L'incident Vercel et les campagnes de hameçonnage qui passent déjà inaperçues

Hameçonnage

En avril 2026, les équipes de sécurité du monde entier ont été plongées dans une situation d'urgence lorsque Vercel — l'une des plateformes de déploiement dans le cloud les plus utilisées — a révélé une faille de sécurité majeure. Cet incident, résultant d'une compromission de la chaîne d'approvisionnement chez un fournisseur tiers, a contraint les équipes de sécurité à mener en urgence une enquête sur tout ce qui avait un lien avec l'infrastructure de Vercel.

Cependant, bon nombre de ces enquêtes ont peut-être mis au jour un risque de cybersécurité totalement distinct de la violation elle-même. Bien avant que l’incident d’avril 2026 ne fasse la une des journaux, des pirates exploitaient déjà, de manière indépendante, la plateforme d’hébergement gratuite de Vercel comme élément clé de leur infrastructure d’attaque, en utilisant des sous-domaines *.vercel.app pour mener des campagnes de phishing visant à récupérer des identifiants.

En réalité, INKY et INKY ces campagnes de phishing depuis décembre 2025, soit plusieurs mois avant que la faille de Vercel ne soit révélée. Parmi plus de 6 000 e-mails bloqués ciblant plus de 2 000 organisations, trois groupes de campagnes distincts ont été identifiés. Bien que les attaquants agissaient de manière indépendante et utilisaient différents leurres, ils partageaient une tactique notable : l’hébergement de pages destinées à la collecte d’identifiants sur des sous-domaines gratuits *.vercel.app.

Ce rapport exhaustif passe en revue les trois groupes de campagnes, analyse en détail les techniques qui les sous-tendent et met en évidence ce que la faille de Vercel et ces attaques de hameçonnage ont — et n'ont pas — en commun.

En bref : aperçu du déroulement de l'attaque 

Campagnes détectées :trois campagnes de phishing distinctes exploitant toutes l'hébergement gratuit de vercel.app comme infrastructure de collecte d'identifiants 

Modes d'attaque :utilisation abusive de la plateforme Google AppSheet | Comptes Microsoft 365 piratés | Domaine d'envoi appartenant à l'attaquant

Chargement utile :liens malveillants hébergés sur des sous-domaines gratuits *.vercel.app redirigeant vers des pages destinées à collecter des identifiants 

Cibles :attaques de type « spray and pray » + hameçonnage ciblé visant le secteur du bâtiment et des métiers spécialisés 

Volumede messages INKY :plus de 6 283 e-mails bloqués au sein de plus de 2 030 organisations entre décembre 2025 et mai 2026

L'incident de sécurité chez Vercel : contexte

En avril 2026, Vercel a révélé une faille de sécurité résultant d’une attaque par la chaîne d’approvisionnement impliquant Context.ai, un fournisseur tiers. Selon Vercel, un employé de Context.ai avait été infecté par le logiciel malveillant « Lumma Stealer », un voleur d’informations très répandu, souvent diffusé via des téléchargements de logiciels malveillants. Ce logiciel malveillant a permis à l’attaquant de dérober des jetons OAuth de Google Workspace à partir de l’appareil de l’employé.

Grâce à ces jetons, le pirate a pu accéder aux systèmes internes de Vercel et a fini par mettre la main sur les variables d’environnement des clients — des secrets de configuration stockés aux côtés des applications déployées. Ces variables peuvent contenir des informations sensibles telles que des clés API, des identifiants de base de données et des jetons de services tiers. Vercel a confirmé par la suite que l’auteur de l’attaque avait affirmé sur BreachForums avoir obtenu des clés d’accès à la base de données ainsi que des extraits du code source.

Dans le cadre de sa réponse, Vercel a publié un indicateur clé de compromission (IOC) sous la forme d'un identifiant d'application OAuth et a collaboré avec Google Mandiant, GitHub, Microsoft, npm et Socket pour enquêter sur l'incident et le maîtriser. La société a également précisé qu'aucun paquet npm n'avait été compromis lors de l'attaque.

Les campagnes d'hameçonnage mentionnées dans ce rapport ont-elles été provoquées par cette violation de données ?

Non. Bien que les deux impliquent Vercel, il s'agit de menaces totalement distinctes.

Les campagnes de phishing analysées dans ce rapport utilisaient des sous-domaines *.vercel.app gratuits comme infrastructure d’hébergement jetable pour des pages destinées à la collecte d’identifiants — une fonctionnalité accessible à toute personne créant un compte Vercel. La violation, en revanche, impliquait un accès non autorisé aux systèmes internes de Vercel via des identifiants volés lors d’une compromission de la chaîne d’approvisionnement d’un tiers.

Le chevauchement concerne principalement le moment d'apparition et le lien avec la plateforme. Ces deux menaces ont pris de l'ampleur en avril 2026 et impliquaient toutes deux Vercel d'une manière ou d'une autre. Par conséquent, les équipes de sécurité enquêtant sur des activités suspectes liées à Vercel peuvent rencontrer des indicateurs de l'une ou l'autre de ces menaces. Le tableau ci-dessous explique comment les distinguer.

Menace Clé IOC Où chercher 
Violation de la chaîne logistique de Vercel Identifiant d'application OAuth : 110671459871-30f1…apps.googleusercontent.com Journaux d'audit de Google Workspace 
Campagnes de hameçonnage (le présent rapport) Expéditeur variable + URL : *.vercel.app (contenu) Plateforme de sécurité des e-mails 

Tableau 1 : Distinction entre la faille Vercel et les campagnes de hameçonnage présentées dans ce rapport

Trois clusters, une infrastructure commune

INKY trois groupes distincts d'hameçonnage qui utilisaient chacun, de manière indépendante, l'hébergement gratuit *.vercel.app comme infrastructure pour mener des attaques visant à dérober des identifiants. Chaque groupe se distinguait par sa méthode de diffusion, le thème de son appât et son public cible, mais tous conduisaient les victimes à la même étape finale : des pages d'hameçonnage hébergées sur la plateforme de Vercel.

 Groupe A Groupe B Groupe C 
Livraison Utilisation abusive de la plateforme Google AppSheet Comptes Microsoft 365 piratés Domaine d'envoi appartenant à l'attaquant 
Thème « Lure » Suspension d'un compte Facebook Business Appel d'offres pour des travaux de construction + faux fichier PDF OneDrive Fiche T4 de l'Agence du revenu du Canada (ARC) 
Résultat de l'authentification SPF/DKIM/DMARC validés SPF/DKIM/DMARC validés SPF/DKIM/DMARC validés 
Charge utile Lien *.vercel.app dans le corps de l'e-mail Lien *.vercel.app contenu dans un fichier PDF protégé par mot de passe Lien *.vercel.app dans une pièce jointe au format PDF 
Obscurcissement Caractères de largeur nulle dans le nom d'affichage Un fichier PDF protégé par mot de passe empêche la numérisation Mot de passe visible dans le fichier PDF ; le fichier PDF externe n'est pas crypté 
En activité depuis décembre 2025 Mai 2026 Mars 2026 

Tableau 2 : Comparaison côte à côte des trois groupes de phishing

Groupe 1 : Utilisation abusive de Google AppSheet

Le premier groupe a détourné Google AppSheet, la plateforme d’applications « no-code » de Google, pour envoyer des e-mails de hameçonnage à partir de l’infrastructure légitime de Google. En combinant l’envoi d’e-mails provenant d’une source de confiance avec des pages destinées à collecter des identifiants hébergées sur Vercel, les attaquants ont mis au point une campagne qui contourne les contrôles de sécurité traditionnels des e-mails tout en paraissant très crédible aux yeux des destinataires.

Comment ça marche ?

Google AppSheet est une plateforme d'applications « no-code » qui permet aux utilisateurs de créer des applications basées sur des données et de déclencher des notifications automatiques par e-mail. Lorsqu'une application AppSheet envoie une notification, l'e-mail provient de l'adresse [email protected] — une adresse légitime de l'infrastructure Google partagée par l'ensemble des clients d'AppSheet.

Les pirates ont réussi à accéder à un ou plusieurs comptes AppSheet — probablement par le biais d’attaques par « credential stuffing » ou d’achats sur des marchés clandestins — et ont configuré AppSheet pour envoyer des notifications de hameçonnage à grande échelle. Chaque e-mail a été transmis via l’infrastructure de Google et signé avec la clé DKIM de Google.

Pourquoi l'authentification ne constitue pas un indicateur fiable: comme les e-mails proviennent bel et bien de l'infrastructure de Google, les contrôles SPF, DKIM et DMARC sont tous validés pour appsheet.com. Il n'y a donc pas d'usurpation d'identité. Par conséquent, les contrôles de sécurité traditionnels basés sur l'authentification n'ont guère de raison de signaler ces messages comme suspects.

L'appât : la suspension d'un compte Facebook Business

Chaque e-mail se fait passer pour une notification de Facebook Business, avertissant les destinataires que leur compte professionnel fait l'objet d'un examen pour violation des conditions d'utilisation et qu'il sera désactivé s'ils ne prennent pas de mesures immédiates. L'appel à l'action redirige les utilisateurs vers un sous-domaine *.vercel.app nouvellement créé, hébergeant une page destinée à collecter leurs identifiants.

Pour mieux échapper à la détection, les pirates ont inséré des caractères d’espacement de largeur nulle (U+200A) entre les lettres du nom d’affichage. Ce qui apparaît visuellement comme « Facebook Business » s’affiche en réalité sous la forme « Fa cebook Bu si ness » au niveau des octets. Cette technique de dissimulation simple contourne les règles de détection des noms d’affichage par correspondance exacte tout en restant invisible pour le destinataire.

Modèle d'objet d'e-mail

Les sujets respectent le même format « nom commercial + identifiant alphanumérique aléatoire » que celui utilisé dans la campagne AppSheet plus large :

  • Valley Cooling & Refrigeration Co. ZV195545707372SGVP
  • Westside Eye Center RRPU020121773OTD
  • Riverside Charter Academy BE937622771FEE

L'identifiant aléatoire garantit qu'aucun e-mail ne partage le même objet, ce qui permet de contourner les filtres basés sur la signature tout au long de la campagne.

Exemples d'en-têtes d'e-mails

Champ d'en-tête Valeur 
De Fa cebook Bu si ness <[email protected]
Objet [Organisation destinataire] [Identifiant alphanumérique aléatoire] 
Signature DKIM d=appsheet.com (signé par Google) 
SPF Passer 
DMARC Passer 
URL de la charge utile *.vercel.app (unique par adresse e-mail) 

Tableau 3 : Exemples d'en-têtes d'e-mails de la campagne AppSheet/Vercel.app

Fig. 1 : Volume quotidien d'e-mails pour la campagne AppSheet/Vercel.app (du 5 avril au 4 mai 2026). La divulgation de la faille de sécurité chez Vercel, le 19 avril, est indiquée. L'activité de la campagne est antérieure à cette divulgation, ce qui confirme l'absence de lien de causalité.

Fig. 2 : E-mail de hameçonnage « AppSheet/Vercel.app » affiché dans un client de messagerie : le nom d'affichage indique « Facebook Business » et est constitué de caractères de largeur nulle invisibles pour le destinataire ; l'adresse « Répondre à » redirige vers [email protected]

Fig. 3 : Motifs INKY : sur les 6 283 e-mails signalés comme « Contenu de hameçonnage », 5 283 ont également été signalés comme « Falsification potentielle de l'expéditeur », ce qui indique INKY une divergence entre l'identité de l'expéditeur affichée et l'infrastructure d'AppSheet.

Groupe B : Comptes Microsoft 365 piratés — le secteur du bâtiment visé

Le deuxième groupe a adopté une approche différente. Au lieu d’exploiter abusivement une plateforme légitime pour envoyer des e-mails, les attaquants ont utilisé des comptes Microsoft 365 piratés appartenant à de véritables entreprises du secteur du bâtiment. En combinant des identités d’expéditeurs de confiance, des leurres spécifiques au secteur et des pages de hameçonnage hébergées sur Vercel, la campagne était conçue pour se fondre parfaitement dans les communications professionnelles courantes.

Comment ça marche ?

Ce réseau utilise des comptes Microsoft 365 légitimes, piratés, appartenant à de véritables entreprises pour envoyer des e-mails de hameçonnage. Les deux comptes identifiés appartenaient à des entreprises du secteur du bâtiment et des métiers spécialisés, ce qui suggère un ciblage délibéré d’un secteur où les appels d’offres émanant de contacts inconnus sont courants et souvent attendus.

Comme ces e-mails proviennent de comptes Microsoft 365 authentiques et actifs, dotés d’une authentification correctement configurée, ils sont naturellement conformes aux protocoles SPF, DKIM et DMARC. Il ne s’agit pas d’une technique de contournement : les messages passent l’authentification car les comptes expéditeurs sont légitimement autorisés à envoyer des e-mails au nom de leurs organisations.

L'appât : un appel d'offres dans le secteur du bâtiment sous forme de fichier PDF protégé par un mot de passe

Chaque e-mail se présente comme une invitation officielle à soumissionner pour un projet de construction et semble provenir d'un véritable employé d'une entreprise légitime. Le message décrit un dossier d'appel d'offres et fournit un mot de passe permettant d'ouvrir le fichier PDF joint, en présentant ce mot de passe comme une mesure de sécurité destinée à protéger les informations sensibles relatives au projet.

Une fois ouvert à l'aide du mot de passe fourni, le fichier PDF affiche une seule page conçue pour ressembler à une notification de partage de documents Microsoft OneDrive. La page indique que des fichiers de projet ont été partagés avec le destinataire et l'invite à cliquer sur un bouton « Afficher les documents dans OneDrive ». Ce bouton redirige la victime vers melody-swgd-com.vercel.app, où l'attend une page destinée à récupérer ses identifiants.

Pourquoi les fichiers PDF protégés par mot de passe contournent les systèmes de détection: de nombreux outils de sécurité des e-mails ne peuvent pas analyser les pièces jointes au format PDF cryptées par mot de passe sans disposer de la clé de décryptage. En plaçant le leurre de phishing à l'intérieur du fichier PDF crypté et en n'indiquant le mot de passe que dans le corps de l'e-mail, le pirate sépare efficacement le contenu de la pièce jointe. Les systèmes de détection automatisés se heurtent à un fichier illisible, tandis que le destinataire peut facilement l'ouvrir et consulter le contenu malveillant.

Le partage d'infrastructures laisse supposer l'existence d'un seul acteur malveillant

Les deux comptes piratés — appartenant à des entreprises différentes situées dans des États américains distincts — ont envoyé des e-mails redirigeant les destinataires vers la même page de hameçonnage hébergée sur Vercel : melody-swgd-com.vercel.app. La réutilisation d’une infrastructure identique laisse fortement supposer qu’un seul acteur malveillant a piraté les deux comptes et les a exploités en parallèle, en utilisant un site centralisé de collecte d’identifiants pour mener à bien cette campagne.

Les chercheurs ont également identifié une URL secondaire intégrée dans les annotations de liens d’un fichier PDF : biddingsth.github.io/bidders/. Cela indique que l’acteur utilisait GitHub Pages comme option d’hébergement supplémentaire, probablement à titre de solution de secours ou de mécanisme alternatif de diffusion de la charge utile, parallèlement à Vercel.

Exemple de profil par e-mail

Champ d'en-tête Valeur 
De Real employee name <real-employee@[compromised-domain].com> 
À [Société cible] destinataire 
Objet Appel d'offres — [Nom de l'entreprise] [Référence du projet] 
Authentification SPF validé, DKIM validé, DMARC validé (compte Microsoft 365 authentique) 
Pièce jointe Fichier PDF protégé par mot de passe — Projet 2026 de [Entreprise].pdf 
Mot de passe du fichier PDF Fourni dans le corps de l'e-mail 
Contenu du fichier PDF Fausse notification OneDrive renvoyant vers *.vercel.app 
URL de la charge utile melody-swgd-com.vercel.app 
URL secondaire biddingsth.github.io/bidders/ 

Tableau 4 : Exemple de profil d'e-mail issu d'une campagne de hameçonnage visant Microsoft 365/Vercel

Fig. 4 : E-mail de hameçonnage du groupe B : appel d'offres pour un chantier provenant d'un compte Microsoft 365 piraté

Fig. 5 : Contenu du fichier PDF après décryptage à l'aide du mot de passe fourni dans le corps de l'e-mail : faux partage de documents Microsoft OneDrive comportant un appel à l'action « Afficher les documents dans OneDrive » qui redirige vers melody-swgd-com.vercel.app

Fig. 6 : Volume d'e-mails du groupe B : deux comptes Microsoft 365 piratés ont envoyé 26 e-mails à 9 organisations en seulement 2 jours (13 et 14 mai 2026)

Fig. 7 : Motifs INKY : fichier protégé signalé dans les 26 e-mails ; site de hameçonnage détecté chez l'expéditeur « carpetplanet.net », ce qui indique INKY l'URL de la charge utile « vercel.app » comme un hôte de hameçonnage connu

Groupe C : domaine appartenant à l'attaquant — usurpation d'identité d'une administration fiscale

Ce troisième groupe montre que les pirates n'ont pas toujours besoin de compromettre des comptes ou d'exploiter des plateformes légitimes pour mener des campagnes de hameçonnage efficaces. Au contraire, cet acteur a mis en place sa propre infrastructure de A à Z, en utilisant un domaine sous son contrôle pour l'envoi d'e-mails et des pages de hameçonnage hébergées sur Vercel pour collecter des identifiants.

Comment ça marche ?

Contrairement aux groupes A et B, cet acteur n'exploite pas de plateforme légitime et n'utilise pas de compte piraté. Il a plutôt enregistré et configuré son propre domaine d'envoi, doté d'enregistrements SPF, DKIM et DMARC, afin de diffuser des e-mails de hameçonnage se faisant passer pour l'Agence du revenu du Canada (ARC).

Le nom de l'expéditeur apparaît comme « Agence du revenu du Canada (ARC) », alors que le domaine d'origine est en réalité un domaine contrôlé par un pirate, sans aucun lien avec le gouvernement canadien. Ce domaine étant correctement configuré pour l'authentification des e-mails, les messages passent avec succès les contrôles SPF, DKIM et DMARC, bien qu'ils soient malveillants.

L'appât : la notification relative au relevé fiscal T4

L'e-mail indique qu'un formulaire T4 — une déclaration de revenus d'emploi canadienne — est prêt à être téléchargé. En cette période de déclaration d'impôts, cet appât s'avère particulièrement pertinent et crédible pour les entreprises et les salariés canadiens, qui s'attendent régulièrement à recevoir des communications liées à la fiscalité.

L'e-mail contient en pièce jointe un fichier PDF dont le nom suit le format « 2025 T4SLIP [numéro de référence].pdf ». Bien que ce fichier ne soit pas chiffré, il sert de passerelle vers le site de hameçonnage plutôt que de contenir lui-même la charge utile finale.

Une fois ouvert, le fichier PDF affiche une seule page qui ressemble à un portail de documents sécurisé. Il fournit un mot de passe (« 2026 ») et invite le destinataire à cliquer sur un lien pour accéder à son document fiscal. Ce lien redirige les utilisateurs vers une page de hameçonnage nouvellement créée et hébergée sur Vercel, à l'adresse t4slip[reference].vercel.app, où commence le processus de collecte des identifiants.

Exemple de profil par e-mail

Champ d'en-tête Valeur 
À partir du nom d'affichage Agence du revenu du Canada (ARC) 
Adresse d'expédition network@[domaine-de-l'attaquant].com 
Objet Nouveau message de l'Agence du revenu du Canada [Réf. : XXXXX] 
Authentification SPF validé, DKIM validé, DMARC validé (domaine de l'attaquant) 
Pièce jointe 2025 T4SLIP [numéro de référence].pdf 
Contenu du fichier PDF Portail de documents sécurisé avec mot de passe et lien 
URL de la charge utile t4slip[référence].vercel.app 

Tableau 5 : Profil des e-mails de hameçonnage de l'échantillon du groupe C (domaine appartenant à l'attaquant)

Fig. 8 : E-mail de hameçonnage du groupe C se faisant passer pour l'Agence du revenu du Canada, envoyé depuis un domaine enregistré par un pirate et validé par les protocoles SPF, DKIM et DMARC

Fig. 9 : Charge utile PDF du cluster C — fausse page de partage sécurisé de fichiers Microsoft Teams contenant un lien de vol d’identifiants vers vercel.app

Fig. 10 : Motifs INKY pour le groupe C. Les quatre e-mails ont déclenché simultanément l’ensemble des motifs. L’indication « Reply-To trompeur » signifie INKY que l’adresse de réponse divergeait du domaine de l’expéditeur — un signe courant dans les attaques de hameçonnage par usurpation d’identité d’organismes gouvernementaux.

Mise en correspondance avec le modèle MITRE ATT&CK 

Ces trois groupes partagent un socle commun de techniques, mais se distinguent par leurs méthodes d'accès et de diffusion initiales.

Technique ID Groupe A Groupe B Groupe C 
Hameçonnage T1566 Oui Oui Oui 
Lien de spearphishing T1566.002 Oui   
Pièce jointe de spearphishing T1566.001  Oui Oui 
Se déguiser T1036.005 Oui Oui Oui 
Fonctionnalités de la scène : Téléchargement T1608.001 Oui Oui Oui 
Acquérir des infrastructures T1583 Oui Oui Oui 
Relation de confiance / Abus de la plateforme T1199 Oui   
Fichiers ou informations obscurcis T1027 Oui Oui  
Fichier crypté/encodé T1027.013  Oui  
Comptes piratés : e-mail T1586.002  Oui  
Comptes valides T1078  Oui  
Créer des comptes T1585   Oui 
Exécution par l'utilisateur : fichier malveillant T1204.002  Oui Oui 

Tableau 6 : Correspondance des techniques MITRE ATT&CK entre les trois groupes

Ces trois groupes convergent vers T1608.001 (capacités : téléchargement de logiciels malveillants), en utilisant l’offre d’hébergement gratuite de Vercel comme infrastructure jetable destinée à la collecte d’identifiants. Cette convergence entre des acteurs malveillants opérant de manière indépendante suggère que vercel.app est devenu un outil largement reconnu dans l’écosystème du phishing : accessible gratuitement, déployable instantanément, validé par TLS et hébergé sur un domaine jouissant d’une excellente réputation.

Pourquoi les mesures de protection traditionnelles échouent

À première vue, ces trois campagnes semblent très différentes. L’une abuse de l’infrastructure de Google, une autre exploite des comptes Microsoft 365 piratés et la troisième utilise des domaines contrôlés par les attaquants. Pourtant, toutes trois parviennent à contourner bon nombre des mesures de contrôle sur lesquelles les entreprises s’appuient traditionnellement pour identifier les e-mails de hameçonnage. Leur point commun réside dans le fait qu’elles exploitent la confiance accordée aux expéditeurs authentifiés, aux plateformes réputées et aux processus métier familiers.

  • SPF, DKIM et DMARC valides sur les trois clusters: chaque méthode d’envoi produit des résultats d’authentification corrects. Le cluster A est validé car l’e-mail provient bien de l’infrastructure de Google. Le cluster B est validé car l’expéditeur est un compte Microsoft 365 légitime et actif. Le cluster C est validé car l’attaquant a correctement configuré l’authentification des e-mails sur son propre domaine. Dans les trois cas, l’authentification valide l’infrastructure de l’expéditeur, et non ses intentions.
  • Réputation d’expéditeur de confiance: la campagne AppSheet bénéficie de la solide réputation de [email protected], qui envoie régulièrement des notifications légitimes pour le compte de Google. Les comptes Microsoft 365 piratés héritent de la réputation des organisations auxquelles ils appartiennent. Par conséquent, le filtrage basé sur la réputation n’offre qu’une protection limitée contre ces attaques.
  • Charges utiles hébergées sur une plateforme de confiance: les trois clusters redirigent les victimes vers des pages de hameçonnage hébergées sur des sous-domaines *.vercel.app. Vercel étant une plateforme de développement légitime et largement utilisée, certains contrôles de sécurité peuvent être moins rigoureux à l'égard de ses sous-domaines. Les pages de hameçonnage sont également diffusées via HTTPS à l'aide de certificats valides, ce qui renforce encore davantage leur apparence de légitimité.
  • Les pièces jointes chiffrées limitent la visibilité: dans le cluster B, le lien de hameçonnage est intégré à une pièce jointe au format PDF protégée par mot de passe. Sans la clé de déchiffrement, les outils d’analyse automatisés ne peuvent pas inspecter le contenu du fichier. Si la solution de sécurité n’analyse pas également le contexte de l’e-mail, la charge utile de hameçonnage reste à l’abri de toute inspection.
  • Le masquage du nom d'affichage contourne les règles de correspondance des noms: dans le cluster A, les pirates ont inséré des caractères de largeur nulle dans le nom d'affichage « Facebook Business ». Bien qu'invisibles pour les destinataires, ces caractères modifient suffisamment le texte sous-jacent pour contourner les règles de détection basées sur la correspondance exacte et les sous-chaînes, permettant ainsi à l'e-mail de hameçonnage d'échapper aux techniques de filtrage rudimentaires.

Comment INKY les INKY

L'analyse comportementale et générative par IA INKYa évalué le contexte global de chaque e-mail plutôt que de se fonder sur un seul indicateur :

Groupe A: La combinaison d’un expéditeur connu et légitime (AppSheet) avec des domaines de charge utile *.vercel.app nouvellement créés et jamais observés auparavant a été signalée comme anormale. INKY l’incohérence entre l’identité supposée de l’expéditeur (une notification professionnelle) et l’infrastructure d’envoi réelle, et a détecté du contenu de hameçonnage dans le corps de l’e-mail malgré des résultats d’authentification normaux.

Groupe B: L’IA générative INKYa analysé la pièce jointe au format PDF protégée par mot de passe — en utilisant le mot de passe fourni dans le corps de l’e-mail — et a identifié le leurre destiné à récupérer des identifiants qui s’y trouvait. La combinaison d’un objet d’e-mail annonçant un appel d’offres dans le secteur du bâtiment et d’une fausse charge utile OneDrive dissimulée derrière un PDF crypté a été classée comme contenu de hameçonnage.

Groupe C: L'incohérence entre le nom d'affichage de l'Agence du revenu du Canada et un domaine d'expédition non gouvernemental, associée au lien *.vercel.app figurant dans la pièce jointe au format PDF, a été signalée comme un contenu de hameçonnage présentant une identité d'expéditeur trompeuse.

Groupe Motifs de détection 
A — Utilisation abusive de la plateforme AppSheet Contenu de hameçonnage, falsification potentielle de l'expéditeur, contenu indésirable, nouvel expéditeur 
B — Comptes M365 piratés Contenu de hameçonnage 
C — Domaine appartenant à l'attaquant Contenu de hameçonnage, adresse de réponse trompeuse 

Tableau 7 : Motifs INKY par groupe

Type IOC Valeur Groupe 
Adresse e-mail de l'expéditeur [email protected] 
Modèle d'URL *.vercel.app (tous les clusters) A, B, C 
URL melody-swgd-com.vercel.app 
URL biddingsth.github.io/bidders/ 
Modèle d'URL t4slip[ref].vercel.app 
Modèle de sujet [Nom de l'organisation] [RANDOM_ALPHANUM_ID] 
Modèle de sujet Appel d'offres — [Entreprise] [Réf.] 
Modèle de sujet Nouveau message de l'Agence du revenu du Canada [Réf. :] 
Obscurcissement U+200A (espace capillaire de largeur nulle) dans le nom d'affichage 
Pièce jointe Fichier PDF protégé par mot de passe — contenu à l'intérieur 
Pièce jointe Fichier PDF contenant un lien vers vercel.app dans les annotations B, C 

Tableau 8 : Indicateurs de compromission (IOC) associés aux trois groupes de hameçonnage

Bonnes pratiques : conseils et recommandations

Les trois groupes de phishing analysés dans ce rapport recourent à des tactiques différentes, mais poursuivent un objectif commun : exploiter des infrastructures de confiance et des processus métier familiers pour dérober des identifiants. Les recommandations ci-dessous peuvent aider les équipes de sécurité et les utilisateurs finaux à réduire leur vulnérabilité face à ces attaques et à identifier les activités suspectes avant que les identifiants ne soient compromis.

À l'attention des équipes de sécurité

  • Imposer l'authentification à plusieurs facteurs (MFA) sur tous les comptes Microsoft 365 et Google Workspace.

Le groupe B montre que les comptes compromis dont l'authentification est valide comptent parmi les attaques les plus difficiles à détecter au niveau de la messagerie électronique. L'authentification multifactorielle (MFA) empêche la prise de contrôle d'un compte, même lorsque les identifiants ont été volés ou achetés sur des marchés clandestins. La MFA résistante au phishing (FIDO2/clés d'accès) offre la protection la plus efficace contre les attaques visant à récupérer des identifiants.

Les e-mails dont le champ « À » est vide ou contient l'adresse de l'expéditeur lui-même, associés à des schémas d'envoi inhabituels (envois en masse, nouveaux domaines de destinataires), peuvent indiquer une prise de contrôle de compte. Appliquez l'authentification à plusieurs facteurs (MFA) à tous les comptes Microsoft 365 et Google Workspace.

  • Analyser les comptes Microsoft 365 à la recherche d'indicateurs de compromission.

Après avoir pris le contrôle d’un compte, les attaquants créent généralement des règles de redirection des e-mails entrants, envoient des e-mails en masse vers des domaines de destinataires inconnus et se connectent depuis des emplacements inhabituels. Vérifiez les journaux d’audit de Microsoft 365 à la recherche de ces schémas, en particulier pour les comptes appartenant à des secteurs qui échangent régulièrement des documents avec des contacts externes — construction, logistique, services financiers —, qui constituent des cibles de choix pour l’appât de l’appel d’offres du Cluster B.

  • Appliquer un contexte comportemental aux e-mails provenant de plateformes SaaS de confiance.

Les résultats d’authentification ne suffisent pas à eux seuls à signaler une utilisation abusive de la plateforme. Un e-mail provenant d’un expéditeur légitime (Google, Zoom, DocuSign ou AppSheet) et contenant un lien vers un sous-domaine d’hébergement nouvellement enregistré ou relevant d’une offre gratuite constitue une anomalie hautement suspecte, que les vérifications SPF, DKIM et DMARC soient concluantes ou non. Les outils de sécurité des e-mails qui évaluent le contexte complet du message — plateforme de l’expéditeur, ancienneté de la destination du lien, structure de l’objet et incohérence entre l’identité de l’expéditeur et celle indiquée — offrent une capacité de détection que les systèmes basés sur des règles ne peuvent égaler.

  • Méfiez-vous particulièrement des liens *.vercel.app et *.netlify.app provenant d'expéditeurs inconnus.

Les communications légitimes concernant des produits renvoient rarement vers des sous-domaines d'hébergement gratuits destinés aux développeurs. Signalez-les pour qu'elles fassent l'objet d'un examen plus approfondi, quelle que soit la réputation du domaine d'origine. Signalez également les déploiements Vercel utilisés à des fins malveillantes. Vercel accepte les signalements d'abus à l'adresse [email protected]. Le fait d'inclure l'URL complète *.vercel.app garantit le retrait rapide de la page destinée à la collecte d'identifiants.

Si votre organisation utilise Vercel, consultez les journaux d'audit de Google Workspace pour identifier les indicateurs de compromission (IOC) liés à cette faille. Recherchez l'identifiant de l'application OAuth (110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com) afin de déterminer si des utilisateurs ont autorisé l'accès à cette application compromise.

À l'attention des destinataires de l'e-mail

  • Vérifiez toujours l'adresse d'expédition réelle, et pas seulement le nom affiché.

Un nom d’affichage peut être défini comme on le souhaite — « Agence du revenu du Canada (ARC) », « Facebook Business » ou « Microsoft OneDrive » — quel que soit l’expéditeur réel du courriel. L’adresse réelle de l’expéditeur apparaît à côté ou en dessous du nom d’affichage dans tous les principaux clients de messagerie. Au Canada, les organismes gouvernementaux légitimes envoient leurs e-mails à partir de domaines gc.ca (l’ARC utilise cra-arc.gc.ca). Facebook envoie ses e-mails de notification à partir de facebookmail.com. Tout message prétendant provenir de ces organisations mais provenant d’un domaine commercial sans rapport avec celles-ci doit avant tout être considéré comme suspect.

  • Vérifiez la destination du lien avant de cliquer.

Passez la souris sur un lien sur un ordinateur de bureau ou appuyez longuement sur un appareil mobile pour voir l'URL réelle avant de cliquer dessus. Un bouton intitulé « Afficher les documents dans OneDrive » ou « Ouvrir le fichier PDF » qui redirige vers un sous-domaine *.vercel.app, *.netlify.app ou GitHub Pages n'est pas un service de Microsoft ni des pouvoirs publics. Les plateformes légitimes hébergent leurs propres pages de connexion et de documents sur leurs propres domaines.

  • Considérez comme un signal d'alerte toute pièce jointe protégée par un mot de passe dont le mot de passe figure dans le même e-mail.

Si une pièce jointe est chiffrée pour votre protection, l'expéditeur n'inclura pas le mot de passe dans le même message. Lorsqu'un mot de passe est fourni dans le corps de l'e-mail, le chiffrement sert uniquement à empêcher les outils de sécurité automatisés d'analyser la pièce jointe — et non à vous protéger. N'ouvrez ces pièces jointes que si vous êtes certain de l'identité de l'expéditeur grâce à une vérification indépendante.

  • Vérifiez les demandes inattendues par les voies officielles, et non via les liens ou les numéros de téléphone figurant dans l'e-mail.

Si vous recevez une invitation à répondre à un appel d'offres, un avis fiscal ou un avertissement de suspension de compte non sollicité et auquel vous ne vous attendiez pas, rendez-vous directement sur le site officiel de l'organisme en saisissant vous-même l'adresse, ou appelez-le en utilisant un numéro figurant sur ce site. N'utilisez pas les coordonnées, les liens ou les numéros de téléphone fournis dans l'e-mail : ceux-ci peuvent vous mener directement au pirate.

  • Les sous-domaines d'hébergement gratuits destinés aux développeurs ne constituent pas une infrastructure professionnelle valable.

Les organisations reconnues — administrations publiques, banques, grandes entreprises — n’hébergent pas de documents officiels, de pages de connexion ou de formulaires fiscaux sur des plateformes gratuites destinées aux développeurs telles que vercel.app ou netlify.app. Si un lien ou un fichier PDF vous redirige vers un sous-domaine de l’une de ces plateformes dans le cadre d’un avis fiscal, d’une facture ou d’une alerte de compte, il s’agit presque certainement d’une tentative d’hameçonnage.

  • Faites preuve d'une prudence particulière concernant les appels d'offres dans les secteurs du bâtiment et de l'artisanat.

Les pirates du groupe B ont spécifiquement ciblé les sous-traitants et les fournisseurs qui reçoivent régulièrement des appels d'offres de la part de contacts inconnus. Si vous travaillez dans le secteur du bâtiment, de la gestion des installations ou dans un secteur connexe, vérifiez tout nouvel appel d'offres en appelant directement l'entrepreneur général avant d'ouvrir les pièces jointes ou de saisir vos identifiants.

Conclusion

L'incident de sécurité survenu chez Vercel en avril 2026 a attiré l'attention générale sur la plateforme de Vercel. Ce que les enquêteurs chargés de traquer les menaces liées à Vercel ont pu découvrir dans leurs files d'attente de sécurité des e-mails, ce sont ces trois groupes de campagnes de phishing — des campagnes en cours depuis des mois, qui avaient toutes, indépendamment les unes des autres, choisi l'offre d'hébergement gratuite de Vercel comme infrastructure jetable pour la collecte d'identifiants.

Cette convergence n'est pas le fruit du hasard. *.vercel.app offre tout ce dont un pirate spécialisé dans le phishing a besoin de la part d'un hébergeur de charge utile : déploiement instantané, absence de vérification d'identité, certificats TLS valides, excellente réputation du domaine et rotation très simple lorsqu'un sous-domaine est désactivé. Tant que les plateformes d'hébergement gratuites n'auront pas mis en place des contrôles plus stricts contre les abus, elles resteront une infrastructure attractive pour les campagnes de phishing dans l'ensemble du paysage des menaces.

La leçon à retenir porte sur l'authentification. Ces trois groupes respectent les normes SPF, DKIM et DMARC. Tous trois utilisent une infrastructure d'envoi réelle ou d'apparence légitime. Les signaux qui comptent — anomalies comportementales, contexte de la charge utile, chaîne complète allant de l'expéditeur au lien puis à la page — nécessitent une analyse qui va au-delà de la simple inspection des en-têtes. C'est là que la sécurité des e-mails basée sur le comportement et l'intelligence artificielle permet de détecter ce que les systèmes basés sur des règles ne parviennent pas à repérer.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Le coût réel des attaques par hameçonnage

Découvrez le coût réel des attaques par hameçonnage et comment les solutions modernes de sécurité des e-mails bloquent les menaces avant qu'elles n'affectent votre entreprise.

Lire l'article de blog

Campagne de phishing via Zoom : comment les cybercriminels falsifient les alertes de la SSA et exploitent ConnectWise ScreenConnect

Découvrez comment des pirates ont exploité Zoom et ConnectWise ScreenConnect pour envoyer de fausses alertes de la SSA et piéger les utilisateurs dans le cadre d'une attaque de phishing sophistiquée.

Lire l'article de blog

Les coulisses de l'arnaque aux factures d'OpenAI : explication de l'utilisation abusive de SendGrid et du phishing par rappel téléphonique

Les cybercriminels ne restent jamais inactifs ; ils réinventent sans cesse leurs tactiques pour exploiter la confiance, la familiarité et les instincts humains. INKY d'observer les menaces

Lire l'article de blog