Introduction
Pendant longtemps, le phishing web a reposé sur un schéma connu : une page frauduleuse statique, copiée d’un service légitime, hébergée sur un domaine suspect, détectable (au moins partiellement) par analyse de contenu ou par réputation.
Depuis janvier 2026, une évolution inquiète les équipes sécurité : des pages web apparemment inoffensives au chargement peuvent se transformer en page de phishing pendant la navigation grâce à des appels en temps réel à des services de LLM (IA générative), qui renvoient du JavaScript ensuite exécuté dans le navigateur.
L’enjeu : moins de “payload” statique à intercepter, et un contenu polymorphique (différent à chaque visite), ce qui complique la détection traditionnelle.
1) Phishing runtime : principe de fonctionnement
Les chercheurs décrivent une approche souvent appelée runtime assembly :
● Au départ, la page ressemble à un site normal (HTML/JS minimal, rien de manifestement malveillant).
● Ensuite, au moment où l’utilisateur interagit, la page déclenche des requêtes côté client vers une API de LLM.
● Puis, le LLM renvoie des fragments de code qui sont assemblés et exécutés dans le navigateur, pour afficher une interface de phishing (souvent personnalisée), ou déclencher des comportements malveillants.
Ce qui change vraiment : l’attaque se déclenche au runtime, directement dans le navigateur, via un code généré à la volée et variable d’une victime à l’autre.
2) Enjeux de détection et limites des approches classiques
Les défenses classiques ont tendance à analyser :
● la page au chargement,
● des signatures de scripts,
● la réputation du domaine,
● ou des IOC réseau.
Or ici :
● le code malveillant est produit après le chargement initial
● le JavaScript est polymorphique (syntaxe différente, même effet),
● une partie du trafic peut transiter via des domaines réputés (puisqu’il s’agit d’API LLM légitimes).
Conséquence : on a besoin de davantage de détection comportementale au runtime (dans le navigateur) et de solutions capables de rendre la page finale telle qu’elle est vue par l’utilisateur.
3) Principaux scénarios d’attaque et impacts métier
Ce type de phishing vise surtout :
● vol d’identifiants (comptes Microsoft 365/Google/SSO),
● vol de session (selon la technique employée),
● et compromission du SI via rebond (mailbox takeover, fraude au président, exfiltration, etc.)
4) Contrôles de sécurité recommandés défense en profondeur)
Sans détailler les modalités de mise en œuvre, voici les mesures les plus efficaces, structurées selon une approche de défense en profondeur :
A) Renforcer la couche navigateur / poste
● Prioriser des solutions capables d’observer et bloquer au moment de l’exécution (runtime) et/ou d’analyser la page rendue.
● Contrôler les extensions navigateur (allowlist) et durcir les navigateurs gérés.
B) Durcir l’identité (car le phishing cible l’authentification)
● Accélérer l’adoption de MFA résistante au phishing (passkeys/FIDO2/WebAuthn) lorsque possible.
● Réduire l’exposition : politiques conditionnelles, accès “device compliant”, segmentation.
C) Gouverner l’usage des LLM en entreprise
● Encadrer les usages “shadow AI” (LLM non approuvés) et surveiller les flux sortants vers services non autorisés (ce n’est pas une mesure suffisante à elle seule, mais elle réduit significativement la surface d’attaque et améliore la capacité de détection).
D) Sensibilisation
● Former les équipes à reconnaître les signaux faibles : pages qui changent “après coup”, prompts inattendus, demandes de login hors contexte, etc.
● Exercices de phishing + procédures réflexes (fermer, vérifier l’URL officielle, signaler).
5) ISO/IEC 27001 : structurer la réponse face au phishing “runtime"
Le phishing “runtime” met en évidence un besoin fondamental couvert par ISO/IEC 27001 : Disposer d’un système de management capable de traiter une menace qui touche simultanément l’identité, le poste/navigateur et la détection.
Le SMSI structure la gestion des risques, la sensibilisation des utilisateurs, le déploiement de contrôles techniques (durcissement poste et navigateur, filtrage, journalisation et monitoring) ainsi que la gestion des incidents.
L’exigence centrale consiste à démontrer une maîtrise durable : des mesures formalisées, pilotées et revues régulièrement, appuyées par des preuves (indicateurs, tests, exercices) et une logique d’amélioration continue.
Conclusion
Le phishing “runtime” marque un changement net : le contenu malveillant n’est plus forcément visible au chargement, il peut se construire et s’activer à l’exécution, directement dans le navigateur. Face à cette évolution, l’enjeu pour les organisations est de renforcer une défense en profondeur centrée sur le poste/navigateur, l’identité (avec des mécanismes d’authentification résistants au phishing comme passkeys/FIDO2) et une capacité de détection et réponse adaptée aux comportements en temps réel.
Dans ce contexte, ISO/IEC 27001 fournit un cadre particulièrement pertinent pour transformer ces mesures en dispositif maîtrisé : analyse de risques, contrôles techniques, sensibilisation, gestion d’incidents, et démonstration de la tenue dans le temps via une gouvernance, des revues et des preuves. L’objectif est simple : réduire la probabilité de compromission, limiter l’impact si elle se produit, et améliorer en continu la posture de sécurité.
Transformez vos obligations de conformité en véritable levier de réduction du risque. Devforma vous accompagne dans votre conformité 27001, de l’évaluation initiale à la certification.
