L’e-mail bombing n’a rien de nouveau. En 1996 déjà, l’Office de la langue française du Québec proposait le terme de bombarderie pour faire mention de ce type de cyberattaque.
Le procédé est simple : inonder la victime de mails pour saturer l’espace de sa boite de réception et ainsi invisibiliser les alertes de sécurité une fois l’attaque lancée.
Rien de nouveau à l’horizon donc, mais le rapport annuel sur l’état de la cybermenace de Microsoft, publié le 17 octobre, indique pourtant que cette attaque est l’une des plus efficaces en 2025.
Pour être plus précis, l’e-mail bombing est devenu l’écran de fumée idéal pour entamer une autre cyberattaque d’ingénierie sociale particulièrement fourbe.
Newsletters et vishing
Pendant des années, l’e-mail bombing s’est principalement appuyé sur l’envoi massif de messages depuis une ou plusieurs boîtes mail. Un procédé qui ne s’est pas révélé optimal pour les cybercriminels, la plupart des services de messagerie comme Gmail ou Microsoft 365 ayant imposé des limites quotidiennes ou horaires sur le nombre d’e-mails qu’un utilisateur peut expédier, afin de contrer les abus.
Pour contourner ces restrictions, une autre technique a émergé : l’inscription en masse sur des newsletters, campagnes marketing ou services en ligne. Il suffit à l’assaillant de disposer de l’adresse mail de la cible pour l’enregistrer à des centaines, voire des milliers, d’abonnements.
Pour les cybercriminels de 2025, le résultat reste le même. Mais désormais, une fois la boîte de réception saturée, les attaquants lancent la deuxième phase du stratagème, à savoir une campagne de phishing téléphonique (vishing) ou via des plateformes professionnelles comme Microsoft Teams.
Ils contactent alors la cible en se faisant passer pour le support informatique, proposant de « résoudre le problème ». Après avoir gagné la confiance de la victime, ils la guident dans l’installation d’outils d’accès à distance, leur offrant ainsi un contrôle direct du poste, le déploiement de malwares et un accès persistant au système.
Les faux supports informatiques au cœur de l’actualité cyber
Le procédé est particulièrement efficace et repose sur le sentiment d’urgence et de confusion créé par l’e-mail bombing provoqué en amont.
Le phénomène est scruté à la loupe. Si toutes les attaques par vishing se faisant passer pour le support informatique n’ont pas été précédées d’un e-mail bombing, elles ont marqué l’actualité cyber des derniers mois.
Une vaste campagne de vol de données utilisant comme leurre la plateforme Salesforce a notamment frappé de nombreuses entreprises, dont Google, qui avait pourtant repéré l’attaque.
Dans son rapport annuel, Microsoft distille quelques conseils pour réduire les risques quant aux attaques mêlant email-bombing et vishing, parmi lesquelles :
- Alerter les équipes de sécurité en cas d’inondations par mails
- Restreindre la communication avec des locataires externes et surveiller les tentatives d’usurpation d’identité.
- Informer les employés sur les fausses escroqueries d’assistance informatique.
- Limiter l’utilisation des outils de gestion à distance.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !