Resources

Phishing : Guide 2024 | Comment Reconnaître et Prévenir les Attaques

Le phishing est un sujet vaste, nous avons vu toutes sortes d'informations à son sujet, allant des faits à la fiction. Nous avons publié cette page pour approfondir le sujet et vous fournir une vue complète et une compréhension de ce qu'est le phishing.

Arsen Team
7 minutes read
What is vishing?

Qu'est-ce que le phishing ?

Le phishing est un type de cyberattaque où les attaquants tentent de tromper les individus pour qu'ils fournissent des informations sensibles, telles que des noms d'utilisateur, des mots de passe, des numéros de carte de crédit ou d'autres données personnelles.

Dans certains cas, ils tentent également de faire en sorte que leurs cibles ouvrent et exécutent des pièces jointes contenant des malwares.

Ces attaques impliquent souvent de se faire passer pour une entité ou une personne de confiance dans les communications électroniques.

Histoire et évolution

Le phishing évolue de la même manière que le marketing par email : au début, des emails non différenciés étaient envoyés en masse à des adresses email. Ensuite, la personnalisation et la segmentation sont apparues, et nous entrons maintenant dans l'ère de l'IA générative, avec une approche plus conversationnelle et multi-étapes.

Examinons l'évolution du phishing.

Le phishing a commencé dans les années 1990 avec l'essor d'Internet. Il s'agissait généralement d'escroqueries simples incitant les gens à révéler des informations personnelles.

Les années 2000 ont vu une adoption plus large des emails et, avec elle, une augmentation des attaques de phishing par email.

Dans les années 2010, les techniques de phishing ont évolué avec des attaques plus ciblées (spear phishing), visant des cibles de grande valeur (whaling) et utilisant différents vecteurs comme les SMS (smishing).

Actuellement, nous assistons à une évolution avec une utilisation accrue de l'IA générative dans les attaques.

Types, techniques et tactiques utilisées dans le phishing

Comme le terme « phishing » est utilisé de manière très large, nous allons parler des différents types d'attaques de phishing.

Phishing par email

Le terme « phishing » est généralement utilisé pour décrire le phishing par email : l'envoi d'emails frauduleux qui semblent provenir de sources légitimes, telles que des banques, des plateformes de réseaux sociaux ou des entreprises de confiance.

Il utilise :

  • Liens ou pièces jointes : conçus pour compromettre la cible en volant des informations ou en accédant à son ordinateur.
  • Tactiques d'ingénierie sociale : conçues pour provoquer une réaction et tromper la cible.

Spear Phishing

Le spear phishing est une attaque de phishing ciblée visant un individu ou une organisation spécifique. L'attaquant personnalise le contenu de l'email en fonction des informations qu'il a recueillies sur la cible.

Il utilise :

  • Personnalisation : L'email inclut souvent le nom du destinataire, son poste et d'autres détails personnels pour le rendre plus convaincant.
  • Recherche : Les attaquants effectuent des recherches sur leurs cibles pour rédiger un message plus crédible.
  • Pièces jointes et liens : Tout comme le phishing par email, ces emails peuvent contenir des pièces jointes ou des liens malveillants.
  • Ingénierie sociale : tout comme le phishing classique.

Whaling

Le whaling est un type de spear phishing qui cible des individus de haut profil au sein d'une organisation, tels que les cadres ou la direction.

Il utilise la plupart des tactiques de spear phishing, mais ajoute le plus souvent l'usurpation d'identité pour donner l'impression qu'il provient d'une personne d'autorité, avec une relation existante avec la cible.

Smishing

Le smishing consiste à envoyer des SMS frauduleux pour tromper les destinataires et les inciter à fournir des informations personnelles ou à télécharger des malwares.

Vishing

Le vishing (phishing vocal) consiste à passer des appels téléphoniques pour tromper les individus et les inciter à révéler des informations sensibles.

Pharming

Le pharming est étroitement lié au phishing, mais diffère des types d'attaques précédents.

Le pharming redirige les utilisateurs de sites web légitimes vers des sites frauduleux sans qu'ils le sachent. Cela se fait souvent en exploitant des vulnérabilités dans les serveurs DNS (Domain Name System).

Reconnaître les attaques de phishing

Reconnaître les attaques de phishing implique de connaître les divers signes qui indiquent généralement une activité frauduleuse. Voici quelques indicateurs courants à surveiller.

Adresses d'expéditeur suspectes

Il existe deux types d'adresses d'expéditeur suspectes : les domaines mal orthographiés ou légèrement modifiés sont les plus suspects car ils sont souvent utilisés pour usurper l'identité de personnes ou de marques, mais vous devez également vous méfier des adresses email génériques provenant de Gmail, Yahoo et Outlook, surtout si elles ne correspondent pas à l'identité qu'elles prétendent représenter.

Salutations et messages génériques

Le phishing de masse utilise souvent un langage vague et manque de personnalisation.

Fautes d'orthographe et de grammaire

Bien que les attaquants puissent utiliser des correcteurs d'orthographe et des outils d'IA générative, on trouve encore des emails de phishing avec des fautes d'orthographe et de grammaire, souvent parce que les attaquants ne parlent pas couramment votre langue.

Mécanismes de pression : urgence et menaces

Le phishing repose sur des mécanismes de pression pour provoquer une réaction émotionnelle rapide et tromper les gens. Entraînez-vous à détecter ce sentiment et à le voir comme un signe d'avertissement.

Pièces jointes ou liens inattendus

Les emails contenant des pièces jointes ou des liens inattendus peuvent être des emails de phishing potentiels, traitez-les avec prudence.

Incohérence entre le nom d'affichage et l'adresse email

Si le nom d'affichage peut sembler légitime, l'adresse email réelle peut ne pas correspondre à l'expéditeur prétendu. Il s'agit d'une tentative d'usurpation d'identité et d'un signal d'alarme important.

Prévention et Protection

La prévention et la protection contre le phishing reposent sur une combinaison de formation humaine et de mesures technologiques pour réduire l'exposition et le nombre de menaces qui atteignent réellement leurs cibles.

Formation à la sensibilisation

Les employés doivent être formés pour détecter et signaler les tentatives de phishing.

Une formation efficace devrait combiner des connaissances théoriques et une formation pratique, en utilisant des simulations de phishing.

Comme le phishing, à l'instar de toutes les attaques d'ingénierie sociale, repose sur la tromperie et la création de réactions émotionnelles, il est important d'adopter une approche d'apprentissage par la pratique pour créer de nouveaux comportements, plutôt que de se concentrer uniquement sur l'acquisition de connaissances.

La formation doit se concentrer sur :

  • Les réflexes de détection et les heuristiques : méfiez-vous lorsque les emails utilisent des mécanismes de pression pour créer une réaction
  • La procédure de signalement pour alerter les parties concernées des menaces potentielles

Mesures technologiques

Une succession d'outils et de configurations devrait aider à réduire le nombre de phishing qui atteignent directement les employés.

Parmi eux :

  • Les passerelles de messagerie sécurisées devraient aider à filtrer et à empêcher la livraison des emails de phishing
  • L'authentification multi-facteurs devrait compliquer les attaques de phishing basées sur le vol d'identifiants, surtout si le facteur d'authentification est basé sur FIDO2 ou des protocoles similaires résistants au phishing
  • Les protocoles d'authentification des emails comme SPF, DKIM et DMARC aident également à prévenir les attaques de phishing
  • Déployer des plateformes de formation à la sensibilisation à la sécurité avec de fortes capacités d'automatisation pour fournir des formations pertinentes en mode autopilot

Répondre aux attaques de phishing

Si vous pensez avoir reçu un email de phishing, voici les étapes à suivre. Vous pouvez également partager ce processus avec vos employés si vous n'avez pas déjà un processus en place.

  1. N'interagissez pas avec l'email de phishing : ne répondez pas, ne cliquez pas sur les liens et n'exécutez pas les pièces jointes
  2. Signalez la tentative de phishing aux parties concernées, en utilisant un bouton de signalement si applicable
  3. Si vous avez interagi avec l'email de phishing et son contenu, expliquez ce que vous avez fait aux parties concernées afin qu'elles puissent tracer et potentiellement remédier à toute fuite ou vulnérabilité introduite

Tendances et Défis Futurs

Le phishing continue d'évoluer. Des criminels de plus en plus spécialisés aux nouvelles technologies et développements, jetons un coup d'œil rapide sur l'avenir du phishing.

Phishing conversationnel

De plus en plus d'attaques de phishing sont désormais basées sur des conversations, créant un rapport et une réputation d'expéditeur, plutôt que d'être un email unidirectionnel avec des liens ou des pièces jointes, qui constitue des signaux d'alerte évidents.

Avec la prolifération de l'IA générative, ces attaques peuvent maintenant se multiplier et continueront d'évoluer.

Deep fakes

Avec les récentes améliorations dans la génération de médias synthétiques, les deep fakes peuvent être utilisés pour renforcer les tentatives d'usurpation d'identité dans les opérations de phishing.

La détection est plus difficile avec ces technologies et la probabilité de succès pour l'attaquant est plus grande.

Nouvelles plateformes de communication

Les nouvelles plateformes de communication offrent de nouvelles façons à l'attaquant de se connecter avec ses victimes.

Les nouvelles plateformes de médias sociaux, les systèmes de billetterie et de support, etc., offrent de nouvelles opportunités pour livrer du contenu malveillant et des tentatives d'attaque.

Un point commun

Un point intéressant à noter est que malgré de nombreux développements du côté technologique, les principales techniques d'ingénierie sociale restent les mêmes, quel que soit le vecteur d'attaque.

C'est pourquoi une formation adéquate à la sensibilisation, basée sur l'entraînement comportemental, représente toujours un système de défense très adaptable et rentable.

Book a demo

Learn what makes Arsen the go-to platform to help CISOs, cyber experts, and IT teams protect their organizations against social engineering.

Questions fréquentes

Les attaques de phishing fonctionnent généralement en envoyant des messages frauduleux qui semblent provenir de sources légitimes. Ces messages contiennent souvent des liens ou des pièces jointes malveillants conçus pour voler des informations personnelles ou installer des logiciels malveillants sur l'appareil de la victime.

Les signes courants d'un email de phishing incluent :

  • Adresses d'expéditeur suspectes qui peuvent être mal orthographiées ou légèrement modifiées.
  • Salutations génériques comme "Cher Client" au lieu de votre nom.
  • Langage urgent ou menaçant incitant à une action immédiate.
  • Fautes d'orthographe et de grammaire.
  • Pièces jointes ou liens non sollicités.
  • Incohérence des URL lorsqu'on survole les liens.

Si vous recevez un email ou un message suspect :

  • Ne cliquez sur aucun lien et n'ouvrez aucune pièce jointe.
  • Vérifiez l'identité de l'expéditeur en le contactant par un moyen connu et de confiance.
  • Signalez l'email à votre fournisseur de messagerie en utilisant leur fonctionnalité de signalement de phishing.
  • Supprimez l'email ou le message suspect.

Pour vous protéger contre les attaques de phishing :

  • Soyez prudent avec les communications non sollicitées.
  • Vérifiez la source des messages avant de répondre ou de cliquer sur des liens.
  • Utilisez des mots de passe forts et uniques pour chaque compte.
  • Activez l'authentification multi-facteurs (MFA) sur vos comptes.
  • Gardez vos logiciels et systèmes à jour.
  • Utilisez des logiciels antivirus et anti-malware réputés.
  • Informez-vous sur les tactiques de phishing courantes et restez informé des nouvelles menaces.

Les attaques de phishing continuent de se produire parce qu'elles sont efficaces et relativement faciles à exécuter. Malgré les avancées technologiques et les mesures de sécurité, les erreurs humaines et l'évolution constante des tactiques de phishing maintiennent ces attaques fréquentes.

En savoir plus

Classification du niveau de difficulté du phishing

Classification du niveau de difficulté du phishing

Thomas Le Coz
Thomas Le Coz

Tous les emails de phishing ne sont pas égaux. Quand je demande à quelqu’un ce que lui évoque un “email de phishing”, les descriptions sont très variées. Parmi ces descriptions, le niveau de difficulté c’est à dire à quel point il...

Le phishing de comptes Instagram

Le phishing de comptes Instagram

Thomas Le Coz
Thomas Le Coz

Instagram est un réseau social très populaire, il est donc logique que le phishing sur Instagram soit tout aussi populaire. Selon une étude, « Digital Report 2021 » publiée par Hootsuite et We Are Social, Instagram est la 5ème application...