Selon Panda Security, le phishing devient un « service prêt à l’emploi »
La multiplication des e-mails frauduleux, des faux SMS et des sites web piégés n’a rien d’un hasard. Elle s’explique aussi par l’essor du PhaaS, le Phishing-as-a-Service, un modèle criminel qui transforme le phishing en produit disponible sur abonnement.
Dans une récente analyse, Panda Security explique que des kits complets sont désormais proposés sur le dark web, dans des forums illégaux et via des canaux Telegram, permettant même à des cybercriminels peu expérimentés de lancer des campagnes de fraude rapidement et à grande échelle.
Le principe ressemble à celui d’un logiciel classique vendu en mode SaaS. En échange d’un abonnement ou d’un paiement ponctuel, l’acheteur obtient des modèles d’e-mails ou de SMS frauduleux, des faux sites personnalisables imitant des marques connues, l’hébergement des pages piégées, des outils d’automatisation, des mises à jour régulières et des systèmes destinés à collecter les identifiants volés.
Certains services débutent à 99 USD par mois !
Pour les internautes, la conséquence est directe : plus le phishing devient industrialisé, plus les campagnes se multiplient et plus les messages frauduleux gagnent en crédibilité.
D’après les données citées par Panda Security, et attribuées à Barracuda, environ 60 % à 70 % des attaques de phishing observées depuis le début de 2025 seraient déjà liées à des modèles de phishing-as-a-Service. Le phishing n’est donc plus seulement une arnaque isolée, mais un marché structuré qui facilite le vol de mots de passe, d’informations personnelles et d’argent.
Cette évolution s’inscrit dans un mouvement plus large déjà décrit publiquement par Hervé Lambert, Global Consumer Operations Manager, Panda Security, qui explique que l’automatisation et l’IA rendent les campagnes cybercriminelles plus convaincantes, plus rapides et plus faciles à déployer… Résultat ? La cible n’est plus uniquement le dirigeant ou la grande entreprise : l’utilisateur ordinaire, le salarié d’une petite structure, le gamer ou le particulier connecté devient lui aussi une cible rentable pour des campagnes lancées à grande échelle.
Vigilance ! Vigilance !
« Le PhaaS a industrialisé l’arnaque en ligne, commente Hervé Lambert. Quelques outils achetés sur Internet suffisent désormais pour lancer des campagnes crédibles, toucher des milliers de personnes et voler des données à grande échelle. Dans ce contexte, vérifier toute demande inattendue et renforcer la sécurité de ses comptes devient essentiel. »
On ne rappellera jamais assez l’importance de vérifier attentivement l’expéditeur, le numéro et l’URL avant de cliquer, de ne jamais saisir son mot de passe après avoir ouvert un lien reçu par message, de se méfier des demandes urgentes, d’utiliser des mots de passe uniques pour chaque compte et d’activer l’authentification à deux facteurs, de préférence via une application ou une passkey. À mesure que le phishing devient un service prêt à l’emploi, la vigilance de l’utilisateur devient l’une des protections les plus précieuses.
