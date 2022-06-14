Hameçonnage

Lephishing (ou « hameçonnage ») repose sur des messages numériques ou vocaux qui visent à manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l'argent ou des actifs à des personnes mal intentionnées ou à prendre d'autres mesures préjudiciables. Les escrocs conçoivent ces messages de manière à ce qu'ils aient l'air de provenir d'une organisation ou d'un individu de confiance ou crédible, parfois même d'une personne que le destinataire connaît personnellement.

Le phishing revêt de nombreuses formes :

Les e-mails de phishing en masse sont envoyés à des millions de destinataires à la fois. Ils semblent émaner d'une grande entreprise ou d'une organisation bien connue (une banque nationale ou internationale, une grande enseigne d'e-commerce, un fournisseur de services de paiement en ligne populaire, etc.), et contiennent une demande standard telle que « nous avons des difficultés à traiter votre achat, veuillez mettre à jour vos coordonnées bancaires ». Or, ces messages renferment souvent un lien malveillant qui dirige le destinataire vers un faux site Web l'invitant à saisir son nom d'utilisateur, son mot de passe, ses informations de carte bancaire et bien d'autres choses encore.



Le phishing ciblé (ou « harponnage ») vise des individus précis, qui ont généralement un accès privilégié aux informations des utilisateurs, au réseau informatique ou aux fonds de l'entreprise. Les escrocs effectuent des recherches sur la cible, souvent sur LinkedIn, Facebook ou d'autres réseaux sociaux, en vue d'élaborer un message qui semble provenir d'une personne que la cible connaît et en qui elle a confiance, ou qui fait référence à des situations qui lui sont familières. Le whale phishing (ou « chasse à la baleine ») est un type de phishing ciblé qui vise une personne très en vue, telle qu'un PDG ou une personnalité politique. Dans le cas de la compromission de la messagerie d'entreprise (« business email compromise » ou BEC en anglais), les pirates informatiques utilisent des identifiants compromis pour envoyer des messages électroniques à partir de la véritable messagerie d'une personnalité, ce qui rend l'escroquerie d'autant plus difficile à détecter.



Le voice phishing ou vishing (ou « hameçonnage par téléphone ») est un type de phishing effectué par appel téléphonique. Généralement, les malfaiteurs téléphonent aux victimes et leur passent des enregistrements menaçants prétendant provenir des forces de l'ordre.



Le smishing, ou phishing par SMS (ou « hameçonnage par SMS »), consiste cette fois à lancer l'hameçon par SMS.



Le phishing par moteur de recherche désigne la création par des pirates informatiques de sites Web malveillants qui se classent en tête des résultats de recherche pour des termes populaires.



L'angler phishing (littéralement « hameçonnage du pêcheur ») est une forme de phishing utilisant de faux comptes de réseaux sociaux qui se font passer pour le compte officiel des équipes de service ou de support à la clientèle d'entreprises de confiance.

Selon l’IBM Security X-Force Threat Intelligence Index 2023 (Indice du renseignement sur les menaces 2023 d’IBM Security X-Force), le phishing est le principal vecteur d’infection par des logiciels malveillants, représentant 41 % de tous les incidents. De plus, selon le rapport Cost of a Data Breach 2024 Report (Rapport 2024 sur le coût d’une violation de données), le phishing est le vecteur d’attaque initial entraînant les violations de données les plus coûteuses.

Baiting

Le baiting (ou « technique de l'appât » ou « appâtage ») consiste à leurrer les victimes pour qu'elles donnent, sciemment ou non, des informations sensibles ou téléchargent du code malveillant, en les tentant avec une offre alléchante ou un objet de valeur.

L'arnaque du prince nigérian est probablement l'exemple le plus connu de cette technique d'ingénierie sociale. Plus récemment, on a vu des jeux, de la musique ou des logiciels en téléchargement gratuit infectés par des malwares. Toutefois, certaines formes de baiting n'ont rien de sorcier. Par exemple, certains malfaiteurs laissent simplement des clés USB infectées par des logiciels malveillants à la libre disposition du public, qui profite de l'aubaine pour s'en emparer et les utiliser.

Tailgating

Le tailgating (ou « talonnage ») (voir aussi la variante appelée « piggybacking ») désigne le fait qu'une personne non autorisée suive de près une personne autorisée dans une zone contenant des informations sensibles ou des actifs de grande valeur. Le talonnage peut être effectué en personne, par exemple si un malfaiteur se faufile derrière un employé après que celui-ci a déverrouillé une porte. Il peut également avoir lieu par voie informatique, par exemple lorsqu'une personne laisse un ordinateur sans surveillance alors qu'elle est toujours connectée à un compte ou à un réseau privé.

Pretexting

Dans le cas du pretexting (ou « prétexte »), le malfaiteur génère une fausse situation pour la victime et se fait passer pour la personne la mieux placée pour la résoudre. Très souvent (et de manière très ironique), l'escroc prétend que la victime a été touchée par une violation de la sécurité, puis lui propose de régler le problème si elle lui fournit des informations importantes sur son compte ou si elle prend le contrôle de son ordinateur ou de son appareil. Sur le plan technique, presque toutes les attaques d'ingénierie sociale impliquent un certain degré de prétexte.

Quid pro quo

Les attaques de type « quid pro quo » consistent à faire miroiter aux victimes un bien ou un service intéressant en échange de leurs informations confidentielles. À titre d'exemple, on peut citer de faux prix de concours ou des récompenses de fidélité en apparence anodines (« merci pour votre paiement, nous avons un cadeau pour vous »).

Scareware

Classés dans la catégorie des malwares, les scarewares (ou « alarmiciels ») désignent des logiciels qui utilisent la peur pour inciter les utilisateurs à partager des informations confidentielles ou à télécharger des logiciels malveillants. Ils se caractérisent souvent par un faux avis des forces de l’ordre accusant l’utilisateur d’un délit, ou par un faux message de l’assistance technique avertissant l’utilisateur de la présence d’un malware sur son appareil.

Watering hole

Les attaques de type watering hole (ou « point d'eau ») sont inspirées de l'expression « somebody poisoned the watering hole » (quelqu'un a contaminé le point d'eau), où les pirates informatiques injectent du code malveillant dans une page Web légitime fréquentée par leurs cibles. Cette technique permet tout un éventail de violations, depuis le vol d'identifiants jusqu'au téléchargement furtif de ransomwares.