Phishing classique ? Imagine : tu reçois un mail pro avec une pièce jointe nommée “23mb – PDF- 6 pages.svg”. Tu penses “bizarre mais bon, c’est un PDF”, tu l’ouvres… et ton aperçu Outlook exécute du JavaScript planqué dans une “image”.
Bienvenue en 2025, où les attaquants utilisent l’IA pour écrire du code obfusqué… qui ressemble plus à un PowerPoint de consultant qu’à un script malveillant.
📌 Résumé exécutif (pour dirigeants pressés)
- Le problème : une campagne de phishing récente a caché du JavaScript malveillant dans des fichiers SVGprésentés comme des PDF.
- La nouveauté : le code est “obfusqué” avec du jargon corporate généré par IA → dur à lire, mais facile à cramer par des IA défensives.
- Le risque : vol d’identifiants, contournement de la vigilance utilisateurs (même sans clic), compromission interne via comptes mail.
- La solution :
- Bloquer ou transformer automatiquement les SVG.
- Activer des protections dynamiques (Safe Links, purge auto).
- Imposer un MFA résistant au phishing (FIDO2).
- Sensibiliser les équipes : “si ça ressemble à un PDF mais que ça finit par .svg → danger”.
👉 Message clé : on ne gagne pas cette bataille avec des signatures statiques, mais avec corrélation multi-signal et MFA.
📐 Petit rappel technique
Un SVG, c’est du XML avec :
- des balises
<script>pour exécuter du JavaScript, - des attributs
onloadouhref, - des redirections.
👉 Traduction : une image qui peut se transformer en cheval de Troie.
🎭 L’astuce des attaquants
- Code rempli de mots business (revenue, KPI, dashboard).
- Variables verbeuses, commentaires génériques, architecture trop “propre”.
- Un mail auto-adressé (cibles en CCI) depuis un compte compromis.
➡️ Le tout déjoue l’œil non averti, mais trahit une génération IA.
🤖 L’IA, arme à double tranchant
- Avantage attaquant : production rapide de code et obfuscation crédible.
- Avantage défenseur : IA défensive détecte les patterns artificiels (sur-verbeux, trop modulaires).
- Bilan : les SOC modernes gagnent parce qu’ils corrèlent signaux (infra, comportement, message).
💥 Les vraies douleurs pour les DSI
- Aperçu mail = surface d’attaque. Pas besoin de clic.
- SVG = zone grise. Beaucoup d’outils le traitent comme image inoffensive.
- Confiance interne exploitée. Compte compromis + CCI cachés → crédibilité maximale.
🛡️ Les contre-mesures
- Filtrage SVG : bloquer ou convertir en PNG.
- Safe Links + Zero-Hour Auto Purge.
- MFA phishing-resistant (FIDO2, YubiKey, etc.).
- Corrélation SIEM/EDR : redirections, domaines jetables, CCI massifs.
- Sensibilisation ciblée : détection des noms suspects (pdf.svg), vigilance sur CAPTCHA inattendus.
🧰 Encadré technique SOC – Checklist rapide
👉 À vérifier dans un SVG suspect :
- Présence de balises
<script>ou d’événements (onload,onclick). - Attributs
xlink:hrefpointant vers des URLs externes. - Variables textuelles abusivement “business” (finance, KPI, compliance).
- Redirections JavaScript (
window.location,eval,atob). - Noms de variables trop longs / verbeux ou avec suffixes hexadécimaux.
- Domaines ou sous-domaines fraîchement créés dans les URLs embarquées.
👉 Bon réflexe : sandboxer tout SVG inconnu comme un script, pas comme une image.
🔗 Pour aller plus loin
🧰 Techniques utilisées et tendances relevées
Au-delà de cette campagne précise, plusieurs analyses montrent que ce cas s’inscrit dans des tendances plus larges du phishing moderne :
| Technique / tendance | Explication / exemples |
|---|---|
| Abus de fichiers “image” (SVG) | Les fichiers SVG, bien que perçus comme des images, sont du XML & permettent d’inclure des scripts. Cela en fait un vecteur intéressant pour les attaquants. |
| Obfuscation par métadonnées ou “voile” sémantique | Plutôt que de chiffrer ou masquer le code par des techniques cryptographiques, ici on dissimule la logique sous des mots “neutres” et invisibles, pour embrouiller un analyste. |
| Automatisation / génération par IA | Le code et l’obfuscation semblent “sur-générés” — trop verbeux, trop modulaire — ce qui laisse penser à l’usage d’un modèle de langage. |
| Redirections multi-étapes & faux CAPTCHA | Le SVG, une fois ouvert, redirigeait l’utilisateur vers une page demandant un CAPTCHA, puis probablement vers une page de saisie de crédentials. Microsoft |
| Rotation d’infrastructures & domaines éphémères | Les infrastructures (domaines hébergeant les pages de phishing) sont souvent temporaires, changeantes, pour réduire la traçabilité. |
| Usage de signaux non statiques pour la détection | Les protections ne se contentent pas d’examiner le fichier (statique), mais aussi le comportement (ex. redirection, requêtes), les métadonnées du message, l’infrastructure (domaine, hébergement), etc. |
🛡️ Quelles faiblesses et quelles mitigations ?
Même si cette attaque est avancée, elle n’est pas “inarrêtable” — les chercheurs identifient des faiblesses et proposent des défenses :
Faiblesses / défis pour l’attaquant :
- L’usage d’IA génère parfois des “artefacts” reconnaissables (noms verbeux, modularité excessive) qui peuvent devenir des marqueurs de détection.
- Le fait d’inclure de l’obfuscation, des redirections, etc., rend l’attaque plus complexe et donc plus fragile.
- L’infrastructure doit être manipulée soigneusement (rotation, crédibilité du domaine, etc.).
Défenses et mitigations recommandées :
- Filtrage des pièces jointes SVG / inspection approfondie
Traitez chaque SVG reçu comme du code potentiel — désactivez ou neutralisez les scripts dans les SVG, ou rejetez les SVGs avec contenu scripté. - Protection “safe links / rewriting de liens au clic”
Cela permet d’évaluer les URLs au moment où l’utilisateur clique, plutôt qu’au moment de la réception. Microsoft le recommande dans ce cas précis. Microsoft - Purge d’auto-amélioration (Zero-Hour Auto Purge)
Si un mail déjà délivré est identifié comme malveillant après coup, pouvoir le purger rétroactivement est essentiel. - Authentification résistante au phishing
Par exemple, l’authentification via clés de sécurité physiques (FIDO2), les méthodes multifacteurs renforcées, etc. réduisent la valeur d’une tentative de vol de mot de passe. - Surveillance et détection comportementale
Examiner les modèles de redirection, les comportements de script, les requêtes réseau suspectes ; corréler les indices d’infrastructure (domaines, hébergeurs) avec le contenu. - Formation des utilisateurs et sensibilisation
Même les protections techniques ont des limites : informer les utilisateurs sur les signaux d’alerte (pièces jointes inhabituelles, extension double, incitation à l’action rapide, CAPTCHA inattendu, etc.) reste critique. - Politiques email robustes (SPF, DKIM, DMARC)
Une bonne configuration de ces protocoles rend plus difficile pour un attaquant de falsifier l’adresse de l’expéditeur.
😏 Conclusion
Les attaquants se sont dit : “Et si on faisait passer notre code malveillant pour un business plan ?”
Résultat : l’IA leur a fourni une obfuscation crédible… mais aussi une signature caricaturale.
👉 Ce n’est pas IA contre IA : c’est attaque opportuniste contre défense corrélée.
Et si ton SI laisse encore passer des SVG exécutables en 2025… tu joues avec des allumettes dans une station-service.
