Phishing via formulaires ‘Contactez-nous’ : quand les confirmations automatiques deviennent une arme

Une nouvelle technique de phishing exploite les formulaires ‘Contactez-nous’ de sites web légitimes pour diffuser des e-mails frauduleux. Les équipes Threat Lab de KnowBe4 ont documenté une campagne observée depuis le 11 septembre 2025 qui trompe les protections e-mail classiques et touche aussi des organisations françaises.

Le mécanisme de l’attaque

Les cybercriminels profitent d’un procédé simple mais efficace :

• Ils créent un compte gratuit sur le domaine onmicrosoft, souvent utilisé par Microsoft 365, en usurpant l’identité d’une entreprise reconnue.
• Ils configurent une règle de transfert automatique pour que les e-mails entrants soient renvoyés vers une liste de victimes.
• Ils repèrent un formulaire ‘Contactez-nous’ sur un site officiel capable d’envoyer une confirmation automatique, par exemple un formulaire de prise de rendez-vous.
• Ils remplissent ce formulaire avec leur adresse onmicrosoft, un faux numéro de téléphone et un message alarmiste. La confirmation générée par le site est alors envoyée aux destinataires sélectionnés.

Le recours au domaine onmicrosoft permet d’envoyer un plus grand volume d’e-mails que les messageries gratuites classiques, ce qui facilite la mise à l’echelle de l’attaque.

Un exemple analysé

KnowBe4 cite l’exemple d’un formulaire de la Banque du Canada utilisé dans l’analyse. L’e-mail de confirmation reçu par les victimes semble provenir d’une source légitime : l’expéditeur et les liens pointent vers le véritable domaine de l’institution, et le message passe les contrôles d’authentification DMARC, contournant ainsi les filtres anti-phishing habituels.

Dans le scénario observé, le message annonce un transfert de 724,46 dollars via PayPal depuis le compte de la victime. Le montant est répété plusieurs fois dans le texte pour renforcer l’effroi et la crédibilité. Le pirate a inscrit son numéro frauduleux dans plusieurs champs du formulaire (téléphone, nom, message), si bien que le numéro apparaît à différents endroits dans l’e-mail de confirmation. Paniquée, la victime appelle souvent ce numéro et tombe directement sur le cybercriminel.

Pourquoi cette menace progresse

• L’attaque ne nécessite pas de piratage complexe : un accès Internet, un compte gratuit et une liste d’adresses électroniques suffisent.
• Les protections traditionnelles reposant sur l’authentification de l’expéditeur (DMARC, SPF, DKIM) sont contournées car le message provient réellement du service légitime qui a envoyé la confirmation.
• KnowBe4 note une hausse constante de ce type d’attaque depuis septembre 2025, visant en priorité les secteurs juridique, bancaire, de la santé et de l’assurance.

Recommandations

Les chercheurs et équipes de sécurité proposent plusieurs mesures pour réduire le risque :

• Adopter des technologies avancées intégrant intelligence artificielle et analyse du langage naturel pour détecter les manipulations psychologiques et les schémas atypiques.
• Appliquer une approche zero-trust pour le traitement des e-mails : examiner chaque message avec la même vigilance, même s’il provient d’une source réputée.
• Renforcer les formulaires web : limiter les données renvoyées dans les confirmations automatiques, filtrer ou anonymiser certains champs, et ajouter des protections anti-abus.
• Former régulièrement les collaborateurs afin qu’ils reconnaissent les signaux d’alerte et les procédures à suivre en cas de message suspect.

Face à l’essor de ces techniques, la combinaison de mesures techniques, organisationnelles et de sensibilisation reste la meilleure défense. L’humain demeure le premier rempart, mais il doit être soutenu par des outils adaptés à ce type de manipulation.