Le spear phishing est une forme de phishing ciblée, dans laquelle les at­ta­quants envoient des emails ou des messages spé­ci­fi­que­ment adaptés à une personne ou à une or­ga­ni­sa­tion. Leur objectif est de dérober des in­for­ma­tions con­fi­den­tielles ou d’in­tro­duire des logiciels mal­veil­lants. Con­trai­re­ment au phishing classique, le spear phishing s’appuie sur des données per­son­nelles con­cer­nant la victime, ce qui rend le message par­ti­cu­liè­re­ment crédible et difficile à détecter.

Qu’est-ce que le spear phishing ?

Le principe du phishing est simple : les escrocs créent de faux emails, des sites Web trompeurs et parfois même de faux messages courts semblant au­then­tiques, afin d’inciter les uti­li­sa­teurs à fournir leurs in­for­ma­tions de connexion. De cette façon, les cy­ber­cri­mi­nels ob­tien­nent ainsi des iden­ti­fiants de connexion pour des comptes d’achat en ligne, de réseaux sociaux ou de stockage Cloud.

Le spear phishing est une forme plus ciblée du phishing. Au lieu de viser un large public, comme c’est le cas avec les courriels in­dé­si­rables (spam), les at­ta­quants sé­lec­tion­nent leurs victimes avec soin. Grâce à des in­for­ma­tions spé­ci­fiques sur leur cible, ils peuvent concevoir des messages et des sites Web d’apparence très crédible. Si la pré­pa­ra­tion demande plus d’efforts, le taux de réussite est lui aussi plus élevé.

Comment fonc­tionne le spear phishing ?

Le spear phishing vise des personnes précises et adapte la tentative de fraude à chaque cible. Ces attaques touchent en général surtout les en­tre­prises et or­ga­ni­sa­tions. Les auteurs ne sont pas toujours de simples escrocs op­por­tu­nistes : certains cherchent à nuire spé­ci­fi­que­ment à une structure (vol de données bancaires, es­pion­nage in­dus­triel, ou même cy­be­rat­taques visant des in­fras­truc­tures sensibles).

Avant l’attaque, les fraudeurs « es­pion­nent » la cible pour collecter des in­for­ma­tions qui ren­for­ce­ront la cré­di­bi­lité de leur message. Ils rédigent ensuite un e-mail soig­neu­se­ment per­son­na­lisé, souvent pré­ten­du­ment envoyé par une autorité ou un par­te­naire com­mer­cial connu. Dans de grandes or­ga­ni­sa­tions, où la structure interne est moins familière aux employés, cette approche est d’autant plus efficace : la victime est incitée à divulguer des in­for­ma­tions sensibles ou à té­lé­char­ger un logiciel mal­veil­lant.

Dé­fi­ni­tion courte : le spear phishing est une forme de phishing ciblé qui repose sur la collecte d’in­for­ma­tions, la per­son­na­li­sa­tion du message et l’ex­ploi­ta­tion de la confiance afin d’obtenir des accès sensibles ou de causer des dommages à une or­ga­ni­sa­tion ou à une personne.

Adresse mail sécurisée pour votre vie privée numérique
  • Pro­tec­tion pro­fes­sion­nelle des données et de sécurité
  • Chif­fre­ment des emails avec SSL/TLS
  • Pro­tec­tion antivirus avec pare-feu et filtres anti-spam
  • Sau­ve­gardes quo­ti­diennes, pro­tec­tion quo­ti­dienne

Le spear phishing expliqué par un exemple

Imaginons qu’un hacker choisisse comme cible une grande mul­ti­na­tio­nale. Il commence par re­cueil­lir un grand nombre d’in­for­ma­tions per­ti­nentes : la structure de l’en­tre­prise, ses canaux de com­mu­ni­ca­tion internes, ses domaines d’activité, ou encore les adresses email des employés. Ces données per­met­tent de concevoir une attaque précise et crédible.

L’attaquant n’enverra pas son message à l’ensemble de l’en­tre­prise, car cela aug­men­te­rait le risque d’être détecté ; il sé­lec­tionne plutôt soig­neu­se­ment quelques personnes.

Grâce aux in­for­ma­tions col­lec­tées, en général obtenues sur les réseaux sociaux, le message paraît hautement crédible. Il semble provenir d’un res­pon­sable d’une autre filiale ou d’un par­te­naire com­mer­cial. Le nom, l’adresse email et la signature de l’ex­pé­di­teur sont falsifiés pour renforcer l’illusion.

L’email contient un lien ou un bouton qui redirige vers un site Web falsifié. Lorsque la victime clique dessus, un logiciel mal­veil­lant peut être té­lé­chargé en arrière-plan. Une fois installé sur l’or­di­na­teur, ce malware permet à l’attaquant d’espionner le réseau interne ou de manipuler des données sensibles.

La victime pense avoir sim­ple­ment visité un site légitime ou participé à un sondage. Pendant ce temps, le virus se propage dis­crè­te­ment dans le réseau de l’en­tre­prise, donnant à l’attaquant un accès complet ou la pos­si­bi­lité de perturber des processus es­sen­tiels.

Services d’hé­ber­ge­ment d’email pratiques et sûrs
  • Adresse email per­son­na­li­sée
  • Accès aux emails depuis n’importe où
  • Normes de sécurité les plus élevées

Comment se protéger contre le spear phishing ?

Astuce n°1 : rester sceptique

La meilleure pro­tec­tion contre le spear phishing repose sur une bonne dose de scep­ti­cisme. Évitez de cliquer sur des liens inconnus ou d’ouvrir des pièces jointes inat­ten­dues. Le danger vient du fait que ces attaques, con­trai­re­ment aux emails de phishing clas­siques, sont très bien conçues. Alors que les spams habituels se re­con­nais­sent fa­ci­le­ment à leurs fautes de langage ou à leurs demandes absurdes, les messages de spear phishing pa­rais­sent sérieux, cohérents et au­then­tiques.

Astuce n°2 : garder la tête froide

Les cy­ber­cri­mi­nels ex­ploi­tent les fai­blesses humaines, notamment la curiosité et la peur. Ceux qui craignent de manquer une in­for­ma­tion im­por­tante ou une op­por­tu­nité ont tendance à agir im­pul­si­ve­ment. Les messages de spear phishing jouent sur ces émotions : certains pro­met­tent un avantage pro­fes­sion­nel, d’autres utilisent un ton au­to­ri­taire pour créer un sentiment d’urgence et inciter à agir sans réfléchir.

Astuce n°3 : protéger les données sensibles

Le spear phishing ne fonc­tionne que si les at­ta­quants disposent d’in­for­ma­tions suf­fi­santes sur leurs victimes. Les profils de réseaux sociaux sont souvent leur première source. Évitez d’y divulguer des détails per­son­nels ou pro­fes­sion­nels sensibles. Les escrocs peuvent également recourir au Social En­gi­nee­ring pour obtenir davantage d’in­for­ma­tions. Règle d’or : ne partagez jamais de données con­fi­den­tielles avec des inconnus, même si le contact semble crédible.

Astuce n°4 : vérifier l’ex­pé­di­teur dans le protocole d’envoi

Un message frau­du­leux peut dans la plupart des cas être identifié en examinant l’adresse réelle de l’ex­pé­di­teur. Dans le cas des emails, il est utile d’afficher le protocole d’envoi complet. Même si le nom ou l’adresse affichée sont falsifiés, l’adresse au­then­tique figure dans les en-têtes tech­niques du message. De nombreux clients de mes­sa­ge­rie, comme Outlook ou Thun­der­bird, masquent cette in­for­ma­tion pour ne montrer qu’un nom d’affichage, mais il est possible d’afficher l’en-tête d’un email. Si la source diffère de l’ex­pé­di­teur apparent, le message est pro­ba­ble­ment frau­du­leux.

Astuce n°5 : éviter le HTML et le té­lé­char­ge­ment au­to­ma­tique d’images

Une mesure de sécurité efficace consiste à dé­sac­ti­ver l’affichage au format HTML et à empêcher le char­ge­ment au­to­ma­tique des images dans les emails. Cela réduit con­si­dé­ra­ble­ment le risque que des pro­grammes mal­veil­lants soient exécutés ou té­lé­char­gés dès l’ouverture du message.

Astuce n°6 : ne pas ouvrir les pièces jointes inconnues

Les pièces jointes provenant d’ex­pé­di­teurs inconnus ne doivent jamais être ouvertes sans vé­ri­fi­ca­tion préalable. Assurez-vous d’abord de confirmer l’identité de l’ex­pé­di­teur. Même si celui-ci semble fiable, ne té­lé­char­gez pas de fichiers que vous ne vous attendiez pas à recevoir. Il est possible que l’or­di­na­teur de la personne connue soit déjà infecté par un programme mal­veil­lant. En cas de doute, contactez l’ex­pé­di­teur par un autre canal pour confirmer la lé­gi­ti­mité du message.

Astuce n°7 : examiner at­ten­ti­ve­ment les URL et les liens

Soyez vigilant avec les adresses Internet intégrées dans les emails. Passez le curseur sur un lien pour afficher l’adresse réelle avant de cliquer. Les cy­ber­cri­mi­nels utilisent souvent le spoofing d’URL pour faire res­sem­bler un domaine frau­du­leux à une adresse légitime. Méfiez-vous également des liens rac­cour­cis : si possible, restaurez leur forme originale ou évitez-les com­plè­te­ment.

Astuce n°8 : sécuriser l’adresse email contre la fal­si­fi­ca­tion

En plus des bonnes pratiques in­di­vi­duelles, la con­fi­gu­ra­tion technique du serveur de mes­sa­ge­rie joue un rôle clé dans la pro­tec­tion contre le spear phishing. Les pro­to­coles SPF, DKIM et surtout DMARC per­met­tent de vérifier l’au­then­ti­cité des ex­pé­di­teurs et d’empêcher l’uti­li­sa­tion frau­du­leuse d’un domaine. Ces mesures aident les en­tre­prises à bloquer les emails falsifiés envoyés en leur nom.

En résumé

Les meil­leures défenses contre le spear phishing restent une méfiance saine et une com­mu­ni­ca­tion ouverte entre collègues. En discutant des messages suspects ou des adresses douteuses, il devient plus facile de repérer ra­pi­de­ment les ten­ta­tives de fraude et d’éviter qu’elles ne fassent des victimes.

Aller au menu principal