En 2025, l’e-mail bombing, une méthode de cyberattaque vieille de plusieurs décennies, refait surface sous une forme plus sophistiquée et menaçante. Ce type d’attaque, qui consiste à saturer les boîtes de réception, est désormais utilisé comme écran de fumée pour des cyberattaques plus complexes et intrusives. Le rapport annuel de Microsoft sur la cybermenace met en lumière l’efficacité renouvelée de cette technique, soulignant son rôle dans les attaques d’ingénierie sociale.
Résumé en 3 points
- L’e-mail bombing est une méthode de cyberattaque qui consiste à saturer les boîtes de réception pour masquer des alertes de sécurité.
- En 2025, les cybercriminels utilisent des inscriptions massives à des newsletters pour contourner les limites des services de messagerie.
- Cette technique est souvent suivie d’attaques de phishing téléphoniques ou via plateformes professionnelles.
L’e-mail bombing : une technique ancienne remise au goût du jour
Apparue dès 1996 sous le terme de « bombarderie » par l’Office de la langue française du Québec, l’e-mail bombing n’est pas une nouveauté dans le monde de la cybercriminalité. Son objectif est simple : submerger la victime d’un flot de courriels pour saturer sa boîte de réception. Cette saturation empêche la détection d’alertes de sécurité essentielles lorsque l’attaque progresse.
Les cybercriminels ont longtemps utilisé l’envoi massif de messages depuis plusieurs adresses électroniques pour mener ces attaques. Cependant, avec l’évolution des services de messagerie comme Gmail et Microsoft 365, qui ont instauré des limites sur le nombre d’e-mails pouvant être envoyés, cette méthode a perdu de son efficacité.
Les nouvelles méthodes d’e-mail bombing en 2025
Pour contourner les restrictions imposées par les services de messagerie, les cybercriminels ont développé une approche alternative : l’inscription en masse à des newsletters et autres services en ligne. En utilisant simplement l’adresse e-mail de la victime, ils peuvent saturer une boîte de réception en un temps record.
Cette stratégie permet aux attaquants de continuer à utiliser l’e-mail bombing comme un écran de fumée efficace. Une fois la boîte de réception de la victime inondée, ils passent à la deuxième phase de l’attaque : le phishing téléphonique, également connu sous le nom de vishing, ou via des plateformes professionnelles comme Microsoft Teams.
Les conséquences et les solutions face à ces attaques
Le phishing téléphonique, qui suit souvent l’e-mail bombing, a pour but de tromper la victime en se faisant passer pour le support informatique. Les cybercriminels proposent alors d’aider la victime à résoudre le prétendu problème, gagnant ainsi sa confiance. Ils peuvent ensuite guider la victime dans l’installation d’outils d’accès à distance, leur permettant de prendre le contrôle du système, de déployer des logiciels malveillants et de maintenir un accès persistant.
Les attaques par vishing, bien que ne nécessitant pas systématiquement un e-mail bombing préalable, sont devenues une menace notable dans le paysage cyber actuel. Par exemple, une campagne récente a utilisé la plateforme Salesforce comme appât, ciblant même des géants comme Google.
Le rapport de Microsoft propose des recommandations pour réduire les risques associés à ces attaques, mettant l’accent sur la vigilance et la formation des utilisateurs pour reconnaître et éviter ces pièges.
Contexte et historique
Microsoft, un leader technologique mondial, est engagé dans la lutte contre la cybercriminalité depuis plusieurs décennies. L’entreprise publie régulièrement des rapports sur la cybermenace pour sensibiliser le public et les entreprises aux nouvelles tactiques des cybercriminels. En 2025, ses efforts continuent de se concentrer sur l’amélioration de la sécurité des utilisateurs et la protection contre les attaques sophistiquées telles que l’e-mail bombing et le phishing.
Parallèlement, des plateformes comme Gmail et Microsoft 365 ont instauré des mesures pour limiter les abus liés aux envois massifs d’e-mails. Ces efforts visent à protéger les utilisateurs tout en adaptant les stratégies de défense aux nouvelles menaces émergentes dans le domaine de la cybersécurité.