En octobre 2025, Microsoft a publié son rapport annuel sur l’état de la cybermenace. Parmi les tendances inquiétantes mises en avant, une vieille technique fait un retour remarqué : l'email-bombing. Cette méthode, qui consiste à inonder une boîte mail de messages jusqu’à la saturer, connaît aujourd’hui une seconde jeunesse en étant combinée à d’autres formes d’attaques, notamment le vishing (phishing vocal). Simple mais redoutablement efficace, ce type de cyberattaque illustre à quel point les pirates savent réinventer des tactiques anciennes pour contourner les défenses modernes.

Une attaque vieille de plusieurs décennies

L’email-bombing n’a rien d’un phénomène récent. À l’origine, le principe était de surcharger la boîte de réception d’une victime en lui envoyant des centaines, voire des milliers de messages, afin de rendre son compte inutilisable. Cette saturation empêche souvent la victime de voir les courriels importants, notamment les alertes de sécurité envoyées par les plateformes ou les banques lorsque des connexions suspectes sont détectées.

Si cette méthode paraissait archaïque, elle a regagné en efficacité à mesure que les cybercriminels ont trouvé des moyens de contourner les restrictions imposées par les services de messagerie modernes comme Gmail ou Microsoft 365. Ces derniers limitent en effet le nombre de mails envoyés par utilisateur pour éviter les abus.

Des newsletters transformées en armes numériques

Pour pallier ces limites, les pirates ont trouvé une solution aussi simple qu’ingénieuse : enregistrer massivement la victime sur des newsletters et services en ligne. Avec une simple adresse mail, ils peuvent abonner leur cible à des centaines de listes de diffusion automatiques. Résultat : la boîte de réception se retrouve instantanément submergée par des messages promotionnels, notifications de confirmation et autres spams légitimes rendant la gestion des mails quasi impossible.

Cette méthode ne nécessite pas d’infrastructure sophistiquée, mais elle s’avère redoutable. En quelques minutes, la victime perd tout contrôle sur sa messagerie, ce qui ouvre la voie à une deuxième phase d’attaque.

Le vishing, la seconde lame du piège

C’est là qu’entre en scène le vishing, contraction de voice phishing. Une fois la confusion installée par le bombardement d’e-mails, les cybercriminels contactent la victime par téléphone ou via des plateformes professionnelles comme Microsoft Teams. Ils se font alors passer pour le service informatique de l’entreprise ou le support technique d’un fournisseur.

Profitant du climat d’urgence et de désorganisation, ils persuadent la victime de les laisser “résoudre” le problème. Dans les faits, ils lui font installer des outils d’accès à distance ou des malwares, leur permettant d’obtenir un accès direct et persistant à son poste.

Ce duo mail-bombing + vishing a fait ses preuves en 2025, notamment dans plusieurs attaques visant des entreprises clientes de Salesforce et même Google.

Comment se protéger de l'email-bombing ?

Pour Microsoft, la clé réside dans la prévention et la réactivité. L’entreprise recommande de :

• Alerter immédiatement les équipes de sécurité en cas d’inondation de mails suspecte ;
• Restreindre les communications externes et surveiller les usurpations d’identité sur les outils collaboratifs ;
• S’entraîner à reconnaître les fausses escroqueries d’assistance technique que ce soit via une formation ou par du bon sens ;
• Limiter l’usage des logiciels de gestion à distance aux cas strictement nécessaires.

Source : Microsoft