Qu'est-ce qu'une attaque de phishing ?

Le terme « phishing » fait référence aux tentatives de vol d'informations sensibles, généralement
sous la forme de noms d'utilisateur, de mots de passe, de numéros de carte de paiement,
d'informations sur les comptes bancaires ou d'autres données importantes dans le but d'utiliser ou
de vendre ces informations volées. En se faisant passer pour une source réputée avec une demande
alléchante, un acteur malveillant attire la victime afin de la piéger, de la même manière qu'un
pêcheur utilise un appât pour attraper un poisson.
En résumé Le phishing est une technique utilisée par des cybercriminels pour voler des données
sensibles (identifiants, mots de passe, numéros de carte bancaire, etc.) en se faisant passer pour un
tiers de confiance (banque, service public, opérateur téléphonique, etc.).

Il a pour objectif de :

Obtenir des informations personnelles

Voler de l’argent
Prendre le contrôle d’un compte (email, réseaux sociaux, etc.)
Diffuser un logiciel malveillant

Exemple courant

Email soi-disant de votre banque :

“Votre compte a été bloqué, cliquez ici pour réactiver.”

SMS d’un faux transporteur (La Poste, DHL) :

“Un colis vous attend. Payez 2 € pour le récupérer.”

Message WhatsApp ou Facebook d’un ami (compromis) :

“Salut, regarde ce lien trop drôle !”
Faux site web ressemblant à Amazon, Impots.gouv, etc. :

Un lien te redirige vers une copie parfaite du site officiel, mais c’est un piège.

Comment fonctionne le phishing ?

La première étape consiste à préparer l’attaque. Les cybercriminels planifient leur attaque en
choisissant leur cible et en collectant des informations sur elle. Ils peuvent utiliser des techniques
telles que l’observation des réseaux sociaux ou le piratage de bases de données pour obtenir des
données personnelles. Ensuite, les pirates informatiques créent un faux message, souvent un e-mail
ou un SMS, qui semble provenir d’une source légitime telle qu’une banque, une entreprise ou un
service en ligne populaire. En entreprise, les messages peuvent aussi prendre l’apparence d’un mail
venant de la direction, mais aussi d’outils majoritairement utilisés, tels que LinkedIn ou Microsoft
Office. L’une des caractéristiques principales de ces messages est qu’ils contiennent généralement
un prétexte alarmant ou convaincant pour inciter la victime à agir rapidement, comme la nécessité
de mettre à jour des informations de compte ou de réinitialiser un mot de passe.
Une fois que le message est prêt, les cybercriminels l’envoient à un grand nombre de destinataires,
afin de maximiser les chances de réussir l’attaque. Il faut tout de même noter que la majorité des
gens ne se font pas prendre au piège ; mais il suffit d’une seule pour que les gains soient énormes
pour le hacker. Lorsque la victime reçoit le message de phishing, elle est incitée à agir rapidement
en cliquant sur un lien, en téléchargeant une pièce jointe ou en fournissant des informations
personnelles. Le lien peut rediriger la victime vers un site Web frauduleux qui ressemble
exactement à celui d’une entité légitime, mais qui est en réalité contrôlé par les cybercriminels.

Dès l’instant où la victime interagit avec le contenu frauduleux, les cybercriminels peuvent voler ses
informations sensibles. Cela peut inclure des identifiants de connexion, des informations
financières, des données personnelles ou toute autre information qu’ils peuvent exploiter à des fins
frauduleuses. Les conséquences peuvent être dramatiques pour une simple personne, imaginez ce
que cela peut engendrer dans une entreprise avec plusieurs dizaines voire centaines de salariés. La
perte de données ainsi que les retombées pour l’activité peuvent être colossales.

Le but d’une attaque de phishing consiste à utiliser les informations volées par les cybercriminels. Ils
peuvent s’en servir pour accéder aux comptes en ligne de la victime ou de l’entreprise, effectuer
des achats frauduleux, voler l’identité de la victime et attaquer de nouvelles personnes avec son
compte, ou bien vendre les informations sur le marché noir. Cette dernière option concerne les
entreprises, d’où l’importance de bien se protéger contre les cyber attaques

Type d’attaque par phishing

1. Spear phishing
Ellebconsiste à cibler une personne spécifique dans une organisation pour essayer de voler ses
identifiants de connexion L’assaillant recueille souvent d’abord des informations sur la personne
avant de commencer l’attaque, telles que son nom, son poste et ses coordonnées.
Exemple de spear phishing
Un attaquant a essayé de cibler un employé qui fait partie d’une entreprise , à l’aide du spear
phishing. L’assaillant a affirmé que la victime avait besoin de signer un nouveau manuel de
l’employé. Cela a été conçu pour les inciter à cliquer sur un lien où ils auraient été invités à
soumettre des informations privées.

2. Vishing
Le vishing, qui est l’abréviation de « voice phishing », désigne le moment où quelqu’un utilise le
téléphone pour tenter de voler des informations. L’assaillant peut se faire passer pour un ami ou un
parent de confiance ou pour le représenter.

Exemple de vishing
En 2019, une campagne de vishing a ciblé les membres du parlement britannique et leurs employés.
L’attaque faisait partie d’une attaque qui impliquait au moins 21 millions d’e-mails de spam ciblant
les législateurs britanniques.

3. phishing par e-mail

Dans une escroquerie par phising par e-maill’attaquant envoie un e-mail qui semble légitime, conçu
pour inciter le destinataire à saisir des informations en réponse ou sur un site que le hacker peut
utiliser pour voler ou vendre ses données.

Exemple de phishing par e-mail

Les hackers ont utilisé LinkedIn pour obtenir les coordonnées des employés de Sony et les ont ciblés
par une campagne de phishing par e-mail. Ils se sont débarrassés de plus de 100teraoctet de
données

4. phishing HTTPS
Une attaque de phishing HTTPS est réalisée en envoyant à la victime un e-mail avec un lien vers un
faux site Web. Le site peut ensuite être utilisé pour tromper la victime en saisissant ses informations
privées.

Exemple de phishing HTTPS

Lev groupe de pirates informatiques Scarlet Widow recherche les e-mails des employés des
entreprises, puis les cible par phishing HTTPS. Lorsque l’utilisateur reçoit un e-mail principalement
vide, il clique sur le petit lien qui y est, faisant la première étape dans le Web de Scarlet Widow.

5. Pharmaceutique
Lors d’une attaque par pharming, la victime reçoit un code malveillant installé sur son ordinateur.
Ce code envoie ensuite la victime à un faux site Web conçu pour recueillir ses identifiants de
connexion.
Exemple de pharming
En 2007, une attaque complexe de pharming a touché au moins 50 institutions financières dans le
monde. Les utilisateurs ont été dirigés vers de faux sites Web et invités à saisir des informations
sensibles.

6. phishing contextuel
Le phishing contextuel utilise souvent une fenêtre contextuelle sur un problème de sécurité de
votre ordinateur ou un autre problème pour vous inciter à cliquer. Vous êtes ensuite invité à
télécharger un fichier, qui finit par être un malware, ou à appeler ce qui est censé être un centre de
support.

Exemple de phishing contextuel

Les utilisateurs ont parfois reçu des fenêtres contextuelles indiquant qu’ils peuvent être éligibles au
renouvellement d’AppleCare, ce qui leur permettrait d’obtenir une protection étendue pour leurs
appareils Apple. Cependant, l’offre est fausse.

7. phishing maléfique
Dans une attaque par jumeau maléfique, le hacker configure un faux réseau Wi-Fi qui semble réel.
Si quelqu’un s’y connecte et saisit des détails sensibles, le hacker saisit ses informations.

Exemple de phishing par jumeau maléfique

Une agence militaire russe appelée GRU a récemment été chargée d’exécuter des attaques de
jumeau maléfique à l’aide de faux points d’accès. Les points d’accès ont été conçus pour donner
l’impression d’avoir fourni des connexions à des réseaux réels alors qu’en réalité, ils ont conduit les
utilisateurs à des sites qui ont volé leurs identifiants ou téléchargé des logiciels malveillants sur leurs
ordinateurs.

8. phishing par trou d’eau

Dans une attaque de phishing par trou d’eau, un hacker trouve un site qu’un groupe d’utilisateurs a
tendance à visiter. Ils l’utilisent ensuite pour infecter les ordinateurs des utilisateurs afin de tenter
de pénétrer le réseau.

Exemple de phishing par trou d’eau

En 2012, le Conseil américain sur les relations étrangères a été ciblé par une attaque de trou d’eau.
L’attaque visait à tirer parti des utilisateurs de premier rang qui fréquentaient le site, ainsi que des
identifiants de connexion qu’ils pouvaient fournir. L’attaque a connu un certain succès, en
particulier en utilisant une vulnérabilité dans Internet Explorer.

9. Whaling
Une attaque par whaling est une attaque par phishing qui cible un cadre supérieur. Ces personnes
ont souvent un accès profond aux zones sensibles du réseau, de sorte qu’une attaque réussie peut
entraîner l’accès à des informations précieuses.

Exemple de whaling
Fondateur de Levitas, un fonds spéculatif australien a été la cible d’une attaque de baleine qui a
conduit l’individu à une fausse connexion à l’aide d’un lien Zoom frauduleux. Après avoir suivi le
lien, ils ont installé des logiciels malveillants sur leur système, et l’entreprise a perdu 800 000 USD.

10. Clone phishing

Une attaque de clone phishing implique qu’un hacker fasse une copie identique d’un message que
le destinataire a déjà reçu. Ils peuvent inclure quelque chose comme « renvoyer cela » et mettre un
lien malveillant dans l’e-mail.

Exemple de clone phishing

Dans une attaque récente, un hacker a copié les informations d’un e-mail précédent et a utilisé le
même nom qu’un contact légitime qui avait envoyé un message à la victime au sujet d’un accord. Le
hacker prétendait être un PDG nommé Giles Garcia et faisait référence à l’e-mail que M. Garcia
avait précédemment envoyé. Le hacker a ensuite fait semblant de poursuivre la conversation
précédente avec la cible, comme s’il s’agissait vraiment de Giles Garcia.

11. phishing trompeur

Les phishers trompeurs utilisent une technologie trompeuse pour se faire passer pour une véritable
entreprise afin d’informer les cibles qu’ils subissent déjà une cyberattaque. Les utilisateurs cliquent
ensuite sur un lien malveillant, infectant leur ordinateur.

Exemple de phishing trompeur

Les utilisateurs ont reçu des e-mails provenant de l’adresse [email protected] et disposaient d’un
« support Apple » dans les informations de l’expéditeur. Le message affirmait que l’identifiant Apple
de la victime avait été bloqué. Ils ont ensuite été invités à valider leurs comptes en saisissant des
informations que le hacker utiliserait pour les déchiffrer.

12. L’ingénierie sociale

Les attaques d’ingénierie sociale poussent quelqu’un à révéler des informations sensibles en les
manipulant psychologiquement.

Exemple d’ingénierie sociale

Un hacker a prétendu être un représentant de la Chase Bank tout en disant que l’action était
nécessaire sur la carte de débit ou de DAB de la cible. L’assaillant essayait de faire pression sur la
victime pour qu’elle divulgue ses informations en tirant parti de sa crainte de ne pas pouvoir
accéder à son argent sur son compte Chase.
13. Phishing par angler
Les pêcheurs utilisent de fausses publications sur les réseaux sociaux pour inciter les gens à fournir
des informations de connexion ou à télécharger des logiciels malveillants.

Exemple de phishing Angler

Les hackers ont fait semblant de représenter la pizza de Domino sur Twitter, en faisant part des
préoccupations et des commentaires des clients. Une fois qu’ils se sont engagés avec un client, ils
utiliseraient sa situation pour essayer d’obtenir ses informations personnelles, en utilisant le
prétexte d’essayer de lui obtenir un remboursement ou une récompense.

14. Smishing
Le smishing est le phishing par le biais d’une forme de SMS.

Exemple de smishing
Les hackers prétendaient provenir d’American Express et envoyaient des SMS à leurs victimes leur
disant qu’ils devaient s’occuper de leurs comptes. Le message indiquait qu’il était urgent, et si la
victime cliquait, elle serait redirigée vers un faux site où elle saisirait ses informations personnelles.

15. Attaques de l’homme du milieu (MiTM)

Avec une attaque de type man-in-the-middle, le hacker se trouve au « milieu » de deux parties et
tente de voler des informations échangées entre elles, telles que les identifiants de compte.

Exemple d’attaque de l’homme du milieu

En 2017, Equifax, la société populaire de notation de crédit, a été ciblée par des attaques de type
man-in-the-middle qui ont victime des utilisateurs qui ont utilisé l’application Equifax sans utiliser
HTTPS, qui est un moyen sécurisé de naviguer sur Internet. Lorsque les utilisateurs ont accédé à
leurs comptes, les hackers ont intercepté leurs transmissions, volant leurs identifiants de connexion.

16. Usurpation de site Web

Avec l’usurpation de site Web, un hacker crée un faux site Web qui semble légitime. Lorsque vous
utilisez le site pour vous connecter à un compte, vos informations sont collectées par l’attaquant.

Exemple d’usurpation de site Web

Les hackers ont créé un faux site Amazon qui semblait presque identique au vrai Amazon.com, mais
qui disposait d’un URL (Uniform Resource Locator) différent. Tous les autres détails, y compris les
polices et les images, semblent légitimes. Les attaquants espéraient que les utilisateurs mettraient
leur nom d’utilisateur et leur mot de passe.

17. Usurpation de domaine

L’usurpation de domaine, également appelée usurpation DNS, se produit lorsqu’un hacker imite le
domaine d’une entreprise, soit en utilisant un e-mail ou un faux site Web, pour inciter les gens à
saisir des informations sensibles. Pour éviter l’usurpation de domaine, vous devez revérifier la
source de chaque lien et e-mail.

Exemple d’usurpation de domaine

Un attaquant exécuterait une attaque d’usurpation de domaine en créant un domaine frauduleux
conçu pour ressembler à un véritable site LinkedIn, par exemple. Lorsque les utilisateurs se rendent
sur le site et saisissent des informations, elles sont envoyées directement aux hackers qui
pourraient les utiliser ou les vendre à quelqu’un d’autre.

18. phishing d’images

Le phishing d’images utilise des images contenant des fichiers malveillants destinés à aider un
hacker à voler les informations de votre compte ou à infecter votre ordinateur.

Exemple de phishing d’images

Les hackers ont utilisé AdGholas pour masquer le code malveillant écrit dans JavaScript à l’intérieur
des images et des fichiers HTML. Lorsque quelqu’un clique sur une image générée par AdGholas, un
malware est téléchargé sur son ordinateur qui pourrait être utilisé pour hameçonnage pour ses
informations personnelles.

19. phishing des moteurs de recherche

Une attaque de phishing par moteur de recherche implique qu’un attaquant fabrique de faux
produits qui semblent attrayants. Lorsqu’elles apparaissent dans un moteur de recherche, la cible
est invitée à saisir des informations sensibles avant l’achat, qui sont ensuite transmises à un hacker.

Exemple de phishing par moteur de recherche

En 2020, Google a déclaré avoir trouvé 25 milliards de pages de spam chaque jour, comme celle
mise en place par des hackers prétendant provenir de la société de voyage Booking.com. Une
publicité apparaîtra dans les résultats de recherche des utilisateurs qui semblaient provenir de
booking.com et comprenait l’adresse du site et le type de formulation que les utilisateurs
attendaient d’une vraie publicité de la part de l’entreprise. Une fois que les utilisateurs ont cliqué,
ils ont été invités à saisir des informations de connexion sensibles qui ont ensuite été transmises aux
hackers.
Les conséquences du phishing

• Usurpation d’identité : l’une des conséquences les plus graves du phishing est le vol
d’identité. Les cybercriminels peuvent utiliser les informations personnelles volées, telles que
les numéros de sécurité sociale, les numéros de carte de crédit et les mots de passe, pour
usurper l’identité des victimes et commettre des fraudes en leur nom.
• Perte de données sensibles : les données sensibles telles que les informations personnelles,
les informations médicales ou les secrets commerciaux peuvent être compromises en raison
d’une attaque par phishing, ce qui peut entraîner des dommages financiers et réputationnels
pour les individus et les entreprises concernés.
• Perte de confiance : pour faire suite au dernier point, les attaques de phishing réussies
peuvent entraîner une perte de confiance des clients et des partenaires commerciaux envers
une entreprise ou une organisation, ce qui peut avoir un impact négatif sur sa réputation et
sa rentabilité à long terme. De la même façon, il est nécessaire que tous les maillons de la
supply chain soient protégés afin que si l’un d’entre eux est attaqué, cela n’impacte pas les
autres.
• Propagation de logiciels malveillants : certains e-mails de phishing contiennent des liens ou
des pièces jointes malveillants qui, une fois ouverts, peuvent infecter les systèmes
informatiques des victimes avec des logiciels malveillants tels que des virus, des chevaux de
Troie ou des ransomwares.
• Impact sur la productivité : les attaques de phishing réussies peuvent perturber les
opérations commerciales en compromettant les systèmes informatiques, en bloquant l’accès
aux données critiques ou en compromettant la sécurité des informations confidentielles.

Comment repérer une tentative de phishing ?

 • Vérifiez l’adresse e-mail de l’expéditeur : examinez attentivement l’adresse e-mail de
l’expéditeur pour vous assurer qu’elle correspond à celle d’une entreprise ou d’une
organisation légitime. Méfiez-vous des adresses e-mail avec des orthographes incorrectes ou
des extensions de domaine inhabituelles.

• Soyez attentif aux messages d’urgence ou alarmants : comme dit précédemment, les
messages de phishing utilisent souvent des tactiques de peur ou d’urgence pour inciter les
victimes à agir rapidement. Soyez méfiant envers les e-mails qui prétendent qu’un compte
est en danger ou qu’une action immédiate est nécessaire.

• Vérifiez les liens avant de cliquer : avant de cliquer sur un lien dans un e-mail ou un message,
passez votre curseur sur le lien pour afficher l’URL réelle. Assurez-vous que l’URL correspond
à celle attendue et qu’elle commence par “https://” pour indiquer une connexion sécurisée.

• Analysez le contenu du message : recherchez des fautes d’orthographe, des erreurs

grammaticales ou des incohérences dans le contenu du message. Les messages de phishing
sont souvent rédigés de manière peu professionnelle ou contiennent des informations
erronées. On notera à titre d’exemple les attaques couramment réalisées sous le nom
d’ameli.fr, l’assurance maladie, qui comportent bien souvent 2 ii au lieu d’un seul. Ce genre
d’indices doit être rapidement observé par les utilisateurs car ils vous permettent de
détecter rapidement que vous avez affaire à une attaque de phishing.

• Méfiez-vous des demandes d’informations personnelles : les entreprises légitimes ne

demandent généralement pas à leurs clients de fournir des informations personnelles ou
confidentielles par e-mail. Soyez prudent si un message vous demande de fournir des
identifiants de connexion, des numéros de carte de crédit ou d’autres données sensibles.

• Contactez directement l’entreprise ou l’organisation : si vous avez des doutes sur la légitimité
d’un message, contactez directement l’entreprise ou l’organisation concernée par téléphone
ou via leur site web officiel pour vérifier l’authenticité du message reçu.

Mesures de prévention du phishing

Pour prévenir les attaques de phishing, il est essentiel d’adopter diverses mesures préventives.
Certaines des mesures de prévention du phishing les plus efficaces incluent la sensibilisation à la
sécurité, les solutions logicielles, l’authentification multifactorielle, les communications chiffrées, les
filtres de courrier électronique, les pratiques de navigation sécurisées, les paramètres de
confidentialité et les sauvegardes régulières.

Développer une sensibilisation à la sécurité

L’une des méthodes les plus efficaces pour prévenir les attaques de hameçonnage consiste à former
les utilisateurs sur comment détecter et éviter les e-mails de hameçonnage. Les programmes de
formation à la sensibilisation à la sécurité peuvent fournir aux utilisateurs les compétences et les
connaissances nécessaires pour identifier et signaler les attaques de hameçonnage. Ces
programmes peuvent couvrir des sujets tels que comment identifier les URL suspectes, comment
reconnaître les e-mails de hameçonnage, comment éviter les attaques d’ingénierie sociale et
comment signaler une activité suspecte au département informatique.

Investir dans des solutions logicielles de sécurité

Des solutions logicielles telles que les logiciels antivirus, les pare-feu et les filtres anti-spam peuvent
aider à prévenir les attaques de hameçonnage. Les logiciels antivirus peuvent analyser les e-mails
entrants à la recherche de malwares, tandis que les pare-feu peuvent bloquer le trafic suspect. De
plus, les filtres anti-spam peuvent empêcher les e-mails de hameçonnage d’atteindre les boîtes de
réception des utilisateurs.

Exiger l’authentification multifactorielle

L’authentification multifactorielle (MFA) est une mesure de sécurité qui exige des utilisateurs qu’ils
fournissent une vérification supplémentaire avant d’accéder à leurs comptes. La MFA peut inclure
quelque chose que l’utilisateur connaît (comme un mot de passe), quelque chose que l’utilisateur
possède (comme un jeton ou une carte intelligente), ou quelque chose que l’utilisateur est (comme
une analyse biométrique). En exigeant une vérification supplémentaire, la MFA peut empêcher les
cybercriminels d’accéder aux comptes des utilisateurs même s’ils ont obtenu le mot de passe de
l’utilisateur.

Utiliser des communications chiffrées

Les communications chiffrées peuvent empêcher les cybercriminels d’intercepter et de lire les
informations sensibles transmises sur Internet. Les communications chiffrées utilisent un protocole
sécurisé pour chiffrer les données en transit, les rendant illisibles pour quiconque n’a pas la clé de
chiffrement.

Déployer des filtres d’e-mails

Les filtres de courrier électronique peuvent être utilisés pour bloquer les courriels de phishing
connus et les empêcher d’atteindre les boîtes de réception des utilisateurs. Les filtres de courrier
électronique peuvent également être utilisés pour scanner les courriels entrants pour un contenu
suspect et les signaler pour examen plus approfondi.

Pratiquer des habitudes de navigation sécurisées

Des pratiques de navigation sécurisées peuvent aider à prévenir les attaques de phishing. Ces
pratiques comprennent l’évitement de cliquer sur des liens suspects, ne pas télécharger de fichiers
à partir de sites web non fiables, et vérifier l’authenticité des sites web avant d’entrer des
informations sensibles.
Configurer les paramètres de confidentialité
Les paramètres de confidentialité peuvent aider à prévenir les attaques de phishing en limitant la
quantité d’informations personnelles visibles en ligne. Les utilisateurs peuvent ajuster leurs
paramètres de confidentialité sur les plateformes de médias sociaux et autres sites web pour
restreindre la visibilité de leurs informations personnelles. En limitant la quantité d’informations
personnelles disponibles pour les cybercriminels, les utilisateurs peuvent réduire leur risque de
devenir une cible pour les attaques de phishing.

Effectuer des sauvegardes régulières

Des sauvegardes régulières de données importantes peuvent aider à prévenir la perte de données
en cas d’attaque de phishing réussie. En sauvegardant régulièrement les données importantes, les
utilisateurs peuvent s’assurer qu’ils disposent d’une copie de leurs données en cas de perte ou de
vol. En cas d’attaque de phishing réussie, les utilisateurs peuvent simplement restaurer les données
sauvegardées et continuer à travailler comme d’habitude.

En résumé pour éviter le phishing :

1. Toujours vérifier l’expéditeur
Regarde bien l’adresse email ou le numéro de téléphone
Un vrai message de ta banque viendra d’une adresse professionnelle, pas de contact-
[email protected]
2. Ne clique jamais sur un lien douteux
Passe ta souris dessus pour voir où il mène
Si tu as un doute, va sur le site directement en tapant l’URL toi-même
3. Ne donne jamais tes identifiants ou ton mot de passe par email ou SMS
Aucune entreprise ou administration sérieuse ne te demandera ça
4. Active la double authentification (2FA)
Si ton compte est piraté, cette sécurité empêche les accès non autorisés
5. Installe un antivirus sur ton téléphone ou ton PC
Beaucoup détectent les sites de phishing automatiquement
6. Quand tu as un doute, appelle directement
Ex : ta banque, ton opérateur, ton administration

Sources:
https://www.cloudflare.com/fr-fr/learning/access-management/phishing-attack/

https://www.fortinet.com/fr/resources/cyberglossary/types-of-phishing-attacks

https://www.visiativ.com/definition/phishing/
https://www.kiteworks.com/fr/glossaire/attaques-de-phishing/