E-mail bombing et vishing : la double tactique qui facilite les intrusions en 2025

L’e-mail bombing, terme évoqué dès 1996 par l’Office de la langue française du Québec sous le nom de  » bombarderie « , consiste à inonder une victime de courriels pour saturer sa boîte de réception. Ce débordement rend moins visibles les alertes de sécurité au moment où l’attaque principale est déclenchée.

Un ancien procédé, une nouvelle efficacité

Le procédé n’est pas nouveau, mais le rapport annuel de Microsoft sur l’état de la cybermenace, publié le 17 octobre, souligne qu’en 2025 l’e-mail bombing reste l’une des attaques les plus efficaces. Son intérêt pour les attaquants tient désormais à son rôle de  » écran de fumée  » : il prépare le terrain à une seconde attaque d’ingénierie sociale, souvent beaucoup plus ciblée et dommageable.

Évolution des méthodes

Autrefois, l’e-mail bombing reposait principalement sur l’envoi massif de messages depuis une ou plusieurs boîtes mail. Les limitations imposées par les fournisseurs de messagerie (Gmail, Microsoft 365, etc.) sur le nombre d’envois ont toutefois réduit l’efficacité de cette méthode brute.

Pour contourner ces restrictions, les attaquants se servent désormais d’inscriptions massives : avec une simple adresse e-mail, ils enregistrent la cible à des centaines voire des milliers de newsletters, campagnes marketing ou services en ligne. Le résultat – une boîte saturée – est le même, mais obtenu autrement.

Phase 2 : vishing et usurpation du support informatique

Une fois la boîte encombrée, la deuxième phase commence souvent par du vishing (phishing vocal) ou des sollicitations via des plateformes professionnelles comme Microsoft Teams. Les assaillants contactent la victime en se faisant passer pour le support informatique et proposent de  » résoudre le problème « . Après avoir gagné la confiance de la personne, ils la guident vers l’installation d’outils d’accès à distance, obtenant ainsi un contrôle direct du poste, la possibilité de déployer des malwares et d’établir un accès persistant.

Des incidents récents

Ces techniques ont marqué l’actualité cyber. Une vaste campagne de vol de données utilisant comme leurre la plateforme Salesforce a notamment touché de nombreuses entreprises, dont Google, qui avait toutefois repéré l’attaque.

Recommandations (extrait du rapport Microsoft)

• Alerter les équipes de sécurité en cas d’inondation de courriels.
• Restreindre la communication avec des locataires externes et surveiller les tentatives d’usurpation d’identité.
• Former et informer les employés sur les escroqueries se faisant passer pour l’assistance informatique.
• Limiter l’utilisation des outils de gestion à distance.

Que retenir?

L’e-mail bombing n’est plus seulement une nuisance : il sert de leurre pour des attaques d’ingénierie sociale plus sophistiquées. La combinaison d’une saturation des boîtes et d’appels ou messages usurpés vers le support informatique rend les entreprises et les particuliers vulnérables. La prévention repose autant sur des mesures techniques que sur la vigilance et la formation des utilisateurs.