Les plateformes de collaboration cloud telles qu'Adobe, DocuSign, Dropbox, Canva et Zoho sont exploitées dans les attaques de phishing en raison de leur adoption généralisée

Les plateformes de collaboration cloud telles qu'Adobe, DocuSign, Dropbox, Canva et Zoho sont exploitées dans les attaques de phishing en raison de leur adoption généralisée

Un nouveau rapport d'étude menée par Cofense révèle que les plateformes populaires de collaboration et de partage de fichiers dans le cloud, telles qu'Adobe, DocuSign, Dropbox, Canva et Zoho, sont utilisées à mauvais escient dans des attaques de phishing. 8,8 % de toutes les campagnes d'hameçonnage d'informations d'identification en 2024 ont utilisé ces sites web. Comme il s'agit de domaines de confiance, couramment utilisés par le public et par les entreprises pour leurs documents internes, de nombreuses passerelles de messagerie sécurisée (SEG) autorisent automatiquement les liens vers ces sites à entrer dans les boîtes de réception des utilisateurs.

La sécurité du cloud reste l'un des défis majeurs des professionnels de la cybersécurité. Un rapport de Zscaler en 2023 a montré que 98,6 % des entreprises interrogées dans son étude ont des problèmes de mauvaise configuration dans leurs environnements de cloud computing qui peuvent entraîner des risques critiques pour leurs données et leur infrastructure. Les erreurs de configuration du cloud liées à l'accès public aux buckets de stockage, aux permissions de compte, au stockage et à la gestion des mots de passe, et plus encore, ont conduit à l'exposition de milliards d'enregistrements.

En outre, un rapport de Fortra en 2024 a énuméré les principales attaques que craignent les équipes de sécurité. L'étude avait révélé que la plupart des organisations considéraient que le phishing (81 %), les logiciels malveillants et les ransomwares (76 %), et la perte accidentelle de données (63 %) comme principaux risques de sécurité pour l'année 2024, suivis par l'ingénierie sociale (55 %) et les risques liés à des tiers (52 %).

Plus récemment, un nouveau rapport d'étude menée par Cofense révèle que les plateformes populaires de collaboration et de partage de fichiers dans le cloud, telles qu'Adobe, DocuSign, Dropbox, Canva et Zoho, sont utilisées à mauvais escient dans des attaques de phishing en raison de leur adoption généralisée par les entreprises et les particuliers. Le rapport montre que 8,8 % de toutes les campagnes d'hameçonnage d'informations d'identification en 2024 ont utilisé ces sites web. Parmi les campagnes exploitant ces sites de documents en ligne, 79 % de tous les cas contenant ces domaines étaient des attaques d'hameçonnage d'informations d'identification.


Comme il s'agit de domaines de confiance, couramment utilisés par le public et par les entreprises pour leurs documents internes, de nombreuses passerelles de messagerie sécurisée (SEG) autorisent automatiquement les liens vers ces sites à entrer dans les boîtes de réception des utilisateurs. Certains services envoient également des notifications automatiques aux utilisateurs lorsqu'un document est partagé, ce qui donne l'impression que les tentatives d'hameçonnage sont légitimes.

Les chercheurs notent également que certains services, comme DocuSign, ont des caractéristiques qui profitent involontairement aux attaquants, comme les mécanismes d'expiration des liens qui entravent les enquêtes post-attaque.

Dropbox est le service le plus ciblé par ces attaques, représentant 25,5 % de tous les services d'hébergement de documents en ligne abusés. Adobe et SharePoint viennent ensuite, chacun représentant 17 % des services d'hébergement abusifs. DocuSign arrive en troisième position avec un peu plus de 16 %, tandis que Google Docs représente 11 %. Zoho ne représente que 4 %, bien que le service ait connu un pic important d'attaques en décembre de l'année dernière.

Ce rapport de Cofense permet de mieux comprendre pourquoi les attaques sont de plus en plus difficiles à détecter. Pour citer des chiffres, un rapport de Netwrix en 2022 a révélé que le délai moyen de détection de la plupart des types d’attaques s’est allongé depuis 2020. Le ralentissement le plus important a été observé du côté des compromissions de la chaine d'approvisionnement : en 2020, 76 % des répondants détectaient ce type d’attaque en quelques minutes ou en quelques heures, mais en 2022, seuls 47 % le détectent aussi rapidement. Il est également devenu plus difficile de repérer les ransomwares : 86 % des organisations avaient besoin de quelques minutes ou heures pour détecter les ransomwares en 2020, contre 74 % en 2022.

Voici les principales conclusions du rapport de Cofense :

Les acteurs de la menace abusent de la confiance dans les plateformes de collaboration cloud

Les acteurs de la menace évoluent constamment avec de nouveaux mécanismes pour contourner les multiples passerelles de messagerie sécurisée (SEG). L'utilisation de documents en ligne, tels qu'Adobe, DocuSign, Dropbox, Canva et Zoho, est un mécanisme spécifique permettant d'échapper à la détection. Ces services sont souvent utilisés en interne et en externe par les entreprises, ce qui fait de ces domaines une source fiable lorsqu'il s'agit de l'automatisation des SEG.

Ces sites Web de documents représentaient 8,8 % de toutes les campagnes d'hameçonnage d'informations d'identification en 2024, ce qui montre l'importance croissante de cette méthode. Parmi les campagnes utilisant ces sites de documents en ligne, 79 % de toutes les observations contenant ces domaines étaient des cas d'hameçonnage d'informations d'identification.

Il s'agit de domaines de confiance, car ils sont couramment utilisés par le public et pour les documents internes des entreprises. Par conséquent, de nombreux SEG autorisent automatiquement ces liens à entrer dans les boîtes aux lettres électroniques des utilisateurs. Certains de ces services envoient même directement un courrier électronique au destinataire du document, ce qui permet aux auteurs de menaces de consacrer peu d'efforts à leurs campagnes.

Les services d'hébergement de documents en ligne les plus courants au cours de l'année 2024 sont DocuSign, Google Documents, Adobe, Canva, Dropbox et Zoho. Cela est déterminé par les domaines utilisés dans les campagnes, à savoir docusign[.]net, docs[.]google[.]com et drive[.]google[.]com, adobe[.]com, sharepoint[.]com, canva[.]com, dropbox[.]com et zoho[.]com, respectivement.


DocuSign

DocuSign n'est pas seulement couramment usurpé dans le paysage de l'hameçonnage d'informations d'identification, mais aussi couramment utilisé de manière abusive par les acteurs de la menace. En 2024, DocuSign représentait un peu plus de 16 % de tous les services d'hébergement de documents en ligne utilisés de manière abusive. DocuSign est également l'un des domaines les plus courants à utiliser un code QR dans le document, ce domaine représentant 6 % de tous les liens d'hameçonnage d'informations d'identification contenant un code QR.

Cela est probablement dû au fait que DocuSign est un service de partage de documents populaire et qu'il est couramment utilisé par les ressources humaines, ce qui incite les SEG à faire automatiquement confiance à ce domaine. DocuSign tente de supprimer ces campagnes ; cependant, DocuSign dispose de fonctionnalités qui peuvent aider les acteurs de la menace.

Par exemple, les liens DocuSign peuvent expirer après un seul clic, ce qui envoie un autre lien DocuSign au destinataire initial et empêche l'analyse post-incident par les intervenants ou les analystes des centres d'opérations de sécurité (SOC). De plus, lorsqu'un document est partagé avec un utilisateur, DocuSign envoie un courriel à l'utilisateur, ce qui peut compliquer le blocage des courriels par les SEG.


Google Docs

Google est l'un des domaines Internet les plus populaires, offrant de nombreux services d'hébergement de fichiers, tels que Google Docs, Google Drive et Google Sheets. Cependant, des acteurs menaçants ont profité de la confiance aveugle que de nombreux SEG accordent à Google, en envoyant des documents Google aux utilisateurs dans le but de les diriger vers des pages d'hameçonnage d'informations d'identification. Les liens vers des documents Google ne représentent que 11 % de tous les services d'hébergement de documents en ligne exploités en 2024 ; toutefois, il est important de souligner que Google Docs est plus souvent considéré comme un moyen de diffuser des logiciels malveillants par le biais d'un lien intégré.

Google tente de supprimer ces comptes, mais le document reste généralement en ligne pendant un certain temps, à moins qu'il ne soit spécifiquement signalé par un utilisateur. En outre, les acteurs de la menace peuvent partager des fichiers Google Document par l'intermédiaire de Google, ce qui rend plus difficile le blocage de l'adresse électronique par les SEG, puisqu'elle est bien connue.

Adobe

Adobe est une marque incontournable sur l'internet depuis des décennies et, par conséquent, de nombreuses personnes font confiance au domaine Adobe. Adobe permet l'hébergement de fichiers PDF, et c'est sur ce point que les acteurs de la menace se concentrent pour gagner non seulement la confiance de l'utilisateur, mais aussi celle du SEG.

Adobe est à peine plus populaire que DocuSign, étant utilisé pour un peu plus de 17 % de tous les services d'hébergement de documents en ligne utilisés de manière abusive en 2024. Adobe s'efforce de supprimer ces PDF ; cependant, en raison de l'extrême trafic que connaît Adobe du fait de sa popularité, les suppressions de PDF peuvent prendre des jours, et le site d'hameçonnage d'informations d'identification est souvent supprimé avant le lien initial d'Adobe.

SharePoint

En raison de l'extrême popularité des services et produits Microsoft dans les environnements de travail et à la maison, SharePoint est une option extrêmement populaire pour les acteurs de la menace. Étant donné que les produits tels que SharePoint sont très répandus dans les environnements de travail, la plupart des SEG autorisent ces courriels à entrer dans les boîtes de réception des utilisateurs. De nombreux acteurs de la menace se font même passer pour un collègue ou une autre entreprise pour inciter les utilisateurs à cliquer sur le lien SharePoint qui mène au domaine d'hameçonnage malveillant.

En 2024, SharePoint a été à l'origine de 17 % de tous les hameçonnages d'informations d'identification utilisant des services d'hébergement de documents en ligne. Bien que Microsoft tente de supprimer ces comptes, la page de renvoi après SharePoint est souvent supprimée avant le compte Microsoft proprement dit.

Canva

Canva, bien que son nom ne soit pas aussi courant que ceux mentionnés précédemment, est un autre site d'hébergement de PDF très populaire. L'aspect unique de Canva est que les médias numériques peuvent être affichés dans plusieurs formats, tels que des graphiques pour les médias sociaux, des documents et des PowerPoint, pour n'en citer que quelques-uns.

Cependant, Canva est légèrement moins populaire parmi les acteurs de la menace, avec un peu moins de 9 % de tous les services d'hébergement de documents en ligne victimes d'abus en 2024. Cependant, Canva a rapidement retiré les PDF lorsque des contenus malveillants ont été signalés.

Dropbox

Dropbox est l'un des sites web d'hébergement de fichiers les plus populaires, ce qui incite les auteurs de menaces à tenter d'abuser du site web. Dropbox est utilisé aussi bien par les particuliers que par les entreprises, c'est pourquoi les SEG ne bloquent souvent pas ces liens.

Dropbox a été le service d'hébergement de documents en ligne le plus utilisé en 2024, représentant 25,5 % de tous les services d'hébergement de documents en ligne ayant fait l'objet d'abus. Bien que Dropbox tente de supprimer les fichiers malveillants, cela peut prendre des jours en raison de l'extrême popularité de Dropbox et de la grande quantité de contenu à examiner.

Zoho

Zoho, bien que le moins populaire de cette liste, reste un site web d'hébergement de fichiers extrêmement populaire. Avec à peine 4 % de l'ensemble des services d'hébergement de documents en ligne exploités en 2024, Zoho reste très présent dans certaines régions. Zoho a notamment connu un pic important en décembre 2024, avec près de 33% de tous les abus de Zoho en 2024. Ce nombre élevé d'abus s'est maintenu jusqu'au début de l'année 2025.

Cela pourrait être dû au fait que les acteurs de la menace échangent des notes sur les sites web légitimes qui passent par les SEG, et comme Zoho n'est pas un site d'hébergement de fichiers courant comparé aux sites mentionnés précédemment, de nombreux acteurs de la menace n'ont peut-être pas pensé à utiliser Zoho jusqu'à récemment. Zoho a également été critiqué par le passé en ce qui concerne les retraits d'informations d'identification par phishing, le public se plaignant du temps qu'il faut à Zoho pour mettre fin à ces campagnes.


À propos de Cofense

Cofense sécurise les systèmes de messagerie des entreprises grâce à une combinaison de formations de sensibilisation à la sécurité et de solutions de détection et de réponse aux menaces, à la pointe de l'industrie. Cofense est une société de sécurité de la messagerie électronique capable de détecter et d'arrêter les menaces qui échappent à tous les autres contrôles standard de la messagerie électronique.

Source : Cofense

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les erreurs humaines restent à l'origine de nombreuses violations de données : 68 % des violations impliquent une action humaine non malveillante, comme être victime d'une attaque d'ingénierie sociale

86 % des employés pensent pouvoir identifier avec certitude les courriels de phishing, mais près de la moitié d'entre eux sont tombés dans le piège

L'IA va accroître le nombre et l'impact des cyberattaques : Les ransomwares étant susceptibles d'en être les plus grands bénéficiaires au cours des deux prochaines années