs. Les chercheurs d’Abnormal Security ont disséqué l’affaire : une Phishing-as-a-Service (PhaaS) inédite nommée Venom, tapie en arrière-plan, louant son kit à qui paie.
Ce à quoi tout le monde s’attendait — Et pourquoi Venom change la donne
Les attentes ? Du phishing en masse, piégé par les filtres email. La MFA en dernier recours. Mais Venom ? C’est un instrument de précision. Les appâts imitent les notifications SharePoint — rapports financiers urgents suppliant un scan QR directement dans le corps de l’email. Pas de pièces jointes. Pas de liens. Juste un code scannable qui respire la légitimité.
Les cibles reçoivent un fil d’emails fabriqué, cinq messages de profondeur, avec leur propre nom extrait de l’adresse, un persona factice en contrepartie, et même des détails d’entreprise tirés de la vraie vie. Templates multilingues pour les dirigeants mondiaux. Bruit HTML aléatoire pour esquiver les signatures. De l’évasion dopée aux stéroïdes.
Et voilà le virage du marché : le PhaaS n’est pas nouveau — pensez EvilProxy ou kits custom — mais le modèle de licence fermée de Venom crie l’évolutivité. Comme le ransomware-as-a-service a explosé il y a dix ans, attendez-vous à ce que ça inonde les marchés souterrains sous peu.
Scanner ce QR ? Boum. Page de vérification factice qui trie bots, sandboxes, scanners. Réussite ? Direction l’enfer.
« Les visiteurs qui passent tous les contrôles sont redirigés vers le harvester d’identifiants. Les autres tombent sur une impasse, sans aucun indice qu’ils ont croisé quelque chose de suspect », notent les chercheurs d’Abnormal dans un rapport du 2 avril.
Comment l’appât QR code de Venom piège-t-il de vrais dirigeants ?
Imaginez : vous êtes le directeur financier, votre boîte mail bipe avec un « Projections Q4 - Action requise » dans un fil qui ressemble à trait pour trait aux discussions de votre équipe. Code QR ? Vous le scannez sur votre phone — réflexe. Atterrissage sur une page imitant le login de votre boîte, email pré-rempli, branding exact.
Deux chemins. D’abord : Adversary-in-the-Middle (AiTM). Ça relaie vos identifiants et code MFA directement vers l’authentification Microsoft live. En douceur. Deuxième : flux de code appareil. Pas de saisie de mot de passe — juste « Approuver cet appareil » sur la vraie page Microsoft. L’attaquant chope les tokens.
Persistance ? Diabolique. L’AiTM glisse un appareil MFA fantôme — sans alerte. Mode appareil ? Les tokens de rafraîchissement survivent aux resets de mot de passe, sauf si les admins nuke toutes les sessions (rare).
Abnormal la qualifie d’« une des opérations de phishing les plus abouties techniquement que nous ayons documentées, [mais] moins pour une technique novatrice unique que pour la façon dont chaque composant a été délibérément conçu pour fonctionner ensemble ».
Pas d’exagération. Le dashboard de Venom gère campagnes, tokens, licences. Indétecté dans les flux d’intel jusqu’à présent.
Mais attendez — mon avis perso. Ça rappelle le spear-phishing DNC de 2016, mais industrialisé. À l’époque, les États-nations bricolaient à la main ; aujourd’hui, le PhaaS le démocratise pour n’importe quel syndicat cybercriminel. Prono : d’ici Q4 2026, les clones de Venom toucheront 50 % des campagnes visant les dirigeants, forçant un boom du marché de la refonte MFA — passkeys ou hardware partout.
Les dirigeants ne cliquent plus sur des liens idiots. Ils scannent des QR codes en salle de conseil. Filtres ? Contournés par le bruit et la personnalisation. MFA ? Inutile face à l’AiTM et au vol de tokens.
Les dynamiques de marché basculent dur. Les vendeurs de sécu comme Abnormal, Proofpoint — ils courent pour disséquer Venom. Mais les entreprises ? Toujours sur les défenses d’hier. Les conseils affrontent des coûts de brèche à 4,5 M$ en moyenne (données IBM), les identifiants des dirigeants déverrouillent email, VPN, tout.
Pourquoi la MFA échoue-t-elle si lamentablement ici — Et maintenant ?
La MFA, c’est l’empereur sans vêtements. L’AiTM relaie en live, le flux appareil zappe les formulaires. Les attaquants s’attardent, exfiltrent à loisir.
Les chercheurs avertissent : « La découverte de Venom ajoute une dimension multiplicateur de force. Une plateforme PhaaS fermée avec licences, gestion de campagnes et stockage structuré de tokens suggère que cette capacité ne se limite pas à un seul opérateur. »
Pile poil. Ce n’est pas un loup solitaire ; c’est un service. Prolifération en vue.
Défenses ? Laissez tomber la MFA email-only. Imposez l’authentification liée à l’appareil. Formez les dirigeants aux risques QR (bonne chance). Chassez les anomalies dans les logs auth — appareils en plus, flux IP bizarres. Des outils comme les extensions browser bloquant l’AiTM émergent, mais l’adoption traîne.
Et le storytelling PR de Microsoft ? Leurs flux rendent ça possible — corrigez le code appareil, resserrez les proxies. Mais ils lambineront ; trop incrusté dans l’entreprise.
Écoutez, ce n’est pas du panic porn. Faits : la campagne a touché des majors mondiales. Venom est frais, puissant, scalable. C-suites, auditez maintenant.
🧬 Analyses connexes
- Lisez la suite : Storm Infostealer: Hackers Now Decrypt Your Passwords on Their Servers
- Lisez la suite : Hackers Fake CERT-UA to Push AGEWHEEZE RAT at a Million Ukrainians
Questions fréquemment posées
Qu’est-ce que la plateforme de phishing Venom ?
Venom est un backend PhaaS qui alimente le vol d’identifiants via des appâts QR, AiTM et contournements MFA ciblant les dirigeants.
Comment Venom contourne-t-il la MFA ?
Par proxying live (AiTM) ou flux de code appareil Microsoft, en capturant des tokens persistants après reset.
Les entreprises peuvent-elles stopper les attaques Venom ?
Oui — surveillez les anomalies auth, interdisez les scans QR des emails, déployez des clés FIDO2, révoquez les sessions sans pitié.
