Blog AVG Signal Sécurité Hameçonnage Qu’est-ce que le spear phishing et comment l’éviter
Signal-What-is-spear-phishing-and-how-to-avoid-it-Hero

Qu’est-ce que le spear phishing ?

Le spear phishing (harponnage ou phishing ciblé) est un type d’attaque de phishing ciblée qui consiste à envoyer un e-mail ou un message électronique à une personne, une organisation ou une entreprise en particulier pour l’amener à divulguer des informations privées. Ce message est créé spécialement pour paraître tout à fait authentique et provenir d’une source de confiance, ce qui rend les attaques de spear phishing particulièrement dangereuses.

Cet article contient :

    Comment fonctionne le spear phishing ?

    Les attaques de spear phishing se déroulent comme suit : le pirate identifie sa cible et recherche des informations personnelles la concernant (par exemple son employeur, le nom de ses amis, sa ville de résidence, ses derniers achats en ligne, etc.). Une fois ces informations personnelles collectées, le pirate crée un message d’apparence tout à fait authentique et qui semble provenir d’une source de confiance (par exemple l’employeur, un ami ou encore une entreprise ayant pignon sur rue).

    Pourquoi le spear phishing donne-t-il autant de résultats ?

    Le spear phishing est un type d’attaque de phishing particulièrement efficace, car les victimes sont soigneusement visées et les messages qui leur sont envoyés sont conçus pour paraître authentiques. Même les meilleurs protocoles de cybersécurité ne peuvent pas bloquer les e-mails de vos contacts. Peut-être pensez-vous qu’il est facile de repérer les attaques de phishing, mais méfiez-vous : vous pourriez être surpris du caractère faussement authentique de ces messages.

    Les techniques d’ingénierie sociale jouent un rôle majeur dans l’efficacité des attaques de spear phishing. Les attaques de spear phishing les plus réussies ont recours à des messages qui semblent tellement authentiques que la victime ne peut que tomber dans le piège. Les différents éléments du message peuvent sembler tout à fait authentiques et l’adresse e-mail utilisée par le pirate peut être une adresse e-mail bien réelle, le pirate ayant pu commettre un vol d’identité et réutiliser l’adresse e-mail de sa victime pour lancer une attaque de spear phishing.

    Voici un exemple classique de spear phishing : un message tout à fait normal vous parvient, provenant visiblement du compte de messagerie d’un employé (parfois même directement du PDG) d’une entreprise que vous connaissez. Parfois, ce message (qui semble tout à fait inoffensif) prend la forme d’une notification émanant d’une application bien connue comme Microsoft Teams ou Google. Dans chacun de ces cas, le message s’adresse directement à la victime potentielle et reprend des éléments d’informations personnelles.

    Les messages de spear phishing utilisent souvent le logo d’entreprises connues, pour mieux tromper la victime et la pousser à cliquer sur le lien frauduleux.

    À ce stade, l’attaque fonctionne comme une attaque de phishing normale. Le message contient un lien frauduleux ou des pièces jointes malveillantes et l’expéditeur emploie en général des phrases donnant un sentiment d’urgence (par exemple « merci de consulter ce document immédiatement » ou « votre compte va être supprimé si vous n’agissez pas tout de suite »). Avec ce sentiment d’urgence, les victimes se concentrent sur l’injonction ou sur la notification plutôt que sur le fait que la demande soit tout à fait illégitime.

    Exemple de spear phishing qui vise à tromper la victime en prétendant contenir un message urgent.

    Le nombre de personnes ou d’entreprises ciblées tous les jours par des attaques de spear phishing n’est pas bien connu. D’après un rapport, 88 % des entreprises ont été confrontées à des attaques de spear phishing en 2019, la majorité des personnes interrogées signalant plus de 10 attaques par an.

    Exemples de spear phishing

    Le spear phishing affecte les entreprises de toutes tailles et aussi des personnalités connues. Personne n’est à l’abri des attaques de spear phishing, pas même les employés de Twitter, ni Jeff Bezos.

    Facebook et Google

    L’une des plus grandes attaques de spear phishing recensées à ce jour visait deux des plus grandes entreprises au monde : Facebook et Google. Le pirate s’est fait passer pour un employé de Quanta, une entreprise technologique taïwanaise que ces deux géants comptaient parmi leurs sous-traitants. Il a fait parvenir de fausses factures à leurs départements de comptabilité, factures que Facebook et Google ont payées.

    Le pirate a réussi à voler 100 millions de dollars avant que l’escroquerie ne soit dévoilée. Grâce à leurs ressources quasi illimitées, ces entreprises ont pu retrouver et poursuivre le pirate, récupérant au final près de la moitié des sommes volées.

    Ubiquiti Networks

    En 2015, la société de services informatiques Ubiquiti Networks a été victime d’une escroquerie de 46,7 millions de dollars par le biais d’une attaque de spear phishing. En se faisant passer des employés, les pirates se sont attaqués aux services financiers de cette entreprise et lui ont envoyé des demandes frauduleuses. Et même si l’entreprise a finalement pu récupérer une partie des sommes détournées, une grande partie a dû passer par pertes et profits.

    Twitter

    En 2020, plusieurs utilisateurs célèbres de Twitter (dont Jeff Bezos, Elon Musk et Kanye West) ont vu leurs comptes Twitter piratés suite à une attaque de spear phishing. Les pirates se sont faits passer pour des employés du service informatique pour inciter des employés de Twitter à leur divulguer les informations d’identification d’un outil interne, ce qui leur a permis de réinitialiser les mots de passe et l’authentification à deux facteurs de plus de 45 comptes.

    Les pirates ont ensuite utilisé ces comptes compromis pour envoyer des tweets faisant la promotion d’une arnaque autour du Bitcoin : les followers se voyaient promettre le double de la quantité de Bitcoins envoyée sur un compte donné. Comme les tweets provenaient de comptes Twitter vérifiés et de noms connus, cette escroquerie a permis aux pirates d’extorquer des bitcoins à de nombreuses personnes.

    Epsilon

    En 2011, le fournisseur de services de messagerie Epsilon a été victime d’une attaque de spear phishing. Les e-mails frauduleux étaient adressés à des employés responsables des opérations de messagerie, ce qui a permis aux pirates d’accéder à des centaines d’adresses e-mail de clients et de compromettre les systèmes de sécurité de l’entreprise. Plusieurs autres attaques de spear phishing s’en sont suivies, ciblant des dizaines de clients d’Epsilon.

    Escroquerie à la collaboration sur Google Drive

    En 2020, une nouvelle attaque de spear phishing a touché Google, visant cette fois les utilisateurs particuliers plutôt que l’entreprise elle-même. Cette escroquerie exploitait la fonctionnalité de collaboration de Google Drive, via laquelle Google envoie aux utilisateurs un e-mail les avertissant que quelqu’un souhaite collaborer sur un projet. Le magazine Wired a même été visé, recevant une notification de collaboration Google associée à un faux compte de messagerie russe.

    Quelle est la différence entre le phishing et spear phishing ?

    La différence entre une attaque de phishing et une attaque de spear phishing est que l’attaque de phishing attaque au hasard un grand nombre de victimes potentielles en une seule fois, alors que le spear phishing cible des personnes ou des entreprises en particulier. Ces deux types d’attaques ont recours à des messages semblant provenir de sources légitimes et destinés à convaincre les victimes qu’ils sont authentiques et dignes de confiance.

    Les e-mails envoyés dans le cadre des attaques de phishing s’appuient sur des messages plus génériques, car ils ciblent un grand nombre de personnes. Pour qu’une attaque de phishing soit considérée comme réussie, il suffit qu’un tout petit pourcentage des victimes ciblées réponde.

    Les attaques de spear phishing appliquent les mêmes principes, mais en ciblant une personne ou un groupe en particulier. Les pirates recherchent auparavant des informations exploitables sur leurs victimes et rédigent soigneusement les e-mails et les messages. Bien que les attaques de phishing et de spear phishing soient souvent lancées depuis des adresses e-mail apparemment authentiques, les informations reprises dans les messages de spear phishing sont en général plus personnelles et plus ciblées.

    Les attaques de phishing sont envoyées à un grand nombre de victimes potentielles, tandis que les attaques de spear phishing se concentrent sur une personne ou un groupe.

    Autres types de phishing

    Il existe aussi d’autres types d’attaques de phishing, chacun ayant recours à une approche légèrement différente de celle du phishing classique.

    • La technique dite angler phishing (hameçonnage de type pêche à la ligne) a recours à des publications sur les réseaux sociaux, des messages directs et des notifications pour attirer ses victimes.

    • On parle de whaling (pêche à la baleine) quand le pirate usurpe l’identité du PDG d’une entreprise dans le but d’amplifier l’aspect légitime et urgent du message.

    • Le barrel phishing, aussi appelé double-barrel phishing, cible des personnes bien spécifiques dans le cadre d’une attaque en deux étapes. Tout d’abord, un message anodin est envoyé à la victime afin de gagner sa confiance. L’attaque commence réellement avec un message qui contient un lien frauduleux ou une pièce jointe malveillante.

    • Le vishing, ou phishing vocal, se fait par téléphone plutôt que par e-mail. Le pirate se fait passer pour une autorité (par exemple le service des impôts) et incite la victime à lui divulguer des données sensibles, comme son numéro de sécurité sociale.

    • Le smishing désigne les attaques de phishing par message texte, ou SMS.

    • Le pharming désigne les attaques redirigeant les utilisateurs vers des sites web malveillants mis en place via un processus connu sous le nom de détournement de DNS. Ces attaques de pharming attirent leurs victimes vers des sites web frauduleux qui semblent par ailleurs tout à fait légitimes.

    • Le phénomène appelé evil twin phishing (aussi appelé evil twin attack, ou attaque au jumeau maléfique) se produit lorsque le pirate crée un réseau Wi-Fi frauduleux qui paraît légitime et qui encourage les victimes à s’y connecter avec leurs véritables informations d’identification.

    • Le catfishing (ou arnaque à l’amour) consiste à créer une identité fictive sur les réseaux sociaux afin de gagner la confiance de la victime. Les tactiques de catfishing servent en général à tromper la victime pour lui soutirer de l’argent.

    Comment éviter les attaques de spear phishing

    Le meilleur moyen de vous protéger des attaques de spear phishing est de vous former aux bases de la cybersécurité, par exemple pour savoir comment repérer les e-mails suspects et ce que vous devez faire si vous en recevez un.

    Les e-mails suspects contiennent en général des fautes de grammaire que les natifs ne font normalement pas, des fautes de frappe qui trahissent un certain laisser-aller, des demandes portant sur des informations sensibles (ce que les entreprises normales ne font jamais par ce biais) ou des pièces jointes que vous n’avez pas demandées. Les liens ou les pièces jointes que contiennent les e-mails de spear phishing présentent souvent une apparence légitime, car ils semblent provenir d’une source connue et digne de confiance.

    À y regarder de plus près, les e-mails de spear phishing contiennent souvent de petites erreurs, mais parfois aussi des erreurs plus évidentes.Quelques signes clairs que vous êtes face à un e-mail de spear phishing : (a) un sentiment inhabituel d’urgence ou un ton peu professionnel dans la ligne d’objet, (b) des fautes de frappe, (c) une formule de politesse générale ou pas de formule de politesse du tout, (d) de petites fautes de grammaire, (e) un certain manque de clarté autour des liens, (f) une mise en page ou des polices étranges.

    Pour mieux vous protéger des attaques de spear phishing, vérifiez soigneusement l’adresse e-mail. Si un nom est mal orthographié ou si le message provient d’un domaine inhabituel, le message est peut-être frauduleux. La pièce jointe peut aussi porter un nom inhabituel ou un nom qui n’a aucun sens. Si le message semble provenir de quelqu’un que vous connaissez ou émaner d’une source officielle mais qu’il contient des demandes étranges ou inhabituelles, contactez directement cette personne afin de vérifier si l’e-mail est légitime ou non.

    Vous pouvez aussi appliquer les protocoles de sécurité de base pour les e-mails et sur Internet en général, par exemple en évitant les liens suspects, en créant des mots de passe complexes, en choisissant un navigateur privé et sécurisé et en tenant vos logiciels à jour. Faites également une sauvegarde de vos données afin de vous assurer que vous ne perdrez rien si votre compte venait à être compromis.

    Utilisez aussi un logiciel de sécurité pour renforcer les capacités anti-phishing de votre client de messagerie habituel. Le meilleur logiciel antivirus peut vous aider à éviter les attaques de spear phishing.

    Protégez-vous des attaques de spear phishing avec AVG Antivirus

    AVG Antivirus Gratuit comporte six couches de sécurité qui protègent vos données et tiennent les pirates à distance. Il comprend un Agent web intégré qui vous avertit en cas de site web suspect, ainsi qu’un Agent e-mail qui bloque les e-mails dangereux et les liens louches.

    Les attaques malveillantes vont bien au-delà du simple phishing : les pirates peuvent utiliser différents types de malwares, par exemple les spywares (logiciels espions) ou les ransomwares (rançongiciels), pour attaquer votre appareil et voler vos données. Les menaces en ligne étant de plus en plus nombreuses, la prévention et la sécurité sont plus importantes que jamais. AVG Antivirus Gratuit vous protège 24 h/24 et 7 j/7 des différentes menaces en ligne.

    AVG Antivirus Gratuit protège votre appareil pour que vous ne puissiez pas être victime d’une attaque en ligne, par exemple une attaque de spear phishing. Faites de votre appareil une forteresse et assurez la sécurité de vos documents privés et de vos données personnelles. Bénéficiez de la meilleure protection disponible actuellement avec AVG, de façon entièrement gratuite.

    Protégez votre iPhone des menaces avec AVG Mobile Security

    Installation gratuite

    Bloquez les attaques de phishing avec AVG Antivirus pour Android

    Installation gratuite