La neutralisation de cyberattaque du mois : L'avalanche dans la boîte de réception, ou comment l'envoi en masse de messages d'abonnement dissimule la véritable attaque

La série « La neutralisation de cyberattaque du mois » s'intéresse aux tactiques en perpétuelle évolution des cybercriminels et à la façon dont Proofpoint aide les entreprises à renforcer leurs défenses pour protéger leurs collaborateurs contre les menaces émergentes.   

Imaginez que vous consultiez votre boîte de réception un jour et que vous y trouviez 1 500 nouveaux emails. Il ne s'agit pas de messages de spam standard, ni de liens de phishing malveillants. Ce sont des confirmations légitimes d'inscription à des newsletters provenant d'entreprises réelles, telles qu'une boulangerie en France, un blog technologique au Japon ou un magasin de meubles aux États-Unis. 

Vous n'êtes pas devenu populaire du jour au lendemain : vous êtes victime d'une attaque d'envoi en masse de messages d'abonnement. Et pendant que vous supprimez frénétiquement des milliers d'emails indésirables pour libérer votre boîte de réception, vous ratez une notification critique, noyée dans le flot : une alerte « mot de passe modifié » ou un message « virement bancaire en cours d'exécution » de votre banque. 

Ce flot de messages n'est pas simplement du spam gênant, mais une forme sophistiquée et remise au goût du jour de l'attaque de déni de service (DoS)qui gagne rapidement en popularité en tant que vecteur de menace.  

En quoi consiste cette attaque ?  

Les attaques d'envoi en masse de messages d'abonnement (en anglais, subscription bombing) surviennent sous forme de rafales brèves et intenses de milliers d'emails. Une telle attaque envoie plus de 1 500 messages par heure, dans le but de submerger la victime et de rendre sa boîte de réception entièrement inutilisable en quelques minutes. Bien qu'elle se présente comme une simple entrave à la productivité, son véritable objectif est de détourner l'attention de la victime d'autres types d'activités malveillantes.  

Par exemple, une tentative de prise de contrôle de compte, comme la réinitialisation d'un mot de passe et le blocage du compte d'un utilisateur. Ce type d'attaque peut aussi essayer de vous diriger vers un autre canal de communication, comme Teams ou Slack.  

Le scénario : une avalanche de messages 

Voici deux exemples d'incidents illustrant le scénario de ces attaques. 

Alerte pour le secteur de la santé (HC3) 

Le HC3 (Health Sector Cybersecurity Coordination Center) a émis une alerte sectorielle spécifique avertissant les prestataires de services de santé et les organisations de santé publique de l'emploi du bombardement d'emails dans le cadre de cyberattaques les prenant pour cibles. L'alerte explique que ces attaques peuvent dégrader les performances réseau et potentiellement entraîner des interruptions de l'activité, exhortant les entités concernées à mettre en place des systèmes de vérification robustes. 

Un rideau de fumée pour les attaques d'ingénierie sociale de Black Basta 

Une étude menée par Hornetsecurity a révélé que le tristement célèbre groupe de ransomware Black Basta exploite activement l'envoi en masse de messages d'abonnement. Lors de ses campagnes, il inonde les boîtes de réception afin de semer la panique et la confusion. Pendant que l'utilisateur visé est distrait, les cybercriminels le contactent via Microsoft Team en se faisant passer pour le support informatique afin de l'aider à « résoudre le problème de spam ». Ensuite, ils incitent l'utilisateur à télécharger des outils d'accès à distance comme AnyDesk ou Quick Assist pour compromettre le réseau. 

La menace : un rideau de fumée pour la fraude 

L'envoi en masse de messages d'abonnement n'est que rarement l'objectif ultime d'une attaque. C'est une technique de diversion. Les attaquants l'utilisent pour paralyser votre capacité à communiquer et pour dissimuler les preuves d'une compromission de compte. 

Contrairement aux attaques traditionnelles qui reposent sur des charges virales (comme des URL malveillantes ou des malwares), ces attaques instrumentalisent des outils d'automatisation marketing légitimes. Les cybercriminels utilisent des robots automatisés pour parcourir le Web à la recherche de formulaires d'inscription de newsletter non sécurisés (ceux qui ne comportent pas de CAPTCHA). Ils saisissent ensuite l'adresse email de la victime dans des milliers de ces formulaires simultanément. 

Comme les emails proviennent de domaines légitimes, tels que Mailchimp, HubSpot et de véritables entreprises, ils disposent d'une authentification valide (SPF/DKIM). Ils contournent ainsi les filtres antispam traditionnels qui s'appuient sur un système de notation de réputation. Pour les anciennes passerelles de sécurité email, l'opération ressemble à celle d'un utilisateur qui s'est inscrit à de nombreuses newsletters. 

Comment Proofpoint Nexus bloque l'envoi en masse de messages d'abonnement 

Alors que les filtres standards échouent parce que les emails de cette attaque sont techniquement sûrs, notre pile de détection alimentée par l'IA et Proofpoint Nexus® parviennent à détecter ces attaques en analysant l'intention et la fréquence des emails entrants. 

La technologie Nexus emploie un ensemble de moteurs d'IA qui collaborent pour identifier et bloquer ces attaques en temps réel, garantissant ainsi que les emails légitimes continuent de circuler tandis que la « bombe » est neutralisée. 

Voici comment les différents moteurs Nexus collaborent pour identifier et bloquer une attaque par envoi en masse d'emails : 

• Nexus LM™ (Language Model). Ce moteur analyse les schémas linguistiques dans les messages. Il recherche plus particulièrement une forte concentration d'expressions telles que « bienvenue » ou « merci de votre inscription » ainsi que des marqueurs d'identification, courants dans les confirmations automatiques. 
• Nexus RG™ (Relationship Graph). En connaissant le comportement habituel de vos utilisateurs, le moteur Nexus RG identifie les anomalies dans le volume et la vitesse des messages. Il reconnaît instantanément qu'un afflux soudain de 500 emails en quelques secondes provenant d'expéditeurs inconnus jusqu'alors constitue un écart par rapport à l'activité normale de l'utilisateur. 
• Nexus ML™ (Machine Learning). Lorsque ces signaux convergent, le moteur Nexus ML active le mode de protection contre les envois en masse. Cette action classe automatiquement l'afflux d'emails comme des messages de masse à faible priorité et les redirige hors de la boîte de réception de l'utilisateur. L'attaque est ainsi neutralisée. Les boîtes de réception ne sont plus inutilement encombrées, ce qui permet de repérer les alertes critiques que l'attaquant tente de dissimuler. Et cela, sans perturber la productivité des utilisateurs. 

Tendances émergentes : le phénomène des envois en masse s'étend 

L'envoi en masse de messages d'abonnement s'inscrit dans une tendance plus large d'attaques de diversion à haut volume, un phénomène en plein essor. Nous constatons que les acteurs malveillants font évoluer ces tactiques vers d'autres canaux : 

• Envoi en masse de messages déclenchés par des formulaires. Semblables à l'envoi en masse de messages d'abonnement, ces attaques ciblent des formulaires transactionnels (comme les pages « Nous contacter » ou « Demande de devis »). Les victimes reçoivent des milliers de réponses automatiques de type « Merci de nous avoir contactés ». Les attaques sont souvent plus difficiles à bloquer, car il s'agit d'emails transactionnels qui ne nécessitent pas d'étape où il faut cliquer pour confirmer. 
• Envoi en masse de SMS. Ces attaques visent à abaisser la vigilance face aux messages de MFA. Pour ce faire, les cybercriminels inondent le terminal mobile de l'utilisateur de SMS ou de codes de double authentification. Cette technique est souvent utilisée pour créer un sentiment d'agacement qui pousse les victimes à accepter une demande de connexion frauduleuse simplement pour faire cesser les notifications, ou encore, pour masquer une attaque par échange de carte SIM. 

Se protéger du bruit créé par les attaques 

À une époque où les attaquants exploitent le trafic légitime pour dissimuler leurs méfaits, les entreprises ont besoin d'une défense qui prenne en compte le comportement, au-delà de la réputation. 

Proofpoint Nexus fait en sorte que, quelle que soit l'intensité du bruit généré par un attaquant, le signal reste clair : il en va de votre sécurité. En activant des défenses telles que le mode de protection contre les envois en masse, nous transformons une attaque par déni de service potentiellement paralysante en un événement sans conséquence, protégeant ainsi vos collaborateurs et préservant vos opérations. 

Pour en savoir plus sur la façon dont nous pouvons aider votre entreprise à protéger ses collaborateurs et ses données contre la prochaine génération de menaces optimisées par l'IA, planifiez une démonstration dès aujourd'hui.  

Contactez-nous pour en savoir plus sur la manière dont Prime Threat Protection peut vous aider à lutter contre l'envoi en masse de messages d'abonnement et d'autres risques de cybersécurité émergents.  

Découvrez notre série « La neutralisation de cyberattaque du mois »     

Pour en savoir plus sur la façon dont Proofpoint bloque les attaques avancées, consultez les autres articles de cette série :  

• Comment les cybercriminels instrumentalisent les assistants d'IA au moyen de l'injection d'invites indirectes (octobre 2025) 
• Attaques BEC ciblant des organismes publics aux États-Unis (août 2025) 
• Détection et neutralisation d'une prise de contrôle de comptes (juillet 2025)   
• Attaques de type adversary-in-the-middle qui ciblent Microsoft 365 (juin 2025)    
• Bloquer les attaques de phishing qui commencent par email et se poursuivent par SMS (mai 2025)     
• Comment les cybercriminels piègent leurs victimes avec des cryptos gratuites pour leur voler de l'argent et des identifiants de connexion (avril 2025)   
• Phishing d'identifiants de connexion ciblant votre sécurité financière (février 2025)   
• Un fournisseur d'électricité frôle la catastrophe à cause d'une attaque de phishing par signature électronique (janvier 2025)   
• Comment Proofpoint a bloqué une attaque de phishing Dropbox (décembre 2024)   
• Prévention du piratage de la messagerie de fournisseurs dans le secteur public (novembre 2024)   
• Quand SocGholish donne des sueurs froides au secteur de la santé (octobre 2024)   
• Prévention des escroqueries par usurpation d'identité de fournisseurs (septembre 2024)    
• Phishing d'identifiants de connexion ciblant les données de localisation des utilisateurs (août 2024)     
• Contrer les attaques du malware DarkGate sous le soleil (juillet 2024)     
• Attaques d'usurpation de l'identité de PDG (juin 2024)    
• Attaques d'usurpation de la chaîne logistique (mai 2024)    
• Déjouer les attaques par création d'applications malveillantes (avril 2024)     
• Détecter les attaques multicouches par code QR (mars 2024)    
• Prévenir les compromissions de la chaîne logistique (février 2024)   
• Manipulation de l'authentification multifacteur (janvier 2024)       
• Utiliser l'IA comportementale pour contrer le détournement de salaires (décembre 2023)      
• Déroulement des attaques par téléphone (novembre 2023)       
• Escroqueries et phishing par code QR (octobre 2023)      
• Prévenir le phishing par signature électronique (septembre 2023)    
• Détecter et analyser une attaque SocGholish (août 2023)    
• Se défendre contre le kit d'outils de phishing EvilProxy et la prise de contrôle de comptes cloud (juillet 2023)    
• Détecter les attaques BEC et de la chaîne logistique (juin 2023)