Les attaques de phishing évoluent sans cesse—et l’une des formes les plus trompeuses est le clone phishing. Contrairement aux spams génériques, le clone phishing exploite habilement vos propres communications de confiance contre vous, ce qui le rend extrêmement difficile à détecter.
Dans ce guide, nous allons expliquer exactement ce qu’est le clone phishing, comment il fonctionne, vous donner des exemples et vous montrer des moyens pratiques de vous protéger, vous et votre entreprise.
Qu’est-ce que le Clone Phishing ?
Le clone phishing est un type d’escroquerie par email où les attaquants créent une copie identique d’un email légitime que vous avez déjà reçu, mais remplacent les pièces jointes ou liens par des versions malveillantes. C’est une forme efficace de phishing car elle s’appuie sur un message auquel vous faites déjà confiance.
Par exemple, imaginez que vous avez récemment reçu un contrat d’une entreprise partenaire. Un cybercriminel pourrait obtenir une copie de cet email, créer un clone parfait—même charte graphique, même texte, même signature de l’expéditeur—mais remplacer le PDF par un fichier contenant un logiciel malveillant. Il pourrait même ajouter une courte note du type : « Renvoi avec pièce jointe mise à jour suite à un problème technique. »
Comme l’email ressemble presque en tout point à l’original, vous êtes beaucoup plus susceptible de l’ouvrir sans méfiance.
Comment fonctionne le Clone Phishing ?
Voici les étapes typiques d’une attaque de clone phishing :
- Interception ou acquisition : Les attaquants obtiennent une copie d’un email légitime. Cela peut se faire par le piratage d’un compte email, l’espionnage d’un réseau non sécurisé ou l’exploitation de données issues d’une violation précédente.
- Clonage : Ils copient exactement le message original—logos, signatures, fils de discussion inclus—pour qu’il paraisse familier et authentique.
- Charge active : Les liens ou pièces jointes sont remplacés par des versions malveillantes. Par exemple, un lien vers un portail documentaire sécurisé peut être remplacé par une fausse page de connexion destinée à voler vos identifiants.
- Envoi : L’email cloné est envoyé depuis une adresse qui ressemble fortement à celle de l’expéditeur réel. Souvent, il inclut une note comme « Renvoi de ce document ; merci de consulter dès que possible. »
- Exécution : Si vous cliquez sur le lien ou téléchargez le fichier, vous pourriez, sans le savoir, divulguer des informations sensibles ou installer un malware sur votre appareil.
Exemples d’attaques de Clone Phishing
Fausse mise à jour de facture
Une entreprise reçoit régulièrement des factures d’un fournisseur connu. Un attaquant intercepte un de ces emails, le clone et le renvoie avec des coordonnées bancaires légèrement modifiées. Comme l’email est identique aux précédents, le service comptable effectue le virement sur le compte du fraudeur sans se douter de rien.
Mise à jour logicielle IT
Un utilisateur reçoit ce qui semble être un nouvel envoi d’un ancien email du service informatique concernant une mise à jour logicielle obligatoire. Cette fois, cependant, le lien de téléchargement mène à un malware qui compromet tout le réseau.
Fichiers de projet internes
Un attaquant ayant pris le contrôle du compte email d’un employé peut renvoyer des conversations existantes—en ajoutant des pièces jointes malveillantes déguisées en documents de projet mis à jour. Les destinataires, voyant un fil de discussion familier, font confiance au message et téléchargent le fichier.
Clone Phishing vs autres types de phishing
| Type | Ce qui le rend unique |
|---|---|
| Phishing | Emails génériques envoyés en masse à des milliers de personnes. |
| Spear Phishing | Personnalisé, cible des individus spécifiques. |
| Clone Phishing | Copie un email légitime déjà reçu. |
| Whaling | Cible les cadres dirigeants (PDG, DAF, etc.). |
Le clone phishing se distingue car il repose sur la confiance déjà établie avec un expéditeur ou un fil de discussion. Cela le rend plus convaincant—et donc plus dangereux—qu’un simple email de phishing de masse.
Comment repérer le Clone Phishing
Le clone phishing est conçu pour être presque indiscernable des emails authentiques. Cependant, certains indices subtils peuvent vous alerter :
- Adresse email de l’expéditeur : Le domaine est-il correctement orthographié ? Le clone phishing utilise souvent des domaines ressemblants (ex. @compagnny.com au lieu de @company.com).
- Urgence ou contexte inhabituel : Le message vous presse-t-il d’ouvrir un fichier ou de saisir vos identifiants ? Fait-il référence à quelque chose que vous n’avez pas demandé ?
- Adresse de réponse modifiée : Passez votre souris sur les champs expéditeur et réponse pour voir si cela redirige vers un endroit inattendu.
- Destinations des liens : Survolez toujours les liens avant de cliquer. Si l’aperçu du lien ne correspond pas à l’URL connue de l’entreprise, c’est un signal d’alerte.
- Petites incohérences : Des erreurs de formatage, des signatures légèrement différentes ou des fautes discrètes peuvent aussi trahir un clone.
Comment vous protéger, vous et votre entreprise
Pour les particuliers
- Vérifiez les emails inattendus : Si vous recevez un email « renvoyé » avec pièce jointe ou lien, appelez ou envoyez un message directement à l’expéditeur (en utilisant un numéro connu, pas celui indiqué dans l’email suspect).
- Activez l’authentification à deux facteurs (2FA) : Même si des attaquants volent votre mot de passe, le 2FA peut les bloquer.
- Mettez vos systèmes à jour : Les correctifs de sécurité colmatent les failles exploitées par les attaquants.
Pour les entreprises
- Formation à la cybersécurité : Vos employés sont votre première ligne de défense. Apprenez-leur à repérer les emails suspects, en particulier les clones.
- Implémentez des protocoles d’authentification email : Utilisez SPF, DKIM et DMARC pour aider à bloquer les emails usurpés.
- Filtrage avancé des emails : Investissez dans des solutions de sécurité qui analysent les pièces jointes et détectent les anomalies dans les modèles d’envoi.
- Préparez un plan de réponse aux incidents : Assurez-vous que les employés savent comment signaler rapidement un phishing suspect.
Une approche multi-couches—technologies + formation—réduit considérablement votre risque.
Que faire si vous soupçonnez un Clone Phishing
Si vous pensez avoir reçu un email cloné de phishing :
- Ne cliquez sur aucun lien ni ne téléchargez de pièces jointes.
- Contactez l’expéditeur original (par téléphone ou via un nouvel email que vous rédigez vous-même, pas en répondant directement).
- Signalez l’email à votre service informatique ou équipe de sécurité. Si c’est un compte personnel, utilisez la fonction « signaler le phishing » de votre fournisseur.
- Changez immédiatement vos mots de passe si vous pensez avoir saisi vos identifiants sur un site suspect. Activez le 2FA si ce n’est pas déjà fait.
Conclusion
Le clone phishing est une variante sophistiquée du phishing traditionnel. En reproduisant des emails réels que vous avez déjà vus, les attaquants augmentent considérablement les chances que vous tombiez dans le piège.
La bonne nouvelle ? La sensibilisation fait déjà la moitié du travail. En sachant à quoi ressemble le clone phishing et en mettant en place les bonnes protections—comme la vérification des liens, le 2FA et des politiques internes solides—vous pouvez protéger à la fois vos données personnelles et celles de votre organisation.