Testez gratuitement
MailSecure
Explosion des phishing Chorus Pro : comprendre l’arnaque et s’en protéger par MailSecure | Temps de lecture : 3 minutes
Phishing

Explosion des phishing Chorus Pro : comprendre l’arnaque et s’en protéger

MailSecure
3 mars 2026 | Temps de lecture : 3 minutes

Depuis quelques mois, les campagnes d’hameçonnage (phishing Chorus Pro) qui usurpent Chorus Pro se multiplient. Le levier est simple et redoutablement efficace : une fausse “facture” ou une “notification” qui déclenche un réflexe métier (compta, achats, direction), puis un lien vers un faux portail pour voler des identifiants ou provoquer une fraude au virement.

Chorus Pro, c’est quoi exactement ?

Chorus Pro est le portail public français lié à la facturation électronique et à la commande publique. Il sert notamment à déposer, recevoir et traiter des factures entre fournisseurs et entités publiques.

Quels publics sont concernés ?

Deux grandes familles sont directement exposées :

  • Les fournisseurs du secteur public : entreprises (toutes tailles) qui émettent des factures vers des administrations/collectivités via Chorus Pro.
  • Les destinataires côté public : collectivités, établissements publics (locaux/nationaux), établissements publics de santé, etc. Un support Chorus Pro évoque plus de 140 000 entités réceptrices de factures.

👉 C’est précisément ce qui rend le thème « facture Chorus Pro » si rentable pour les attaquants : il touche un très large périmètre (public + privé) et s’intègre dans des processus sensibles (paiements, validation, marchés).

Pourquoi a-t-on une « explosion » des phishing Chorus ?

Parce que l’hameçonnage est déjà l’attaque la plus industrialisée, et que les attaquants se « branchent” sur les usages du quotidien (factures, RH, livraison, amendes, etc.).

Quelques repères chiffrés sérieux :

  • APWG (Anti-Phishing Working Group) : 1 003 924 attaques de phishing observées au T1 2025, l’un des plus hauts volumes trimestriels récents.
  • Cybermalveillance.gouv.fr (Rapport d’activité 2024) : le rapport cite explicitement des variantes de phishing visant, pour les professionnels, les identifiants du portail Chorus Pro.
  • ANSSI (Panorama 2024) : 4 386 événements de sécurité traités en 2024 (+15% vs 2023), signe d’une pression cyber toujours plus forte sur les organisations françaises.

Ce qu’il faut retenir : le phishing n’est plus un “spam” générique. C’est de l’ingénierie sociale ciblée sur des scénarios métiers, dont “Chorus Pro / facture” est devenu un classique.

Anatomie d’un phishing Chorus Pro : exemple réel (analyse technique)

Voici un pattern typique observé sur des vagues actuelles (extraits d’en-têtes similaires à ce qu’on voit en production) :

1) Usurpation de marque et domaines incohérents

  • From affiché : “Chorus Pro” mais adresse réelle du type notification-choruspro-fr@… sur un domaine tiers (ex : abatos.fr).
  • Return-Path / Envelope-From : www-data@<domaine aléatoire>.example.com
    ➡️ From ≠ domaine officiel et envelope technique « incohérente » : drapeau rouge.

2) Authentification email inexistante

  • SPF : none
  • DMARC : none
    ➡️ Aucun mécanisme anti-usurpation : l’email ne prouve rien.

3) Infrastructure de spam / relais compromis

  • Envoi via un serveur inconnu, parfois exécuté par l’utilisateur www-data (indice fréquent de machine compromise / script web).
  • IP relayée pouvant être listée en blocklist.
    ➡️ On n’est pas sur une plateforme institutionnelle : on est sur un relai de spam.

4) Lien de phishing « jetable »

  • URL pointant vers un hébergeur « traditionnel » (ex : plateformes web, builders, CDN) et domaine récent / aléatoire.
    ➡️ Objectif : page de login contrefaite pour voler les identifiants (et/ou déposer un faux RIB).

Ce que cherchent les attaquants

  • Identifiants (compta / achats / admins Chorus)
  • Données (informations internes, coordonnées, SIRET, etc.)
  • Paiements : substitution de RIB, “urgence” de règlement, faux recouvrement.

Comment MailSecure bloque les phishing Chorus Pro

Les campagnes actuelles combinent usurpation + domaines jetables + liens malveillants. Une protection efficace doit donc être multi-couches, pas uniquement “un score spam”.

1) Filtrage avancé + IA

MailSecure applique un filtrage email en amont de la messagerie, avec des algorithmes capables d’identifier :

  • incohérences d’authentification (SPF/DKIM/DMARC)
  • signaux d’infrastructure (rDNS, comportements d’envoi, anomalies HELO)
  • contenus et patterns (objets “facture”, “Chorus”, templates récurrents)
  • signaux URL (réputation, fraîcheur de domaine, redirections)

2) RBL propriétaire (réputation IP / domaines)

Les vagues « Chorus » reposent sur des infrastructures tournantes (IPs / domaines / sous-domaines). MailSecure dispose de sa propre RBL propriétaire permet de :

  • bloquer rapidement des sources identifiées (IP, plages, domaines, hosts)
  • mutualiser la connaissance entre incidents observés
  • réagir plus vite que des listes publiques seules

3) Réduction du risque métier

Au-delà du blocage, l’enjeu est d’éviter :

  • la compromission d’un compte (rebond interne, accès à des factures, usurpation)
  • la fraude au virement (faux RIB, faux fournisseur)
  • l’interruption d’activité (compta paralysée, contrôles, litiges)

Une solution 100% française

Point important pour les organisations publiques et les entreprises sensibles : MailSecure est une solution française, opérée en France, avec une logique de souveraineté et de conformité adaptée au marché FR.

👉 Testez gratuitement MailSecure : contactez-nous

Les dernières publications

Testez gratuitement MailSecure

Contactez-nous !

Cliquez-ici

©2026 MailSecure - Protection Anti-spam / Anti-virus

Service proposé et hébergé par Promatec Cloud

Création du site : Agence web Promatec Digital

Suivez-nous sur Linkedin

03 20 70 00 99

Recherches fréquentes