Comment fonctionne le phishing latéral
Le phishing classique arrive de l’extérieur : un domaine inconnu ou usurpé, une adresse qu’on ne reconnaît pas. Le phishing latéral est plus retors. L’email vient de l’intérieur de l’organisation, depuis le compte réel d’un collègue.
L’attaque se déroule en deux temps.
Phase 1 : la compromission initiale
L’attaquant doit d’abord prendre le contrôle d’un compte email interne. Les méthodes les plus courantes :
- Phishing externe : un employé clique sur un lien frauduleux et entre ses identifiants Microsoft 365 ou Google Workspace sur une fausse page de connexion
- Credential stuffing : l’attaquant teste des identifiants volés lors d’une fuite de données. Si l’employé utilise le même mot de passe pour LinkedIn et pour sa messagerie professionnelle, le compte tombe
- Mot de passe faible sans MFA : sans authentification multifacteur, un mot de passe deviné ou contenu dans un dictionnaire suffit
Cette première étape est souvent silencieuse. L’attaquant se connecte, explore la boîte email, repère l’organigramme, les projets en cours, le style de communication de la victime. Il ne modifie rien pour ne pas alerter le propriétaire du compte.
Phase 2 : la campagne interne
Une fois le compte sous contrôle, l’attaquant envoie des emails de phishing aux contacts internes de la victime. Plusieurs stratégies :
L’envoi ciblé : l’attaquant sélectionne des destinataires stratégiques (comptabilité, direction, IT) et rédige un message contextualisé. “Salut Pierre, tu peux jeter un œil à ce document ? C’est le budget révisé pour Q3.” Le lien mène vers une page de collecte d’identifiants.
L’envoi en masse : l’attaquant envoie un email à l’ensemble du carnet d’adresses. “Bonjour, veuillez mettre à jour vos identifiants via ce lien.” Moins subtil, mais efficace par le volume : sur 200 destinataires, il suffit que 5 cliquent.
La réponse à un fil existant : l’attaquant répond à une conversation réelle en cours et insère un lien ou une pièce jointe piégée dans la continuité de l’échange. C’est la variante la plus difficile à repérer.
Une étude de chercheurs de l’UC San Diego et de Barracuda Networks, publiée en 2019, a montré que le phishing latéral représentait 11 % de toutes les attaques par email dans les organisations étudiées, avec un taux de propagation dans au moins une autre organisation dans 42 % des cas.
Pourquoi le phishing latéral contourne toutes les défenses
Le phishing latéral neutralise les protections sur lesquelles les entreprises comptent habituellement.
L’authentification email est valide
Les protocoles SPF, DKIM et DMARC vérifient que l’email provient bien du domaine affiché. Dans le cas du phishing latéral, c’est bien le cas. L’email est envoyé depuis le vrai serveur de l’entreprise, avec la vraie signature DKIM du domaine. L’authentification passe sans problème — elle fait exactement son travail, mais elle ne protège pas contre un compte légitime qui a été détourné.
Les filtres anti-spam ne réagissent pas
Les passerelles de sécurité email (Secure Email Gateways) sont conçues pour filtrer le trafic entrant depuis l’extérieur. Un email envoyé entre deux boîtes du même domaine Microsoft 365 ou Google Workspace ne transite souvent même pas par ces filtres. Il circule en interne, invisible aux protections périmètriques.
La confiance humaine est maximale
Un email de phishing externe éveille une certaine méfiance — domaine inconnu, formulation générique, fautes d’orthographe. Un email de Marc de la comptabilité, qui vous écrit depuis son adresse habituelle au sujet d’un fichier que vous attendiez, ne déclenche aucun signal d’alarme. Le biais de confiance est total.
Comparaison : phishing externe vs latéral
| Critère | Phishing externe | Phishing latéral |
|---|---|---|
| Expéditeur | Adresse usurpée ou inconnue | Vrai compte interne |
| SPF/DKIM/DMARC | Souvent en échec | Valides |
| Filtres anti-spam | Détection possible | Souvent contournés |
| Confiance du destinataire | Faible à moyenne | Très élevée |
| Détection par l’utilisateur | Possible (indices visuels) | Difficile |
| Vecteur initial | Direct | Nécessite un compte compromis |
Exemples d’attaques par phishing latéral
Compromission en chaîne dans le secteur bancaire
En 2019, des chercheurs de Barracuda Networks ont documenté un cas où un seul compte email compromis dans une banque régionale américaine a servi à envoyer des emails de phishing à plus de 22 000 destinataires internes et externes en moins de 7 jours. Le premier email invitait les destinataires à consulter un “document partagé” via un lien OneDrive falsifié. Chaque nouveau compte compromis devenait à son tour une source de phishing, créant un effet boule de neige.
Universités américaines
La même étude a relevé que les universités étaient particulièrement touchées : les environnements avec des milliers de comptes étudiants, peu de MFA déployé et une culture de partage de documents par lien créent un terrain favorable. Un seul compte étudiant compromis suffisait à lancer une campagne interne touchant des centaines de membres du personnel administratif.
Attaques BEC amplifiées par le phishing latéral
Le phishing latéral sert souvent de marchepied pour une fraude au président (BEC). L’attaquant compromet d’abord le compte d’un employé quelconque par phishing externe. Depuis ce compte, il lance un phishing latéral ciblant le DAF ou la comptabilité. Le mail interne a bien plus de chances d’aboutir qu’un email externe imitant un fournisseur.
Détecter le phishing latéral
La détection du phishing latéral exige de surveiller le trafic email interne, pas seulement le trafic entrant.
Règles de détection dans le SIEM
Un SIEM bien configuré peut détecter des anomalies qui signalent une compromission de compte suivie d’un phishing latéral :
Anomalie de connexion avant envoi en masse : un compte se connecte depuis une adresse IP inconnue (nouveau pays, VPN commercial) puis envoie un nombre inhabituellement élevé de messages dans l’heure qui suit. Ce couple d’événements — connexion anormale + activité d’envoi anormale — est un signal fort.
Volume d’envoi inhabituel : un employé qui envoie habituellement 15 emails par jour en envoie soudainement 200. Le volume anormal, même sans autre indicateur, mérite une investigation.
Création de règles de transfert : l’attaquant crée souvent une règle de transfert automatique (forwarding rule) pour surveiller les réponses à ses emails de phishing ou pour exfiltrer des données. La création d’une nouvelle règle de transfert vers un domaine externe est un indicateur de compromission.
Liens inhabituels dans les emails internes : un employé qui n’envoie jamais de liens Google Drive commence à en insérer dans tous ses messages. L’analyse du contenu des emails internes (URL, pièces jointes) permet d’identifier des patterns anormaux.
Analyse comportementale des boîtes email
Les solutions de protection email de nouvelle génération (Abnormal Security, Proofpoint Internal Mail Defense, Microsoft Defender for Office 365) analysent le comportement normal de chaque boîte email et détectent les écarts :
- Changement de ton ou de style rédactionnel
- Envoi à des destinataires avec lesquels le compte n’échange jamais
- Pièces jointes inhabituelles pour ce type de compte
- Activité en dehors des horaires habituels de l’utilisateur
Prévenir le phishing latéral
1. MFA sur tous les comptes, sans exception
Le MFA est la première barrière. Si l’attaquant ne peut pas se connecter au compte email, il n’y a pas de phishing latéral. Selon Microsoft, l’activation du MFA bloque 99,9 % des attaques automatisées sur les comptes.
Priorités :
- Tous les comptes Microsoft 365 / Google Workspace — pas seulement les dirigeants
- MFA résistant au phishing (clés FIDO2, passkeys) pour les comptes à hauts privilèges
- Désactiver les protocoles legacy (IMAP, POP3, SMTP basique) qui ne supportent pas le MFA
2. Surveillance des emails internes
La plupart des entreprises surveillent le trafic email entrant mais ignorent le trafic interne. Or c’est précisément le vecteur du phishing latéral.
Mesures concrètes :
- Activer le journal d’audit complet sur Microsoft 365 ou Google Workspace
- Configurer des alertes sur les envois en masse depuis un compte individuel
- Monitorer la création de règles de transfert email (forwarding rules)
- Déployer une solution de protection qui analyse aussi le trafic interne
3. Architecture Zero Trust
Le Zero Trust limite les dégâts d’un compte compromis. Même si l’attaquant prend le contrôle d’un compte email, les principes du moindre privilège et de la micro-segmentation empêchent l’accès à d’autres ressources.
Applications concrètes :
- Accès conditionnel : bloquer la connexion si l’appareil n’est pas conforme ou si la localisation est inhabituelle
- Moindre privilège : un compte comptable n’a pas accès aux partages du service IT
- Segmentation : les identifiants email ne donnent pas automatiquement accès au VPN, au CRM ou aux serveurs
4. Sensibilisation aux menaces internes
Les programmes de sensibilisation au phishing se concentrent sur les emails externes : “Méfiez-vous des adresses inconnues.” C’est nécessaire mais insuffisant. Les employés doivent comprendre que le phishing peut aussi venir d’un collègue dont le compte a été piraté.
Points à intégrer dans les formations :
- Un email suspect peut venir de n’importe qui, y compris un collègue connu
- Un lien inhabituel dans un email interne mérite la même vérification qu’un lien externe
- En cas de doute, contacter l’expéditeur par un autre canal (téléphone, Teams, en personne) avant de cliquer
- Signaler les emails internes suspects avec le même réflexe que pour les emails externes
5. Réponse rapide à la compromission
Quand un compte est compromis, la vitesse de réaction détermine l’ampleur des dégâts. L’attaquant a en moyenne 16 heures entre la compromission d’un compte et le lancement de la campagne de phishing latéral (Barracuda Networks, 2019). Ce délai est la fenêtre d’action.
Procédure de réponse :
- Révoquer les sessions actives et forcer le changement de mot de passe
- Supprimer les règles de transfert créées par l’attaquant
- Examiner les messages envoyés depuis le compte pendant la période de compromission
- Notifier les destinataires des emails de phishing envoyés depuis le compte compromis
- Investiguer la méthode de compromission initiale pour éviter la récidive
Vérifiez la configuration email de votre domaine avec notre vérificateur de sécurité email. Un SPF, DKIM et DMARC bien configurés ne bloquent pas le phishing latéral, mais ils empêchent l’usurpation de votre domaine — la première étape qui mène souvent à la compromission initiale.
Questions fréquentes
C'est quoi le phishing latéral ?
Le phishing latéral est une attaque dans laquelle un pirate prend le contrôle d'un compte email interne (celui d'un collègue) et l'utilise pour envoyer des emails de phishing aux autres employés de la même organisation. Le destinataire reçoit un message qui provient d'une vraie adresse connue, ce qui rend la tentative bien plus difficile à repérer qu'un phishing externe classique.
Pourquoi le phishing latéral est-il si dangereux ?
Parce que le message provient d'une adresse email interne légitime. Les authentifications SPF, DKIM et DMARC sont valides puisque le domaine est le bon. Les filtres anti-spam et passerelles de sécurité email ne bloquent pas le message. Et le destinataire fait confiance à l'expéditeur, puisqu'il s'agit d'un collègue connu.
Comment détecter le phishing latéral ?
La détection repose sur l'analyse comportementale : envoi inhabituel de messages en masse, connexion depuis une nouvelle localisation juste avant l'envoi, contenu atypique pour l'expéditeur (liens inhabituels, pièces jointes suspectes), horaires d'envoi anormaux. Un SIEM avec des règles de détection d'anomalies sur l'activité des boîtes email internes est la meilleure approche technique.
Comment se protéger contre le phishing latéral ?
Quatre axes : activer le MFA sur tous les comptes pour empêcher la compromission initiale, déployer une surveillance des emails internes (pas seulement entrants), appliquer une architecture Zero Trust qui limite les dégâts d'un compte compromis, et former les équipes à identifier les menaces qui viennent aussi de l'intérieur.
Comment le phishing latéral commence-t-il ?
L'attaque commence par la compromission d'un premier compte email, le plus souvent par phishing externe classique, credential stuffing (test d'identifiants volés) ou exploitation d'un mot de passe faible sans MFA. Une fois ce compte sous contrôle, l'attaquant l'utilise comme rampe de lancement pour cibler les contacts internes de la victime.