{"id":23760,"date":"2026-04-03T16:20:32","date_gmt":"2026-04-03T14:20:32","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23760"},"modified":"2026-04-03T16:20:32","modified_gmt":"2026-04-03T14:20:32","slug":"bubble-no-code-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/bubble-no-code-phishing\/23760\/","title":{"rendered":"Bubble : un nouvel outil pour les escroqueries par phishing"},"content":{"rendered":"

Il existe toute une gamme de g\u00e9n\u00e9rateurs d\u2019applications reposant sur l\u2019IA qui promettent de donner vie \u00e0 vos id\u00e9es rapidement et sans effort. Malheureusement, nous savons exactement qui est toujours \u00e0 l\u2019aff\u00fbt de nouvelles id\u00e9es \u00e0 concr\u00e9tiser, principalement parce que nous sommes plut\u00f4t dou\u00e9s pour rep\u00e9rer et contrecarrer leurs anciennes strat\u00e9gies. Nous parlons bien s\u00fbr des experts en phishing. Nous avons r\u00e9cemment d\u00e9couvert qu\u2019ils ont ajout\u00e9 une nouvelle corde \u00e0 leur arc\u00a0: la cr\u00e9ation de sites Internet \u00e0 l\u2019aide de Bubble<\/a>, un outil de cr\u00e9ation de sites Internet optimis\u00e9 par l\u2019IA. Il est fort probable que cette tactique soit d\u00e9sormais accessible via une ou plusieurs plateformes de \u00ab\u00a0phishing en tant que service\u00a0\u00bb, ce qui garantit pratiquement que ces leurres commenceront \u00e0 appara\u00eetre dans un large \u00e9ventail d\u2019attaques. Mais voyons cela \u00e9tape par \u00e9tape.<\/p>\n

Pourquoi les auteurs de phishing utilisent-ils Bubble\u00a0?<\/h2>\n

Inclure un lien direct vers un site de phishing dans un email est un aller simple vers l\u2019\u00e9chec. Il y a de fortes chances que le message n\u2019atteigne m\u00eame pas son destinataire, car les filtres de s\u00e9curit\u00e9 le bloqueront probablement avant m\u00eame qu\u2019un utilisateur ne le voie. De m\u00eame, le recours aux redirections automatiques constitue depuis longtemps un avertissement majeur pour les solutions de s\u00e9curit\u00e9 modernes. Qu\u2019en est-il des QR codes\u00a0? M\u00eame si, en th\u00e9orie, demander \u00e0 une victime de scanner un code avec son t\u00e9l\u00e9phone plut\u00f4t que de cliquer sur un lien peut fonctionner, les cybercriminels perdent in\u00e9vitablement du trafic \u00e0 cette \u00e9tape\u00a0: tout le monde n\u2019est pas pr\u00eat \u00e0 saisir ses identifiants professionnels sur un appareil personnel. C\u2019est l\u00e0 que les services de g\u00e9n\u00e9ration automatique de code viennent \u00e0 la rescousse des cybercriminels.<\/p>\n

Bubble se positionne comme une plateforme \u00ab\u00a0no-code\u00a0\u00bb d\u00e9di\u00e9e au d\u00e9veloppement d\u2019applications Web et mobiles. Concr\u00e8tement, l\u2019utilisateur d\u00e9crit ses besoins via une interface visuelle, et la plateforme g\u00e9n\u00e8re une solution cl\u00e9 en main. Les cybercriminels ont adopt\u00e9 cette technologie pour cr\u00e9er des applications Web dont ils int\u00e8grent ensuite les adresses Internet dans leurs emails de phishing. M\u00eame si le fonctionnement de ces applications se r\u00e9sume en fin de compte \u00e0 la m\u00eame bonne vieille redirection automatique vers un site malveillant, il existe quelques nuances particuli\u00e8res \u00e0 prendre en compte.<\/p>\n

Tout d\u2019abord, l\u2019application Web r\u00e9sultante est h\u00e9berg\u00e9e directement sur les serveurs de la plateforme. L\u2019URL pr\u00eate \u00e0 l\u2019emploi dans un email de phishing ressemble \u00e0 https:\/%name%.bubble.io\/.<\/em> Du point de vue des solutions de s\u00e9curit\u00e9, le site semble \u00eatre un site l\u00e9gitime et existant depuis longtemps.<\/p>\n

De plus, le code de cette application Web ne ressemble pas \u00e0 une redirection classique. Pour \u00eatre honn\u00eate, il est difficile de d\u00e9crire \u00e0 quoi il ressemble. Le code g\u00e9n\u00e9r\u00e9 par cette plateforme sans code est un immense m\u00e9lange de JavaScript et de structures Shadow DOM (Document Object Model) isol\u00e9es. M\u00eame pour un expert, il est difficile de cerner ce qui se passe au premier coup d\u2019\u0153il. Il faut vraiment creuser pour comprendre comment le tout fonctionne et quel en est le but. Les algorithmes d\u2019analyse automatis\u00e9e de code Web sont encore plus susceptibles de se tromper, leur verdict \u00e9tant souvent que le site est tout simplement fonctionnel et utile.<\/p>\n

\"Un<\/a>

Un extrait de code d\u2019une application Web h\u00e9berg\u00e9e sur la plateforme Bubble<\/p><\/div>\n

En quoi consistent ces plateformes de phishing, et quel est leur objectif\u00a0?<\/h2>\n

De nos jours, les pirates informatiques d\u00e9veloppent et mettent rarement en \u0153uvre de nouveaux stratag\u00e8mes en partant de z\u00e9ro. La plupart utilisent des kits de phishing, qui sont essentiellement des outils permettant de cr\u00e9er soi-m\u00eame des montages frauduleux, voire des plateformes compl\u00e8tes de phishing en tant que service.<\/p>\n

Ces plateformes offrent aux pirates une panoplie d\u2019outils sophistiqu\u00e9s (et particuli\u00e8rement exasp\u00e9rants) qui \u00e9voluent sans cesse afin d\u2019am\u00e9liorer la distribution des emails et de contourner les mesures de protection contre le phishing. Par exemple, ces outils permettent notamment aux pirates de r\u00e9aliser les actions suivantes\u00a0: intercepter des cookies de session\u00a0; mener des attaques de phishing via Google Tasks<\/a> (une tactique que nous avons abord\u00e9e dans un article pr\u00e9c\u00e9dent) ; lancer des attaques de type \u00ab\u00a0adversary-in-the-middle\u00a0\u00bb (AiTM) pour valider l\u2019authentification \u00e0 deux facteurs (2FA) et la contourner en temps r\u00e9el ; cr\u00e9er des sites de phishing \u00e9quip\u00e9s de honeypots et de g\u00e9orep\u00e9rage pour \u00e9chapper aux robots d\u2019indexation ; et utiliser des assistants d\u2019IA pour g\u00e9n\u00e9rer des emails de phishing uniques. Pour ne rien arranger, l\u2019infrastructure de ces plateformes est g\u00e9n\u00e9ralement h\u00e9berg\u00e9e sur des services tout \u00e0 fait l\u00e9gitimes comme AWS, ce qui rend ces pratiques encore plus difficiles \u00e0 d\u00e9tecter.<\/p>\n

Ces m\u00eames plateformes servent \u00e0 cr\u00e9er la page de destination qui collecte les identifiants. Dans ce cas pr\u00e9cis, l\u2019application Web h\u00e9berg\u00e9e sur Bubble redirige les victimes vers un site (avec v\u00e9rification Cloudflare) qui imite une fen\u00eatre de connexion Microsoft.<\/p>\n

\"Formulaire<\/a>

Formulaire de phishing con\u00e7u pour d\u00e9rober les identifiants d\u2019entreprise<\/p><\/div>\n

De toute \u00e9vidence, dans l\u2019univers parall\u00e8le des pirates, Skype reste un outil de communication viable, mais \u00e0 part cela, le site semble remarquablement convaincant.<\/p>\n

Comment prot\u00e9ger votre entreprise contre les attaques de phishing sophistiqu\u00e9es<\/h2>\n

Dans le contexte num\u00e9rique actuel, les employ\u00e9s doivent bien comprendre que les identifiants d\u2019entreprise ne doivent \u00eatre saisis que sur les services et les sites Internet qui appartiennent incontestablement \u00e0 l\u2019entreprise. Vous pouvez sensibiliser votre \u00e9quipe aux cybermenaces modernes gr\u00e2ce \u00e0 Kaspersky Automated Security Awareness Platform<\/a>, une plateforme de formation en ligne.<\/p>\n

Bien entendu, m\u00eame l\u2019employ\u00e9 le plus prudent peut parfois mordre \u00e0 l\u2019hame\u00e7on. Nous vous recommandons d\u2019\u00e9quiper tous les postes de travail connect\u00e9s \u00e0 Internet de solutions de s\u00e9curit\u00e9 performantes<\/a> qui bloqueront syst\u00e9matiquement toute tentative d\u2019acc\u00e8s aux sites malveillants. Enfin, pour r\u00e9duire d\u2019embl\u00e9e le nombre d\u2019emails dangereux qui encombrent les bo\u00eetes de r\u00e9ception des entreprises, nous vous recommandons de d\u00e9ployer une solution de s\u00e9curit\u00e9 pour passerelle dot\u00e9e de technologies anti-phishing avanc\u00e9es<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Les cybercriminels d\u00e9ploient d\u00e9sormais des applications Web g\u00e9n\u00e9r\u00e9es par Bubble, un outil de cr\u00e9ation d’applications bas\u00e9 sur l’IA, afin de d\u00e9rober les identifiants des entreprises.<\/p>\n","protected":false},"author":2598,"featured_media":23764,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[906,3383,89],"class_list":{"0":"post-23760","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-email","11":"tag-ia","12":"tag-phishing"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/bubble-no-code-phishing\/23760\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/bubble-no-code-phishing\/29079\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/bubble-no-code-phishing\/31959\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/bubble-no-code-phishing\/30565\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/bubble-no-code-phishing\/41581\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/bubble-no-code-phishing\/14411\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/bubble-no-code-phishing\/55488\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/bubble-no-code-phishing\/24849\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/bubble-no-code-phishing\/33328\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/bubble-no-code-phishing\/30449\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23760"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23760\/revisions"}],"predecessor-version":[{"id":23766,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23760\/revisions\/23766"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23764"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}