Une révolution silencieuse dans les tactiques de phishing est en marche.
Depuis six mois, le format d’image SVG s’impose comme l’un des vecteurs préférés pour la diffusion de charges malveillantes dans les attaques par email.
Des experts en cybersécurité de toute l’industrie tirent la sonnette d’alarme. Plus d’une douzaine d’entreprises, dont AhnLab, Cloudflare, Forcepoint, Intezer, Kaspersky, Keep Aware, KnowBe4, Mimecast, Sophos, Sublime Security, Trustwave et VIPRE, ont rapporté une nette augmentation des menaces liées aux fichiers SVG. D’après le rapport de Sublime Security pour le premier trimestre 2025, les charges SVG représentent désormais 1 % de toutes les tentatives de phishing détectées. Plus frappant encore, Sublime observe une explosion de 47 000 % de l’utilisation de charges SVG par rapport au dernier trimestre 2024.
Pourquoi les SVG ? Parce que ce ne sont pas vraiment des images.
L’évolution s’explique par la nature même du format SVG. Contrairement aux images classiques basées sur des pixels, un fichier SVG (Scalable Vector Graphics) est en réalité un fichier XML décrivant des formes avec des instructions mathématiques. Lorsqu’un navigateur ou un client email ouvre un SVG, il ne montre pas une image, il exécute un code qui la dessine dynamiquement.
Mais les SVG vont bien au-delà du simple rendu graphique. Ce qui les rend particulièrement dangereux, c’est leur capacité à embarquer du HTML et du JavaScript, les briques de base du web moderne. Les attaquants l’ont bien compris : plus besoin de rediriger l’utilisateur vers un site piégé. La page de phishing s’affiche directement à l’intérieur de l’image.
Résultat : des formulaires de vol de mots de passe peuvent être intégrés dans une signature email, un logo d’entreprise ou tout autre élément visuel apparemment anodin. Une fois l’email ouvert, le client rend la page de phishing en local, et les données saisies sont envoyées à l’attaquant. Dans certains cas, cette technique permet même de contourner l’authentification multifacteur.
Une arme sans clic
Dans certaines attaques, l’utilisateur n’a même pas besoin d’interagir. L’ouverture du mail suffit à déclencher un script redirigeant vers un site de phishing. Cette redirection est invisible, immédiate et redoutablement efficace.
Cloudflare résume parfaitement le danger : « Les SVG ne sont pas de simples images, ce sont des documents programmables. Lorsqu’ils sont affichés dans un navigateur, ils deviennent un contenu actif, capable d’exécuter des scripts et d’autres opérations. ».
Une menace persistante et évolutive
L’utilisation des SVG dans les campagnes de phishing ne relève pas d’un effet de mode. Elle reflète un changement structurel dans les méthodes des attaquants. Contrairement à d’autres vecteurs qui se sont vite essoufflés, celui-ci allie furtivité, interactivité et capacité d’exécution. Un cocktail qui le rend particulièrement redoutable.
À moins que des fournisseurs majeurs comme Gmail, Hotmail ou iCloud Mail ne décident de scanner rigoureusement le contenu SVG, de bloquer ses éléments interactifs ou d’interdire ce format, cette méthode ne disparaîtra pas. D’ici là, les équipes de sécurité devront redoubler de vigilance, et les organisations devront repenser leur traitement des fichiers SVG dans l’infrastructure mail.
ZENDATA Cybersecurity continue de surveiller cette menace en pleine mutation et reste déterminée à protéger ses clients et partenaires contre les attaques de phishing de nouvelle génération.
