Qu’est-ce que le phishing ?

Les attaques par hameçonnage sont une forme d’ingénierie sociale. Contrairement à d’autres types de cyberattaques qui ciblent directement les réseaux et les ressources, les attaques d’ingénierie sociale comptent sur les erreurs humaines, les fausses histoires et les tactiques de pression pour manipuler les victimes afin qu’elles se nuisent involontairement à elles-mêmes ou qu’elles nuisent à leur organisation.

Lors d’une tentative d’escroquerie par hameçonnage typique, un pirate se fait passer pour une personne de confiance auprès de la victime, comme un collègue, un patron, une figure d’autorité ou un représentant d’une marque connue. Le pirate envoie un message demandant à la victime de payer une facture, d'ouvrir une pièce jointe, de cliquer sur un lien ou d'effectuer une autre action.

Parce qu’il fait confiance à la source supposée du message, l’utilisateur suit les instructions et tombe directement dans le piège de l’escroc. Une « facture » peut mener directement au compte d’un pirate informatique. Une pièce jointe peut installer un ransomware sur l’appareil de l’utilisateur. Un lien peut diriger l’utilisateur vers un site qui vole les numéros de cartes et de comptes bancaires, les identifiants de connexion ou d’autres données personnelles.

L’hameçonnage, ou phishing, est une tactique très efficace et très populaire chez les cybercriminels. Selon le rapport d’IBM sur le coût d’une violation de données, le phishing est le vecteur de violation de données le plus courant, représentant 15 % de toutes les violations. Les violations de ce type coûtent en moyenne 4,88 millions de dollars aux entreprises.

L’hameçonnage est une menace de taille, car il exploite des personnes plutôt que des vulnérabilités technologiques. Les pirates n’ont pas besoin de s’introduire directement dans les systèmes ou de déjouer les outils de cybersécurité. Ils peuvent tromper les personnes ayant un accès autorisé à leur cible (argent, informations sensibles ou autres), pour les inciter à commettre leur crime.

Les hameçonneurs peuvent être des escrocs solitaires ou faire partie de bandes criminelles sophistiquées. Ils peuvent utiliser le phishing à de nombreuses fins malveillantes, notamment l’usurpation d’identité, la fraude à la carte de crédit, le vol d’argent, l’extorsion, la prise de contrôle de comptes, l’espionnage, etc.

Les cibles du hameçonnage vont des particuliers aux grandes entreprises en passant par les agences gouvernementales. Dans l’une des attaques par hameçonnage les plus connues, des pirates informatiques russes ont utilisé un faux e-mail de réinitialisation de mot de passe pour voler des milliers d’e-mails de la campagne présidentielle américaine d’Hillary Clinton en 2016.¹

Comme les escroqueries par hameçonnage manipulent des êtres humains, les outils et techniques standard de surveillance des réseaux ne peuvent pas toujours détecter ces attaques en cours. En fait, lors de l'attaque de la campagne Clinton, même le service d'assistance informatique de la campagne pensait que les e-mails frauduleux de réinitialisation de mot de passe étaient authentiques. 

Pour lutter contre le hameçonnage, les entreprises doivent associer des outils avancés de détection des menaces à une formation approfondie des employés afin de garantir que les utilisateurs puissent identifier avec précision les tentatives d'escroquerie et y répondre en toute sécurité.

Le terme « hameçonnage » fait référence au fait que les escrocs utilisent des « leurres » attrayants pour tromper leurs victimes, de la même manière que les pêcheurs utilisent des appâts pour accrocher de vrais poissons. Dans le cas du hameçonnage, les appâts sont des messages frauduleux qui semblent crédibles et suscitent des émotions fortes telles que la peur, l'avidité et la curiosité. 

Les types de leurres utilisés par les escrocs dépendent de la personne et de l’objet qu’ils recherchent. Les types courants de hameçonnage incluent :

Dans le cas de l’hameçonnage en masse, les escrocs envoient sans discernement des e-mails non sollicités au plus grand nombre de personnes possible, dans l’espoir qu’une fraction des cibles tombe dans le panneau.

Les fraudeurs créent souvent des e-mails qui semblent provenir de grandes entreprises légitimes, telles que des banques, des détaillants en ligne ou des créateurs d’applications populaires. En se faisant passer pour des marques connues, ils augmentent les chances que leurs cibles soient des clients de ces marques. Si une cible interagit régulièrement avec une marque, elle est plus susceptible d’ouvrir un e-mail d’hameçonnage semblant provenir de cette marque.

Les cybercriminels mettent tout en œuvre pour que les e-mails de phishing paraissent authentiques. Ils peuvent utiliser le logo et la marque de l’expéditeur dont l’identité a été usurpée. Ils peuvent usurper les adresses e-mail pour faire croire que le message provient du nom de domaine de l’expéditeur pour lequel ils se font passer. Ils peuvent même copier un véritable e-mail de l’expéditeur qu’ils incarnent et le modifier à des fins malveillantes.

Les escrocs rédigent l'objet de leurs e-mails pour jouer sur les émotions fortes ou créer un sentiment d'urgence. Les escrocs avisés utilisent des sujets que l'expéditeur usurpé pourrait réellement aborder, tels que « Problème avec votre commande » ou « Votre facture est jointe ».

Le corps du message demande au destinataire de prendre une mesure apparemment raisonnable, mais qui aboutit à la divulgation d'informations sensibles ou au téléchargement de logiciels malveillants. Par exemple, un lien d'hameçonnage peut être libellé comme suit : « Cliquez ici pour mettre à jour votre profil ». Lorsque la victime clique sur ce lien malveillant, elle est dirigée vers un faux site Web qui vole ses identifiants de connexion. 

Certains escrocs font coïncider leurs campagnes d'hameçonnage avec les vacances et d'autres événements où les gens sont plus sensibles à la pression. Par exemple, les attaques de hameçonnage contre les clients d'Amazon atteignent souvent un pic à l'occasion du Prime Day, l'événement commercial annuel du détaillant en ligne.² Les escrocs envoient des e-mails concernant de fausses offres et des problèmes de paiement pour profiter de la baisse de vigilance des gens.

Le phishing ciblé est une attaque par hameçonnage ciblant une personne spécifique. La cible est généralement une personne disposant d’un accès privilégié à des données sensibles ou d’une autorité spéciale que l’escroc peut exploiter, comme un directeur financier à même de transférer de l’argent depuis les comptes de l’entreprise.

Un pirate spécialisé dans le phishing ciblé étudie sa victime pour recueillir les informations dont il a besoin afin de se faire passer pour une personne de confiance, comme un ami, un patron, un collègue, un fournisseur ou une institution financière. Les réseaux sociaux et les sites de réseaux professionnels, où les gens félicitent publiquement leurs collègues, soutiennent des fournisseurs et ont tendance à trop partager, constituent de riches sources d’informations pour les auteurs de ce type d’attaque.

Les pirates spécialistes du phishing ciblé s'appuient sur leurs recherches pour rédiger des messages contenant des détails personnels spécifiques, ce qui les rend très crédibles aux yeux de la cible. Par exemple, un cybercriminel peut se faire passer pour le patron de la cible et envoyer un e-mail du type : « Je sais que vous partez en vacances ce soir, mais pourriez-vous payer cette facture avant la fermeture des bureaux aujourd’hui ? »

Une attaque par phishing ciblé visant un cadre dirigeant, une personne fortunée ou tout autre gros poisson est souvent qualifiée de whale phishing ou de whaling.

Le BEC est une catégorie d’attaques de phishing ciblé qui tentent de voler de l’argent ou des informations précieuses, telles que des secrets commerciaux, des données clients ou des informations financières, à une entreprise ou à une autre organisation.

Les attaques BEC peuvent prendre différentes formes. Parmi les plus courantes, on trouve :

• Fraude au PDG : L'escroc se fait passer pour un cadre de haut niveau, souvent en détournant son compte de messagerie. L'escroc envoie un message à un employé de niveau inférieur lui demandant de transférer des fonds sur un compte frauduleux, d'effectuer un achat auprès d'un vendeur frauduleux ou d'envoyer des fichiers à une partie non autorisée.
  
  
• Compromission de compte de messagerie (EAC) : L'escroc compromet le compte de messagerie d'un employé de niveau inférieur, tel que le compte d'un responsable des finances, des ventes ou de la recherche et développement. L'escroc utilise le compte pour envoyer des factures frauduleuses à des fournisseurs, demander à d'autres employés d'effectuer des paiements frauduleux ou demander l'accès à des données confidentielles.

Les attaques BEC peuvent figurer parmi les cyberattaques les plus coûteuses, les escrocs dérobant souvent des millions de dollars à la fois. Dans un exemple notable, un groupe d'escrocs a volé plus de 100 millions de dollars à Facebook et à Google en se faisant passer pour un fournisseur de logiciels légitime.³

Certains escrocs se détournent de ces tactiques très médiatisées pour lancer de petites attaques contre un plus grand nombre de cibles. Selon l'Anti-Phishing Working Group (APWG), les attaques BEC se sont multipliées en 2023, mais les escrocs ont demandé moins d'argent en moyenne à chaque attaque.⁴

Le hameçonnage par SMS, ou smishing, utilise de faux SMS pour tromper les cibles. Les escrocs se font souvent passer pour le fournisseur de services sans fil de la victime et envoient un message qui offre un « cadeau » ou demande à l'utilisateur de mettre à jour les informations relatives à sa carte de crédit.

Certains spécialistes du smishing se font passer pour le service postal américain ou une autre société de transport. Ils envoient des SMS indiquant aux victimes qu’elles doivent payer des frais pour recevoir un colis qu’elles ont commandé.

Le hameçonnage vocal ou vishing est un hameçonnage par appel téléphonique. Les incidents de vishing ont explosé ces dernières années, augmentant de 260 % entre 2022 et 2023 selon l'APWG.⁵ L'essor du vishing est en partie dû à la disponibilité de la technologie de la voix sur IP (VoIP), que les escrocs peuvent utiliser pour passer des millions d'appels automatisés de vishing par jour. 

Les escrocs usurpent souvent les numéros d’appelants pour faire croire que leurs appels proviennent d’organisations légitimes ou de numéros de téléphone locaux. Les appels de vishing effraient généralement les destinataires en les avertissant de problèmes de traitement des cartes bancaires, de retards de paiement ou de démêlés avec la justice. Les destinataires finissent par fournir des données sensibles ou de l’argent aux cybercriminels pour « régler » leurs problèmes.

Comme son nom l’indique, l’hameçonnage sur les réseaux sociaux utilise les plateformes de réseaux sociaux pour duper les utilisateurs. Les fraudeurs utilisent les fonctionnalités de messagerie intégrées des plateformes, par exemple Facebook Messenger, LinkedIn InMail et les DM de X (anciennement Twitter), de la même manière qu’ils utilisent les e-mails et les SMS classiques.

Les escrocs se font souvent passer pour des utilisateurs qui ont besoin de l'aide de la cible pour se connecter à leur compte ou gagner un concours. Ils utilisent cette ruse pour voler les identifiants de connexion de la cible et prendre le contrôle de son compte sur la plateforme. Ces attaques peuvent être particulièrement coûteuses pour les victimes qui utilisent les mêmes mots de passe pour plusieurs comptes, une pratique bien trop courante.

Les fraudeurs élaborent constamment de nouvelles techniques d’hameçonnage pour éviter la détection. En voici quelques-unes :

L'hameçonnage par IA utilise des outils d'intelligence artificielle générative (IA) pour créer des messages d'hameçonnage. Ces outils peuvent générer des e-mails et des SMS personnalisés qui ne contiennent pas de fautes d’orthographe, d’incohérences grammaticales et d’autres signaux d’alarme courants de tentatives d’hameçonnage.

L’IA générative peut également aider les escrocs à étendre leurs opérations. Selon le X-Force Threat Intelligence Index d’IBM, il faut 16 heures à un escroc pour créer manuellement un e-mail de phishing. Avec l’IA, les escrocs peuvent générer des messages encore plus trompeurs en seulement cinq minutes.

Les escrocs utilisent également des générateurs d'images et des synthétiseurs vocaux pour donner plus de crédibilité à leurs stratagèmes. Par exemple, en 2019, des attaquants ont utilisé l'IA pour cloner la voix du PDG d’une entreprise énergétique et escroquer un directeur de banque de 243 000 USD.⁷

Le quishing utilise de faux codes QR intégrés dans des e-mails et des SMS, ou publiés dans le monde réel. Le quishing permet aux pirates de dissimuler des sites Web et des logiciels malveillants à la vue de tous.

Par exemple, la Commission fédérale du commerce (FTC) des États-Unis a mis en garde l'année dernière contre une escroquerie consistant pour des criminels à remplacer les codes QR sur les parcmètres publics par leurs propres codes qui volent les données de paiement.⁶

Les attaques par vishing hybrides associent le phishing vocal à d’autres méthodes pour échapper aux filtres anti-spam et gagner la confiance des victimes.

Par exemple, un escroc peut envoyer un e-mail censé provenir du fisc. Cet e-mail indique au destinataire qu'il y a un problème avec sa déclaration de revenus. Pour résoudre le problème, la cible doit appeler un numéro de téléphone fourni dans l'e-mail, qui la met directement en contact avec l'escroc.

Les détails peuvent varier d'une escroquerie à l'autre, mais il existe des signes communs qui indiquent qu'un message pourrait être une tentative d'hameçonnage. Ces signes sont les suivants :

Comme les escroqueries par hameçonnage ciblent les personnes, les employés sont souvent la première et la dernière ligne de défense d'une organisation contre ces attaques. Les organisations peuvent apprendre aux utilisateurs à reconnaître les signes de tentatives d'hameçonnage et à réagir aux e-mails et SMS suspects. Il peut s'agir de donner aux employés des moyens simples de signaler les tentatives d'hameçonnage à l'équipe informatique ou à l'équipe de sécurité.

Les organisations peuvent également mettre en place des politiques et des pratiques qui compliquent la tâche des hameçonneurs.

Par exemple, les organisations peuvent interdire aux personnes d’initier des transferts d’argent par e-mail. Ils peuvent exiger des employés qu’ils vérifient les demandes d’argent ou d’informations en contactant le demandeur par d’autres moyens que ceux fournis dans le message. Ainsi, les employés peuvent saisir une URL directement dans leur navigateur au lieu de cliquer sur un lien ou appeler la ligne d’un collègue au lieu de répondre à un message provenant d’un numéro inconnu.

Les organisations peuvent compléter la formation des employés et les politiques de l’entreprise par des outils de sécurité permettant de détecter les messages d’hameçonnage et de contrecarrer les pirates qui utilisent cette technique pour pénétrer les réseaux.

• Les filtres anti-spam et les logiciels de sécurité des e-mails utilisent des données sur les escroqueries par hameçonnage existantes et des algorithmes de machine learning pour identifier les e-mails de phishing et autres messages de spam. Les escroqueries et le spam sont ensuite déplacés vers un dossier distinct, où les liens et les codes malveillants sont éradiqués.
  
  
• Les logiciels antivirus et de protection contre les logiciels malveillants détectent et neutralisent les fichiers ou les codes malveillants contenus dans les e-mails d’hameçonnage.
   
• L’authentification à étapes peut empêcher les pirates de prendre le contrôle des comptes des utilisateurs. Les escrocs excellent dans le vol de mots de passe. En revanche, dérober un deuxième facteur d'authentification, comme une empreinte digitale ou un code à usage unique, est plus ardu pour eux.
  
  
• Les outils de sécurité des terminaux, comme les solutions de détection et réponse des terminaux (EDR) et de gestion unifiée des terminaux (UEM), peuvent utiliser l’intelligence artificielle (IA) et des analyses avancées pour intercepter les tentatives d’hameçonnage et bloquer les logiciels malveillants.
  
  
• Les filtres Web empêchent les utilisateurs de visiter des sites malveillants connus et affichent des alertes chaque fois que les utilisateurs se rendent sur des pages suspectes. Ces outils peuvent aider à limiter les dégâts si un utilisateur clique sur un lien d’hameçonnage.
  
  
• Les solutions de cybersécurité d’entreprise, telles que les plateformes d’orchestration, d’automatisation et de réponse aux incidents de sécurité (SOAR) et de gestion des informations et des événements de sécurité (SIEM), utilisent l’IA et l’automatisation pour détecter les activités anormales et y répondre. Ces solutions permettent d’arrêter les hameçonneurs qui tentent d’installer des logiciels malveillants ou de prendre le contrôle de certains comptes.