Décryptage de l’attaque de phishing, pour ne plus mordre à l’hameçon !

Alerte rouge sur nos boîtes e-mail, les attaques de phishing ont grimpé en flèche. D'après les données de l'APWG, les "phishing attacks", ou attaques d'hameçonnage, sont passées de 877 536 au deuxième trimestre 2024 à 989 123 au quatrième trimestre.

Ce n'est pas une simple augmentation, c'est une véritable marée d'hameçonnage qui déferle sur nos organisations. Exit les messages grossiers truffés de fautes d'orthographe d'un hacker nigérian souhaitant partager sa fortune. Aujourd'hui, les cybercriminels déploient des stratégies sophistiquées qui trompent même les professionnels les plus aguerris.

Pour y faire face, découvrons, c'est quoi le "phishing", ses différentes formes et comment l'éviter dans une attaque.

Voir tous les logiciels Sécurité Cloud

Une "attaque de phishing", qu'est-ce que c'est ?

Phishing attack : définition

Le phishing, c'est une technique de hacking visant à voler des informations sensibles en se faisant passer pour une personne ou une entité de confiance. C'est une technique de cyberattaque très courante, concernant aussi bien les particuliers que les grosses entreprises. Mais bien sûr, plus le poisson est gros, mieux c'est pour les hackers.

Que visent les attaques de phishing ?

Ces hackers, ou plus précisément "scammers" dans le jargon, visent plusieurs objectifs :

• Subtiliser vos données personnelles ou professionnelles.
• Usurper l'identité de la cible pour commettre des fraudes.
• Pirater un système informatique et y installer un cheval de Troie ou autres logiciels malveillants.
• Faire du détournement d'argent via des virements bancaires frauduleux.
• Accéder à des comptes personnels et professionnels : messagerie, réseaux sociaux, services web, etc.

Exemple de cas d’attaque de phishing

En 2024, d’après le rapport de Arctic Wolf, 70% des entreprises ont signalé des attaques de compromission de courriels professionnels (BEC). Le résultat ? Près de 29 % d'entre elles ont subi au moins une attaque réussie.

Cas de figure d'une attaque de phishing en 2025

En février 2023, une entreprise française a perdu environ de 38 millions d'euros après que le service comptable a répondu à un e-mail semblant provenir des avocats et du directeur général, demandant d'effectuer 45 virements en toute innocence. (source : Radio France)

L'e-mail était parfaitement rédigé, utilisait les bons logos, signatures et références internes, et faisait même mention d'un projet confidentiel réel en cours dans l'organisation.

Cette attaque sophistiquée montre à quel point les techniques d'hameçonnage se sont professionnalisées, représentant une menace majeure pour la cybersécurité de votre entreprise.

Le b.a.-ba d'une attaque de phishing : son fonctionnement

Une attaque de phishing peut se présenter sous plusieurs formes (voir ci-dessous). Mais quelle que soit la forme, on peut constater un processus type en plusieurs étapes.

1. La préparation

Le hacker recueille des informations sur sa cible (entreprise, personnel, habitudes) via les réseaux sociaux ou le web. C'est la phase de reconnaissance. Le pêcheur identifie le poisson pour s'armer du meilleur appât à mettre sur son hameçon. En d'autres mots, il va personnaliser l'attaque, ce qui ne garantit pas le succès, mais va augmenter drastiquement son taux de réussite.

2. La création du leurre (appât)

Élaboration d'un message crédible imitant une organisation légitime. Cela peut venir d'une banque, d'un service informatique interne, d'un fournisseur d'internet…

Le hacker va reproduire fidèlement les traits de l'organisation :

• L'identité visuelle (logos, charte graphique).
• Le ton et le style de communication habituels.
• Les signatures et coordonnées officielles.
• Les domaines web similaires (exemple : amazon-security.com au lieu de amazon.com).

3. La diffusion (lancer de l'hameçon)

Envoi massif ou ciblé du message contenant un lien malveillant ou une pièce jointe infectée. Chaque jour, pas moins de 3,4 milliards d'e-mails de phishing sont envoyés à travers le monde, représentant 1,2% de tous les e-mails selon AAG.

D'après ses statistiques, une personne a déjà dû au moins une fois dans sa vie recevoir un phishing. Les plus chanceux ne l'auront pas vue (car mise en spam). Les malchanceux en seront la victime, et s'en rendront compte bien trop tard.

4. La manipulation

Incitation de la victime à cliquer sur le lien ou à ouvrir la pièce jointe via des techniques d'ingénierie sociale :

• Création d'un sentiment d'urgence ("Votre compte sera bloqué dans 24h").
• Utilisation de la curiosité ("Voir qui a consulté votre profil").
• Exploitation de la peur ("tentative de connexion suspecte détectée").
• Appel à l'avidité ("Vous avez gagné un iPhone 15").

5. La compromission

Collecte des identifiants saisis sur le faux site ou installation d'un code malveillant sur l'appareil de la victime. Cette étape est généralement invisible pour l'utilisateur, qui pense interagir avec un service légitime.

6. L'exploitation

Ici, selon la forme du phishing, l’exploitation des données est différente.

• Utiliser des données volées pour accéder à des comptes.
• Effectuer des virements frauduleux.
• Lancer d'autres attaques en réseau au sein de l'organisation.

💡 Le saviez-vous ? L'intelligence artificielle est devenue l'alliée redoutable des cybercriminels. Les dernières techniques incluent le clonage vocal (reproduisant la voix d'un PDG au téléphone) et les deepfakes (créant des vidéos truquées d'une personne de confiance). Ces technologies rendent les attaques infiniment plus convaincantes et difficiles à détecter pour un service de sécurité.

Les types d'attaques de phishing les plus courants

Au fil des années, les hackers ont perfectionné leur technique pour être de plus en plus spécifiques et performants.

Mais le principe est le même. Le hacker est un pêcheur. Le phishing est à la fois l'appât et l'hameçon. Et la cible/victime est le poisson. Pour éviter ces pièges, il faut comprendre comment ils fonctionnent.

Voici les différentes techniques ou méthodes de "phishing attack" les plus utilisées.

1. Phishing par e-mail – Le classique indémodable

Le phishing par e-mail reste le mode opératoire préféré des hackers. C'est la plus simple à mettre en place de la liste et aussi la plus répandue. Les particuliers sont les proies les plus faciles à hameçonner. De base, une organisation avec un responsable IT saura l'éviter sans problème.

Comment le reconnaître ?

Au vu du nombre de courriers professionnels qu'une entreprise peut recevoir par jour ou à l'hebdomadaire, on peut s'y perdre. Mais il y a quelques signes qui peuvent mettre la puce à l'oreille.

Avant de cliquer sur un lien d'e-mail ou de télécharger un fichier, vérifiez ces éléments :

• Adresse d'expéditeur suspecte (regardez au-delà du nom affiché).
• Fautes d'orthographe subtiles (souvent dans le domaine de l'expéditeur).
• Formules de politesse génériques ("Cher client" au lieu de votre nom).
• Liens dont l'URL révèle une destination différente au survol.
• Pièces jointes avec extensions douteuses (.zip, .exe, .bat).

Exemple type : un courriel imitant votre banque vous demande de "confirmer vos informations bancaires suite à une mise à jour de sécurité".

2. Spear phishing – L'attaque sur mesure

Contrairement au phishing de masse, le spear phishing cible des individus spécifiques avec des messages personnalisés. Le hacker utilise des informations publiques ou internes (LinkedIn, publications d'entreprise, organigrammes) pour créer un message totalement adapté à la cible. Cela vient nous rappeler encore une fois l'importance de bien choisir les informations à divulguer sur un réseau social.

Le taux de réussite de ces attaques ciblées est 10 fois supérieur au phishing traditionnel, car elles sont soigneusement élaborées et extrêmement crédibles. Le spear phishing constitue aujourd'hui une des principales menaces des données sensibles d’entreprise.

En pratique, cela peut se présenter sous forme de :

• Personnalisation poussée (mention de collègues, projets en cours).
• Référence à des événements réels de l'entreprise (des adultères peut-être).
• Ciblage précis des personnes ayant accès aux données sensibles.
• Imitation parfaite du style de communication de l'organisation.

Donc, si quelqu'un envoie : « Luke, je suis ton père », c’est un signe.

3. Whaling – La chasse aux gros poissons

Pourquoi viser le petit poisson quand on peut viser la grosse baleine blanche (Moby Dick) ? Le whaling (ou "chasse à la baleine") vise spécifiquement les hauts dirigeants d'une organisation.

Ces attaques d'hameçonnages sont minutieusement préparées et extrêmement crédibles, souvent après des semaines d'étude du comportement et du style de communication de la cible. Plus gros est le poisson, plus grosse est la préparation.

Cela démontre à quel point le piratage informatique est arrivé à un sommet de perfectionnement.

Les points à retenir sont pour comprendre et identifier le whaling sont :

• Messages personnalisés évoquant les responsabilités spécifiques du dirigeant.
• Exploitation des relations de pouvoir au sein de l'entreprise.
• Demandes financières importantes, mais plausibles.
• Utilisation de l'urgence pour court-circuiter les processus de vérification.

Exemple : un faux e-mail du directeur financier au PDG demandant une validation urgente d'un virement pour "finaliser l'acquisition confidentielle" dont ils avaient discuté récemment.

4. Vishing – Le phishing à la voix

Le vishing (voice phishing) exploite les appels téléphoniques pour manipuler les victimes. L'attaquant se fait passer pour un collègue, un support technique ou un partenaire bancaire et utilise l'urgence pour vous pousser à révéler des informations sensibles. Avec l’arrivée récente des IA (IA de voix), cette technique de phishing est en train d’exploser dans les nouvelles tendances de hacking.

Techniques courantes

• Usurpation du numéro d'appel (spoofing) pour afficher un numéro légitime.
• Création d'un scénario d'urgence nécessitant une action immédiate.
• Exploitation de l'autorité (faux appel du service informatique ou d'un supérieur).
• Utilisation de bruits de fond d'un centre d'appels pour renforcer la crédibilité.

Petite alerte technologique :

Les outils de clonage vocal basés sur l'IA ont fait exploser ces attaques en 2024. Quelques secondes d'enregistrement de la voix d'un dirigeant (disponibles dans des interviews ou des webinaires) suffisent désormais pour générer des conversations complètes imitant parfaitement son timbre et ses intonations.

Le plus inquiétant dans tout cela ? À l’heure actuelle, il n’y a pas encore de solution sur mesure et prête à l’emploi pour détecter ce type de hacking. Il faut donc rester vigilant et rester à jour sur les avancées de la technologie IA qui n'arrête pas de proposer à chaque mois (voire semaine) de nouvelles tendances.

5. Smishing – Le SMS piégé

Qui a dit que les SMS ce n'est plus à la mode ? Pas les hackers en tout cas ! Le smishing (SMS phishing) exploite les messages texte pour vous pousser à cliquer sur des liens malveillants. Cette technique profite de la consultation quasi immédiate des SMS par leurs destinataires et du format court qui masque plus facilement les indices suspects.

Les signes révélateurs

• Numéros d'expéditeur inconnus ou alphanumériques.
• Messages courts créant un sentiment d'urgence ("Livraison en attente", "Paiement refusé").
• Liens abrégés masquant la véritable URL de destination.
• Fautes d'orthographe ou de grammaire subtiles.

En 2024, le groupe "Smishing Triad" a mené des campagnes dans plus de 121 pays, utilisant environ 200 000 domaines pour leurs opérations, selon WIRED. Ces attaques sont particulièrement efficaces par leur brièveté et l'impression d'urgence qu'elles créent.

Conseil de sécurité du jour

Ne jamais cliquer directement sur un lien reçu par SMS. Si le message semble provenir d'une entreprise légitime (banque, service postal), il y a deux options. Ouvrir soi-même l’application officielle ou taper manuellement leur adresse web dans un navigateur.

Exemple de SMS que vous pouvez recevoir :

6. Clone phishing – Copier pour mieux tromper

Pour les attaquants, le clone phishing ou "hameçonnage par clonage" consiste à dupliquer les courriels légitimes des utilisateurs. Ils modifient les messages d'origine en y incluant des liens ou des pièces jointes malveillantes. Les courriels sont ensuite envoyés à partir de comptes usurpés afin de les faire paraître authentiques. Ici, les attaquants usurpent l'adresse électronique de l'expéditeur pour envoyer le message cloné.

Généralement, le clone phishing a pour objectif d'inciter les destinataires à fournir des informations sur leurs coordonnées bancaires ou personnelles.

Cette technique se base principalement sur l’inattention des victimes. Il n’y a pas 36 solutions pour vous en prémunir. Survolez d’abord les liens avant de les ouvrir.

7. Pharming – Le piratage invisible ​

Ce type de fraude utilise un code malveillant visant à rediriger les victimes vers des sites web usurpés. Le hacker veut ici voler les identifiants et les données confidentielles des victimes.

Les pharming attaques se produisent lorsque des cybercriminels manipulent le système de noms de domaine (DNS) ou compromettent l’appareil d’un utilisateur pour le rediriger vers un site Web frauduleux.

À titre informatif, le DNS est un système qui traduit les noms de domaine (www.example.com) en adresses IP afin que les navigateurs puissent charger le bon site Web.

Dans une attaque de pharming, les attaquants corrompent ce processus pour rediriger les utilisateurs vers des sites Web malveillants, imitant ceux légitimes.

En principe, le pharming débute par l'installation d'un code malveillant sur le serveur d'une victime. À l'issue de ce code, cette dernière sera redirigée vers un site web usurpé. De là, elle est susceptible de partager ses données sensibles ou ses identifiants de connexion.

Pour éviter le pharming, nous vous recommandons l'utilisation de DNS sécurisés (comme Cloudflare ou Google DNS). L’utilisation des certificats SSL ainsi que l’activation du protocole DNSSEC sont également nécessaires.

8. Phishing via les réseaux sociaux – Attaques déguisées

Si vous pensez que scroller Tiktok et Instagram est sans danger, c’est que vous n’avez rien compris. Les attaques menées sur ces plateformes se multiplient, vous incitant à divulguer leurs informations personnelles.

Vous recevez d’abord une notification par courrier électronique disant que vous devez activer un nouveau compte, car celui que vous avez déjà va disparaître (les fameux messages de Zuckerberg, vous connaissez ?). Si vous mordez à l’hameçon, vous vous retrouvez avec des données privées violées.

☝️Faites attention par ailleurs aux demandes d’amis ! Certains faux comptes ne veulent pas votre amitié, ils veulent vos données ou votre argent.

9. Phishing par QR code – Quand un simple scan devient une menace

Le QR code est partout, au supermarché, comme sur les sites web de vente de formation. Les hackers sont de plus en plus aisés pour vous attaquer via ces codes. Les cas les plus courants ? Ils créent des codes malveillants qui vous redirigent vers un site frauduleux.

Un QR code collé sur un panneau ‘WiFi gratuit' ? C’est comme un bonbon empoisonné… ne le scannez pas !

Dans la pratique, le phishing par QR code vise à inciter les utilisateurs à fournir des informations confidentielles comme leurs identifiants de connexion, leurs données bancaires ou même des renseignements sur leur identité.

🗣️Conseil : optez pour des scanners intégrant une prévisualisation des liens (comme Google Lens) et ne scannez jamais un QR code collé sur un objet public.

10. Phishing via les applications mobiles – escroquerie dans votre smartphone

Le phishing via les applications mobiles consiste à vous inciter à installer un gadget frauduleux qui ressemble comme deux gouttes d’eau à l’application légitime. Une fois installé, il va :

• afficher les interfaces de connexion utilisées par la victime ;
• collecter toutes les données saisies ;
• Opérer en arrière-plan pour surveiller l'activité des utilisateurs.

Certains facteurs favorisent cette attaque d'hameçonnage : les écrans de petite taille (rendant difficile l'identification d'URLs malveillants), les notifications consultées rapidement, les connexions automatiques.

Comment éviter ces pièges ? Arrêtez-vous de suivre n'importe quel lien qui s’affiche sur vos fils d’actualité Facebook !

Comment reconnaître et prévenir une attaque de phishing ?

Si le phishing est une menace omniprésente dans le monde numérique, les signes sont également révélateurs. Parfois, c’est nous qui choisissons d’être aveugle : fautes d'orthographe et de grammaire, adresses e-mail qui ne comportent pas de noms de domaines, urgences qui n’ont rien d’urgent, etc.

Supposons que vous receviez un e-mail prétendant provenir de votre banque et vous demandant de vérifier vos informations personnelles en raison d'une "activité suspecte". Sur le coup, vous seriez tenté d'y répondre ! Résultat : vous êtes pris aux pièges !

Maintenant, vous avez compris, mais vos employés continuent de cliquer et de répondre à n’importe quel e-mail ! Encore une fois, vous êtes pris aux pièges !

Quelles solutions ? Une formation et une sensibilisation du personnel s’imposent ! Plus question d’ouvrir des pièces jointes infectées ! Personne ne se fait rediriger bêtement vers un site web frauduleux !

Par ailleurs, la mise en place de l'authentification à deux facteurs (2FA) constitue également une barrière supplémentaire contre les accès non autorisés. Même si un mot de passe est compromis, la 2FA exige une seconde vérification, rendant ainsi l'accès aux comptes beaucoup plus difficile pour les cybercriminels.

Pensez aussi à des solutions de sécurité avancées, telles que les logiciels de filtrage des e-mails. Ici, c’est vous qui utilisez le filet pour pêcher les criminels. On inverse le rôle, vous êtes partant ?

Voir tous les logiciels Sécurité Cloud

Phishing attack : on résume !

En résumé, le phishing reste l’une des cybermenaces les plus redoutables. Comme en témoignent les données de Netskope, son taux a connu une hausse considérable au cours de l'année 2024.

En termes de fonctionnement, l'hameçonnage consiste à envoyer des messages semblant provenir d'une entreprise ou d'un site web légitime. Ces messages contiennent généralement un lien redirigeant l'utilisateur vers un faux site web qui ressemble au vrai. L'utilisateur sera ensuite invité à saisir des informations personnelles telles que ses identifiants de connexion ou encore son numéro de carte bancaire. Cette attaque peut prendre plusieurs formes, en passant par la plus classique (le phishing par e-mail) à la plus sophistiquée (le whaling).

Pour se protéger contre les cybermenaces, il est conseillé d'accroître sa vigilance et surtout de se former régulièrement. Aussi, l'adoption d’outils adaptés (2FA, filtres anti-phishing) constitue également un bouclier efficace. Ceci dit, la cybersécurité doit rester une priorité collective (entreprises et employés) afin de pouvoir faire face à l'ingéniosité des cybercriminels.

Le phishing évolue, mais votre vigilance aussi. Alors, prêt à devenir un poisson trop malin pour les pirates ?