Les escroqueries informatiques qui exploitent le nom de services publics numériques connaissent une phase de forte croissance et en 2025 le phénomène a pris de nouvelles caractéristiques, plus raffinées et moins reconnaissables au premier coup d’œil, du moins pour les utilisateurs les moins avisés. Cette photographie a été « prise » par le nouveau rapport sur les campagnes malveillantes analysé en 2025, publié par CERT-AgIDqui montre comment les cybercriminels concentrent leurs efforts sur les outils d’usage quotidien des citoyens et des entreprises, en tirant parti de la confiance que nous accordons aux communications institutionnelles. En particulier, deux vecteurs émergent qui méritent attention : fausses demandes de paiement qui rappellent PagoPA et l’utilisation inappropriée du PEC. Il ne s’agit pas d’une explosion soudaine et chaotique, mais du résultat d’une évolution progressive des techniques de phishing et de diffusion de malwares, de plus en plus ciblées et technologiquement matures.
Au cours de l’année, davantage de personnes ont été enregistrées 3 620 campagnes malveillantes et plus que 51 500 indicateurs de compromission (traces techniques utiles à la reconnaissance d’une attaque) qui ont été partagées avec les administrations concernées. Le tableau qui se dessine nous dit qu’il ne suffit plus de se méfier des emails mal rédigés ou des liens suspects : aujourd’hui les arnaques imitent les canaux officiels avec une précision graphique et linguistique et utilisent même des outils perçus comme « sécurisés » par définition (comme le Courrier Electronique Certifié).
Le piège des fausses relances de paiement
Dans le détail, 2025 marque la première diffusion à grande échelle de campagnes de phishing qui abusent du nom PagoPA. Dans plus de 300 cas documentés, les victimes ont reçu des courriels simulant des rappels de paiement pour des amendes de circulation présumées impayées. Le mécanisme est toujours le même : le message vous invite à régulariser rapidement la position et renvoie à une page web qui reproduit impeccablement l’apparence des portails officiels. Ici, des données personnelles et des détails de carte de paiement sont demandés, qui finissent directement entre les mains des attaquants. Le succès de cet appât est lié à la familiarité croissante des paiements numériques envers l’Administration Publique et à la pression psychologique exercée par des termes tels que « amende » ou « délai imminent ».
Le recours de plus en plus massif au PEC
Parallèlement, une nette augmentation de l’utilisation de PEC comme canal d’attaqueavec une augmentation proche de80% par rapport à l’année précédente. PEC est un système de messagerie qui garantit l’identité de l’expéditeur et la validité juridique de la communication, et c’est précisément cette aura de fiabilité qui le rend attrayant pour les criminels. Les campagnes étudiées utilisent à la fois des boîtes aux lettres légitimes compromises et des adresses créées spécifiquement puis abandonnées. Il y a deux objectifs : le hameçonnagesouvent destiné au vol d’identifiants bancaires et à la distribution de logiciels malveillants tels que Chargeur de menthesun programme conçu pour télécharger des composants malveillants supplémentaires sur l’ordinateur de la victime.
Toutefois, du côté des chaînes, c’est le email ordinaire rester le moyen le plus utilisé par les criminels. Le fracassantc’est-à-dire les tentatives de phishing par SMS, est une technique globalement moins utilisée que l’année précédente, mais qui est de plus en plus utilisée pour amener les utilisateurs à installer sans le savoir des logiciels malveillants, notamment sur les appareils Android. Dans ces cas, le message contient un lien qui mène au téléchargement d’un fichier APKle format de fichier utilisé pour distribuer et installer des applications sur Android, présenté parfois comme une mise à jour urgente d’une application bancaire. L’installation donne à l’attaquant l’accès à des données sensibles et parfois le contrôle total du téléphone.
L’évolution de l’ingénierie sociale
Un autre élément pertinent concerne laévolution des techniques d’ingénierie sociale. En 2025, ce qu’on appelle s’est répandu Cliquez sur Fixune stratégie qui incite l’utilisateur à exécuter manuellement des commandes sur son système en suivant des instructions apparemment légitimes, parfois déguisées en ce qui semble être un CAPTCHA inoffensif. L’exécution « volontaire » de ces commandes permet de contourner divers contrôles de sécurité automatiques et de lancer le téléchargement de codes malveillants sans exploiter de vulnérabilités techniques.
Le domaine des infostealers
Du point de vue des logiciels malveillants, ils continuent de dominer voleur d’informationsprogrammes conçus pour voler des informations telles que des mots de passe, des cookies de session et des documents. Leur diffusion se fait souvent via des archives compressées, ce qui réduit les chances d’interception préventive. FormulaireLivre, Remcos Et AgentTesla elles font partie des familles les plus observées, insérées dans des chaînes d’infection à plusieurs étapes qui combinent ingénierie sociale, chargeurs et composants intermédiaires.
L’omniprésence de l’IA
Un facteur qui se retrouve dans de nombreuses campagnes est leutilisation croissante de l’intelligence artificielle. La capacité à générer des messages crédibles, bien rédigés et adaptés au contexte, réduisant l’efficacité des filtres basés sur des erreurs formelles, est l’un des aspects les plus intéressants relevés par les chercheurs. Dans certains cas, notamment ceux impliquant l’utilisation de ransomwares, l’IA est même exploitée comme outil d’extorsion, car des acteurs malveillants menacent de réutiliser les données volées pour la formation de modèles.
Comment se défendre contre les menaces en ligne en 2026
Face à toutes ces cybermenaces, il faut rester lucide et apprenez à vous défendre. Vous pouvez le faire à partir de ces cinq points.
- Vérifiez toujours les chaînes officielles : en cas de demandes de paiement, accédez manuellement aux services numériques de l’AP en écrivant l’adresse dans le navigateur ou en utilisant des applications et portails officiels tels que PagoPA, sans cliquer sur les liens reçus par e-mail ou SMS.
- Ne faites pas confiance à toutes les communications reçues via PEC : même les messages reçus via Certified Email peuvent être frauduleux si le compte de l’expéditeur a été compromis ; Les pièces jointes et les liens inattendus doivent être traités avec la même prudence que le courrier ordinaire.
- Méfiez-vous des urgences et des pressions psychologiques : des termes tels que « délai imminent », « amende » ou « blocage de service » devraient vous faire soupçonner que la communication pourrait représenter un éventuel vecteur d’attaque.
- N’installez pas de logiciels provenant de sources externes : évitez les fichiers APK téléchargés via des liens et installez uniquement des applications provenant de magasins officiels, tels que le Google Play Store ou l’Apple App Store.
- N’oubliez pas qu’aucune institution ne demande d’identifiants par SMS, e-mail, etc. : si vous pensez qu’une communication peut être légitime, essayez de contacter le service client de l’institution et demandez des éclaircissements à ce sujet.