Attaques

Phishing et ingénierie sociale

Le phishing, ou hameçonnage, vise à tromper une victime pour obtenir des informations sensibles : identifiants, mots de passe, données bancaires, informations personnelles ou codes d'authentification.

Objectifs des attaquants

Les campagnes de phishing cherchent souvent à :

  • voler des comptes utilisateurs
  • accéder à des données sensibles
  • réaliser une fraude financière
  • déployer un logiciel malveillant
  • compromettre un système d'information
  • provoquer une validation MFA non sollicitée

Formes principales

Phishing classique

Envoi massif d'emails frauduleux contenant un lien ou une pièce jointe malveillante.

Spear phishing

Attaque ciblée contre une personne ou un service spécifique, souvent préparée avec des informations collectées au préalable.

Whaling

Variante du spear phishing visant dirigeants, cadres supérieurs ou personnes ayant un pouvoir de décision.

Smishing et vishing

Le smishing utilise les SMS. Le vishing utilise l'appel téléphonique, souvent avec une fausse identité de support technique, banque ou administration.

Signaux d'alerte

  • adresse d'expéditeur inhabituelle
  • URL suspecte ou légèrement modifiée
  • fautes d'orthographe ou de grammaire
  • demande urgente ou menaçante
  • pièce jointe inattendue
  • formulaire de connexion externe
  • demande de validation MFA non sollicitée
  • pression hiérarchique ou financière

Exemple d'attaque

  1. La victime reçoit un email semblant provenir de Microsoft 365.
  2. Le message demande une action urgente.
  3. Un lien redirige vers une fausse page de connexion.
  4. La victime saisit ses identifiants.
  5. Les informations sont récupérées par l'attaquant.
  6. Le compte est compromis.

Protections

Utilisateurs

  • vérifier systématiquement l'URL avant de se connecter
  • utiliser les favoris pour accéder aux services sensibles
  • ne jamais communiquer son mot de passe
  • se méfier des messages urgents
  • signaler les emails suspects

Entreprises

  • activer une MFA résistante au phishing quand c'est possible
  • mettre en place des filtres anti-phishing
  • former régulièrement les utilisateurs
  • surveiller les connexions suspectes
  • appliquer le moindre privilège
  • contrôler les règles de transfert email

Email

SPF, DKIM et DMARC réduisent l'usurpation d'email. Ils ne suffisent pas seuls : il faut aussi du filtrage, un canal de signalement simple et une procédure de réponse.

Réaction

Si un phishing est suspecté :

  1. conserver les en-têtes du message
  2. identifier les destinataires
  3. bloquer les domaines, URLs et pièces jointes
  4. chercher les clics et saisies
  5. révoquer les sessions actives
  6. forcer la rotation des secrets si nécessaire
  7. analyser le poste si une pièce jointe a été ouverte

Analyse d'un message

Éléments à vérifier :

  • domaine réel de l'expéditeur
  • domaine réel des liens
  • incohérence entre nom affiché et adresse
  • présence de pièces jointes
  • ton inhabituel
  • demande sortant de la procédure normale
  • urgence artificielle
  • page de connexion externe

L'analyse doit éviter le clic direct. Il vaut mieux examiner les liens, en-têtes et pièces jointes dans un environnement adapté.

Après compromission d'un compte

Si un utilisateur a saisi ses identifiants :

  • révoquer les sessions
  • changer le mot de passe
  • vérifier les règles de messagerie
  • rechercher les connexions suspectes
  • contrôler les applications OAuth ajoutées
  • prévenir les contacts si des emails frauduleux sont partis
  • renforcer MFA si possible

À retenir

Le phishing reste l'une des menaces les plus fréquentes. La meilleure défense combine vigilance humaine, contrôles techniques et réaction rapide.

Précédent
SQLi et XSS
Suivant
Phishing AITM