Qu’est-ce que le phishing ?

Le phishing est une arnaque par email consistant pour son auteur à se faire passer pour une marque afin de pousser ses victimes à divulguer leurs identifiants ou à exécuter un malware. Ainsi, dans la plupart des cas, le phishing prend la forme d’un lien vers un site Web frauduleux ou d’une pièce jointe contenant un malware.

Téléchargez la data sheet
Vade - Phishing

Phishing et spear phishing

Dans le cadre d’une attaque de phishing, les hackers se font passer pour des marques afin de tromper leurs victimes. Lors d’une attaque de spear phishing, ils usurpent l’identité d’autres personnes. La plupart des emails de phishing incluent un objet qui inquiète ou intrigue, et encourage les destinataires à réagir sans délai. À l’exception des attaques hautement ciblées, un email de phishing est généralement ponctuel. Bien souvent, les hackers envoient un seul et même email de phishing à de nombreux destinataires en même temps (ce que l’on appelle une « vague ») pour accroître leurs chances de réussite.

À la différence des emails de phishing, les emails de spear phishing n’incluent pas de liens ni de pièces jointes. Ils sont conçus pour pousser leurs destinataires à effectuer une transaction financière, par exemple un virement, un achat de cartes cadeaux ou une modification de coordonnées bancaires.

Anatomie d’un email de phishing

Tous les emails de phishing comportent soit un lien, soit une pièce jointe. Pour que les victimes potentielles cliquent sur le lien ou ouvrent la pièce jointe, les hackers ont recours à des outils et techniques sophistiqués. Voici les éléments les plus importants d’un email de phishing :

Vade - Objet

Objet

Il s’agit peut-être de l’élément le plus important d’un email de phishing : l’objet doit attirer, alerter ou apeurer le destinataire afin de l’inciter à ouvrir l’email. Les hackers bien renseignés concoctent des objets hautement ciblés pour que leurs victimes ouvrent leurs emails.

Vade - contre usurpation de l’adresse email

Usurpation de l’adresse email

L’usurpation de l’adresse email consiste à créer une adresse qui ressemble à celle d’une entreprise de confiance. Le hacker recourt parfois à l’usurpation du nom affiché pour afficher le nom souhaité dans le champ De de l’email. Dans d’autres cas, il y placera une adresse email qui ressemble à celle d’une entreprise légitime.

Vade - contre usurpation de la marque

Usurpation de la marque

Les hackers se font passer pour les marques dans lesquelles vous avez le plus confiance. Ainsi, lorsqu’ils s’attaquent à des entreprises, ils usurpent l’identité des marques avec lesquelles ces entreprises entretiennent une relation, comme une banque ou un éditeur de logiciels. Pour créer un sentiment d’authenticité, les hackers utilisent les véritables logos des produits et éléments visuels faisant partie de l’identité de la marque.

Vade - contre le phishing

Lien de phishing

Un lien de phishing est une URL qui mène à une page Web de phishing. Le lien de phishing se trouve généralement dans le corps de l’email, mais il peut aussi être inséré dans une pièce jointe ou un fichier hébergé sur un service légitime, comme OneDrive ou SharePoint, afin de ne pas être détecté par les filtres de messagerie capables de repérer les liens connus. Les victimes sont incitées à cliquer sur le lien dans l’email et sont ainsi redirigées sur un site Web leur proposant de se connecter à leur compte.

Vade - phishing email attachment

Pièce jointe

Les pièces jointes permettent de masquer le lien de phishing de la vue des filtres de messagerie ou de remettre un malware/ransomware. Bien souvent sous la forme d’un fichier Word, PDF ou .zip, la pièce jointe ressemble à un document professionnel légitime, par exemple une facture. Le lien de phishing peut ensuite mener à un site Web de phishing ou lancer automatiquement le téléchargement d’un malware ou d’un ransomware.

Vade - contre le phishing

Page de phishing

Une page de phishing est une page Web frauduleuse usurpant l’identité d’une marque. Les moins sophistiquées d’entre elles sont faciles à repérer. Toutefois, les hackers les plus doués récupèrent le code CSS des pages Web originales de la marque concernée pour créer leurs propres pages, qui leur ressemblent alors comme deux gouttes d’eau. Les pages de phishing imitent les pages de connexion sur lesquelles les victimes saisissent leur nom d’utilisateur et leur mot de passe pour accéder à leur compte. Le hacker peut ainsi récupérer automatiquement leurs identifiants.

Vade - Phishing examples

Exemples d’attaques de phishing

Le sentiment d’urgence est au cœur de tous les emails de phishing. Les hackers utilisent divers stratagèmes pour susciter l’inquiétude, voire la peur, et motiver les utilisateurs à cliquer sur des liens et divulguer des informations sensibles.


    • Vérification/mise à jour du compte
      L’email de phishing alerte l’utilisateur sur la nécessité de vérifier son compte ou de réinitialiser son mot de passe, soit dans le cadre d’une opération de routine, soit en raison d’un problème

    • Mise à jour du moyen de paiement
      La victime est informée que son mode de paiement actuel, généralement une carte bancaire, ne fonctionne pas ou doit être mis à jour pour permettre la poursuite du service..

    • Facture en pièce jointe
      Cette attaque prend la forme d’une fausse facture ou d’un faux document commercial en pièce jointe. Ladite pièce jointe peut inclure un lien vers une page de phishing ou directement exécuter un malware/ransomware lors de son ouverture.

    • Avertissement de sécurité
      Les fausses alertes de sécurité prétendent que le mot de passe de la victime a été compromis, qu’une activité suspecte a été détectée sur son compte ou qu’une connexion récente depuis un appareil inconnu a été enregistrée.

  • Phishing lié aux réseaux sociaux
    Le phishing lié aux réseaux sociaux consiste à dérober les identifiants d’un compte sur les réseaux par le biais de l’une des techniques mentionnées ci-dessus. Les hackers en profitent parfois pour s’emparer des données personnelles de leur victime et les revendre sur le marché noir. Dans d’autres cas, ils utilisent le compte compromis pour lancer des attaques de phishing contre les amis et abonnés de la victime.

  • Sextortion
    La sextorsiona pour but de faire croire que le hacker dispose d’informations compromettantes, par exemple une vidéo de la victime en train de regarder de la pornographie en ligne, enregistrée à l’aide de sa webcam. La victime est invitée à payer le hacker en bitcoins pour éviter que ces informations soient rendues publiques et diffusées à ses proches.

Outils gratuits

Vade - Phishing threat detection

Phishing threat detection

Testez IsItPhishing
Vade - Phishing IQ test

Phishing IQ test

Testez IsItPhishing IQ Test

Montée en puissance du phishing ciblant les entreprises

À une époque, le phishing concernait essentiellement le grand public. Mais à mesure qu’ils ont gagné en sophistication, les hackers ont commencé à s’intéresser aux entreprises. Par ailleurs, le développement du cloud computing a encore élargi la cible peinte sur le dos de ces dernières en rendant soudainement accessibles des fichiers et données sensibles. Les hackers ont ainsi commencé à se faire passer pour des marques connues avec lesquelles les entreprises entretiennent des relations commerciales, notamment des fournisseurs de services dans le cloud et des établissements financiers.

PF Fav 2022 - Pillar page FR

Classement Phishers' Favorite

Vade for M365

Vade for Microsoft 365 bloque les attaques sophistiquées dès le premier email. Pour ce faire, notre solution s’appuie sur des modèles d’apprentissage automatique qui procèdent à une analyse comportementale en temps réel de l’intégralité de l’email, URL et pièces jointes comprises. Notre système de détection basé sur l’IA s’appuie sur les données de plus de 1,4 milliard de boîtes aux lettres pour bloquer les menaces avant, pendant et même après les attaques.

En savoir plus ›
Vade - Phishing techniques

Techniques de phishing

La plupart des filtres de messagerie s’appuient sur des méthodes de détection basées sur l’empreinte et la réputation, notamment en recherchant des domaines et adresses IP en liste noire. Ils sont ainsi incapables de repérer les attaques inconnues ou les emails et pages de phishing qui n’ont pas encore été identifiés.

Les hackers ont recours à diverses méthodes pour contourner ces filtres. Une simple recherche de l’enregistrement MX leur permet par exemple de savoir quelle solution de sécurité de l’email est utilisée et donc de créer des scripts capables de contourner les règles MX ou encore d’imaginer des techniques de contournement de la solution à proprement parler. Voici une liste des techniques de phishing les plus fréquentes et les plus sophistiquées :


Emails ciblés

  • Les victimes sont sélectionnées sur la base de leur poste, de leur expérience et d’autres facteurs révélant leur capacité à accéder à des données sensibles.
  • Les hackers exploitent les médias sociaux et d’anciennes violations de données pour obtenir des informations susceptibles de les aider à personnaliser leur email et à comprendre ce qui pourrait pousser leur victime à leur répondre.
  • Ils enquêtent sur l’entreprise ciblée afin de déterminer avec quelles marques elle interagit, notamment ses partenaires commerciaux, éditeurs de logiciels, banques et autres partenaires financiers.

Usurpation de la marque

  • Les logos et images des marques sont téléchargés depuis le Web et insérés dans des emails de phishing pour renforcer leur authenticité perçue.
  • Les codes CSS et JavaScript sont copiés depuis les pages Web d’origine des marques et utilisés pour créer des pages de phishing indistinguables des originales.
  • Des adresses email de réponse légitimes sont également ajoutées aux emails de phishing pour convaincre l’utilisateur qu’ils proviennent bel et bien de la marque.

URL

  • Des URL menant à des pages de phishing sont insérées dans l’email ou cachées dans une pièce jointe, par exemple dans un fichier PDF ou Word, afin de tromper les filtres de messagerie incapables d’analyser ces documents.
  • Des URL légitimes menant à des pages Web sûres sont incluses en parallèle du lien de phishing pour tromper les filtres de messagerie qui jugent l’email sûr après avoir détecté un certain nombre d’URL authentiques.
  • Les URL temporaires sont des URL qui mènent à des pages Web légitimes et sûres, puis sont redirigées vers des pages de phishing une fois l’email remis..
  • Les outils de raccourcissement des URL comme Bit.ly et TinyURL permettent de créer des alias et d’éviter ainsi la détection par les filtres à la recherche de liens de phishing connus.

Insertion et altération d'images

  • De légères modifications ou altérations des images modifient leur hachage cryptographique, aussi appelé « empreinte ». Ainsi, les filtres peuvent considérer un email de phishing en liste noire comme un nouvel email, sûr cette fois-ci.
  • Des QR Codes remplacent souvent les URL de phishing pour éviter les filtres qui ne savent pas les extraire. Typiques des tentatives de sextorsion, ils permettent aux victimes d’accéder à un site de bitcoins sur lequel elles peuvent payer la somme demandée par le hacker.
  • Les images contenant du texte, comme des captures d’écran d’email, sont insérées dans le corps des emails en lieu et place du texte. Les filtres de messagerie ne peuvent ainsi pas en analyser le contenu et par conséquent juger que l’email est sûr.
Vade - Prévention du phishing

Prévention du phishing

Pour se prémunir du phishing, la meilleure solution consiste à compter à la fois sur les utilisateurs et sur la technologie. De nouvelles attaques sont lancées chaque jour, et même les filtres les plus sophistiqués ne sont pas efficaces à 100 %. Il est ainsi nécessaire de faire preuve d’une vigilance de tous les instants et de s’appuyer sur un arsenal de technologies anti-phishing :

    • Formation des utilisateurs

      Les attaques gagnent en sophistication : les utilisateurs doivent donc bénéficier de formations continues aux nouvelles attaques et techniques de phishing. En plus de cette sensibilisation au phishing, une formation contextuelle, présentée lors du clic sur un email de phishing, permet à l’utilisateur de comprendre immédiatement son erreur.

      Du contenu personnalisé en fonction de la marque utilisée dans la tentative de phishing donne à la formation un contexte, au contraire des formations annuelles généralement réalisées en groupes sur la base d’emails génériques. Au final, l’expérience sera plus efficace et mieux ancrée dans les mémoires que les simulations utilisées dans les formations classiques.

      Il est par ailleurs tout aussi important d’encourager les utilisateurs à signaler les emails suspects. Le service informatique peut ainsi alerter l’entreprise des attaques en cours et l’équipe des opérations de sécurité utiliser l’email signalé pour renforcer l’efficacité du filtre de messagerie.

    • Intelligence artificielle

      À la différence des technologies basées sur l’empreinte et la réputation, l’intelligence artificielle identifie les attaques de phishing inconnues en analysant le contenu, le contexte et l’origine des emails. Les algorithmes d’apprentissage automatique supervisé sont entraînés par des data scientists à reconnaître différentes caractéristiques des emails de phishing. Les algorithmes non supervisés ne nécessitent quant à eux aucune intervention, mais apprennent au fil du temps à reconnaître les anomalies des emails, à savoir les événements suspects et inhabituels.

  • Détection des images

    Entraînés à détecter les images et logos des marques, les algorithmes de Computer Vision peuvent détecter les légères altérations des images et des images composées de texte, mais aussi extraire les QR Codes qui cachent des liens de phishing. À la différence des autres algorithmes d’apprentissage automatique, les algorithmes de Computer Vision interprètent et voient les images comme le font les humains. Ils reconnaissent ainsi les emails de phishing connus en dépit des modifications qu’ils ont subies.