Le whaling, ou quand les hackers visent les gros poissons

Les risques de cybersécurité se trouvent à tous les échelons de l'entreprise. Le whaling (comprenez : pêche au gros, hameçonnage de baleine, etc.) est un type d'attaque qui s'adresse spécifiquement à des membres clés de l'organisation. C'est justement ce qui rend cette technique si dangereuse.
En quoi consiste-t-elle concrètement ? Quels sont les moyens de s'en prémunir ? Découvrez comment protéger les gros poissons de votre entreprise grâce à notre guide complet sur le whaling.
Qu’est-ce que le whaling ?
Définition du whaling
Le whaling est une forme de cyberattaque d'ingénierie sociale qui entre dans la catégorie du phishing (hameçonnage). La spécificité de ce type de menace, c'est qu'elle s'adresse à un groupe d'individus bien identifiés : les whales (baleines).
Le terme "whale" désigne un décideur, un membre de la direction d'une entreprise, ou tout individu qui a des responsabilités au sein d'une organisation.
Ces cibles sont plus vulnérables qu’on ne l'imagine. Tout d'abord, elles ne sont pas habituées à ce type de menace ; contrairement aux collaborateurs situés à un échelon de l'entreprise moins élevé qui y font face quotidiennement.
L'autre point de vulnérabilité concerne la nature du message, beaucoup plus personnalisée qu'avec le phishing classique.
Enfin, les informations et les données récupérées par le pirate seront plus sensibles, car la victime à des accès plus restreints que les autres membres de l'entreprise.
Les signes d'alerte d'une attaque de whaling
Pour vous aider à reconnaître une attaque de whaling, voici ses caractéristiques principales :
- Un email qui semble provenir d’un cadre supérieur.
- Un message dont le contenu exprime une urgence.
- Une demande qui sort des process de l'entreprise.
- Une impossibilité de contacter l'expéditeur (réunion, indisponibilité, etc.).
- Demande de transfert vers un compte inconnu.
Whaling, phishing, spear phishing : quelles différences ?
Le phishing, ou hameçonnage, est une technique frauduleuse destinée à tromper le membre d'une organisation en se faisant passer pour un tiers de confiance. L'objectif est de soutirer des données de valeur (comptes d'accès, mots de passe…) et/ou bancaires.
Le phishing classique s'effectue via des messages généraux qui imitent des documents d'instituts bancaires, de l'état ou d'un service de livraison. Ils sont généralement envoyés en masse à de multiples destinataires.
Le spear phishing est une catégorie du phishing plus ciblée. Elle consiste à usurper l'identité d'un contact (collègue, partenaire professionnel) pour récupérer les informations personnelles d'un individu en particulier. Le message est généralement personnalisé et donc plus difficile à détecter.
Le whaling est une autre sous-catégorie qui s'apparente au phishing, mais qui cible les "gros poissons" de l'entreprise. Il demande une préparation beaucoup plus importante de la part du pirate.
Comment fonctionne le whaling ? 4 étapes
Le repérage et la collecte d'informations
La première étape d'une attaque de whaling consiste à se renseigner sur sa cible. Pour cela, l'attaquant se concentre d'abord sur les sources publiques comme le site web de l'entreprise, qui présente généralement l'organigramme complet de la société. Il s'appuie également sur les rapports confidentiels disponibles en ligne (mais à l'accès non restreint) et des bases de données disponibles sur le dark net.
La création d'une stratégie
Grâce à la synthèse des informations récupérées, il établit ensuite une stratégie d'attaque.
☝️Prenons un exemple pour bien comprendre.
En consultant le site de l'entreprise cible, le cybercriminel identifie que le PDG est très actif sur LinkedIn. Il y partage ses conférences, interventions internationales, partenariats, etc. En parallèle, le cybercriminel exploite un rapport d'activité où il découvre le nom du directeur financier de l'entreprise qui gère les virements pour les contrats internationaux.
Alors que le PDG est en voyage en Allemagne, le cybercriminel envoie un message d'urgence qui imite son style au directeur financier en intégrant des éléments réels et vérifiables.
Il y demande un versement sur un compte différent en prétextant d'une urgence durant son voyage.
Une stratégie simple et qui peut s'avérer très profitable pour le pirate.
L'élaboration du message
Le point central dans une stratégie de whaling, c'est la création du message, c'est-à-dire, l'adresse mail, l'objet, la tonalité et le document lié. Voici comment chaque partie doit être minutieusement créée :
- L’usurpation de l’adresse mail : le pirate modifie légèrement l’adresse mail réelle du PDG de manière à ce que la modification soit la plus discrète possible (ajout d’un tiret, d’un “.”, etc.).
- Le choix de l’objet : l’objet du mail doit être crédible, simple et direct. Par exemple, “Facture en attente de règlement”. Il peut également déjà inclure une idée d’urgence (“Facture en attente de règlement - Urgent”).
- Un ton professionnel : le pirate doit adopter un niveau de langage qui correspond à celui du PDG dans ses messages habituels. Il peut intégrer des éléments réels et concrets, ainsi que du jargon typique de ce type d’échanges entre collaborateurs.
- Une demande urgente : l’urgence ne doit pas forcément être explicite pour éviter d’éveiller les soupçons. Toutefois, elle doit être suffisante pour que la demande soit exécutée dans des délais relativement courts (quelques jours).
- Facture falsifiée : dans le cas d’un transfert de fonds, le message doit intégrer une facture qui reprend exactement le format d’anciennes factures (logo, références, etc.). Seuls les détails bancaires seront modifiés.
La manipulation (pourquoi ça fonctionne ?)
Les attaques de whaling, et de phishing en général, fonctionnent en raison du facteur humain. L’attaquant joue sur la confiance en utilisant un ton et un vocabulaire appropriés. Certes, la demande peut être inhabituelle, mais reste cohérente. Le fait qu’elle provient généralement d’un supérieur ajoute une dimension de stress qui augmente la confusion de la victime et endort sa vigilance.
Quelques jours après son premier mail, s’il n’a pas reçu de réponse, le cybercriminel envoie une relance polie et professionnelle pour demander, par exemple, si la facture a bien été réceptionnée.
Psychologiquement, c’est un élément décisif, car ce second message inscrit l’échange dans une démarche banale, habituelle : une simple tâche à effectuer pour la victime. C’est justement cet aspect qui rend le whaling aussi dangereux.
Exemples d’attaques de whaling
Pour se protéger contre une menace, il faut avant tout en prendre conscience. Le whaling peut absolument toucher toutes les entreprises, toutes les organisations qui ne prennent pas suffisamment de précautions pour s'en prémunir.
💡Vous n'êtes pas convaincu ? Voici plusieurs exemples de sociétés à succès, leaders de leur secteur, qui ont subi des attaques de whaling et perdues des millions d'euros :
- FACC, fabricant autrichien de pièces aérospatiales, a été ciblé en 2016. Le service financier de l'entreprise a envoyé 47 millions de dollars à des cybercriminels.
- La même année, un membre de l'équipe de paie de Snapchat a envoyé les informations bancaires des employés de l'entreprise à un pirate que se faisait passer pour le PDG Evan Spiegel.
- Entre 2013 et 2015, Facebook a envoyé plus de 100 millions de dollars à un pirate qui s'est fait passer pour un de leurs anciens fournisseurs.
Pourquoi le Whaling est en pleine croissance ?
Le phishing est le type d'attaque en ligne le plus courant. On constate une augmentation de cas de whaling de 131 % au cours des dernières années qui est liée à plusieurs facteurs.
La principale raison de cette augmentation est la digitalisation croissante du monde professionnel et l'essor du télétravail. Dans ce contexte dans lequel les équipes ne communiquent plus directement sur leur lieu de travail, mais seulement par mail, les risques sont démultipliés. Pour gagner du temps, on ignore les protocoles de sécurité, ce qui a tendance à réduire la vigilance lors des cas avérés d'usurpation d'identité.
L'autre facteur de généralisation du phishing et du whaling est l'introduction des outils d'IA dans la stratégie de manipulation. Recherche d'informations, analyse de documents, reproduction d'un style d'écriture... L'IA permet aux hackers d'optimiser leurs process. Certaines IA sont même capables de générer des vidéos ultra-réalistes, avec des visages et des voix clonés. Les hackers n'ont plus qu'à simuler un appel vidéo de la part du supérieur hiérarchique pour demander un transfert de fonds ou valider une opération sensible.
Le dernier élément qui explique le "succès" du whaling, c'est bien sûr son potentiel de gains. Là où le phishing de masse permet de ne toucher que quelques centaines d'euros par victime, le whaling permet de gagner des millions en une seule opération.
Comment se prémunir du whaling : nos 5 conseils cybersécurité
Former tous les cadres et employés
Le premier rempart aux cybermenaces est humain. La vigilance permet d'éviter de nombreux risques, surtout en ce qui concerne les attaques d'ingénierie sociale. Tous les employés doivent être sensibilisés aux techniques de phishing classique et de spear phishing. Toutefois, les dirigeants et les cadres doivent être plus particulièrement formés aux risques du whaling. Il est essentiel de les impliquer avec des cas concrets de whaling et l'organisation de simulations d'attaque. En étant confrontés directement à une menace, ils prendront vraiment conscience des risques auxquels ils s'exposent.
Maîtriser son empreinte numérique et protéger ses données
Pour établir une stratégie de whaling efficace, les hackers ont besoin d'informations et de documents à exploiter. Pour rendre leur tâche plus complexe, maîtrisez les données que vous publiez sur les réseaux sociaux et sur le site de l'entreprise.
En complément, sensibilisez les cadres dirigeants au danger de partager trop d'informations professionnelles et personnelles sur leurs réseaux.
Pour cela, mettez en place une politique claire de divulgation des données afin que chaque membre de votre organisation puisse savoir ce qu'il peut communiquer ou non.
Avec cette approche, les emails de whaling seront beaucoup plus simples à reconnaître, car ils ne contiendront plus d'infos valides.
Établir des protocoles stricts de vérification
Une attaque de whaling s'effectue toujours en dehors des procédures habituelles de l'entreprise.
C'est pourquoi, il est essentiel d'établir des protocoles stricts (notamment pour les demandes financières) et de les respecter sans exception.
Pour les communications sensibles, mettre en place un mot de passe ou un code secret permet également d'ajouter un bouclier de sécurité supplémentaire.
N'acceptez jamais de modifier vos process sur la base d'un simple email ou d'un message téléphonique. Ce type de demande doit être officiel et validé, en personne, par un supérieur hiérarchique.
Renforcer la sécurité technique de votre entreprise
Le numérique est désormais partout et les cyber risques sont démultipliés. Les entreprises qui utilisent le cloud et un écosystème complexe d'applications ne peuvent plus faire l'économie d'une cybersécurité performante.
Que ce soit pour lutter contre les malwares, les ransomwares ou le phishing, votre société a besoin d'un arsenal complet d'outils de protection.
Concrètement, pour se prémunir du whaling, les dispositifs de sécurité incontournables sont :
- Un système d'authentification multifacteurs pour les applications critiques.
- Une solution de filtrage d'emails avancée pour détecter les tentatives d'usurpation.
- Un outil pour bloquer en temps réel les noms de domaines risqués.
Appliquer une politique du "moindre privilège"
Ce type de politique est difficile à mettre en place au sein d'une entreprise. Toutefois, c'est la meilleure manière d'éviter la propagation d'informations qui pourraient atterrir sur le dark web. Voici les grandes lignes pour implémenter cette stratégie du "moindre privilège" :
- Limitez l'accès aux ressources sensibles uniquement aux personnes qui en ont réellement besoin.
- Segmentez les systèmes d'information pour limiter la propagation en cas de compromission.
- Révisez régulièrement les droits d'accès pour les comptes à privilèges élevés.
Les 7 outils pour vous aider dans votre stratégie anti-whaling
Altospam

Altospam
Altospam a mis au point Mailsafe, un logiciel qui protège vos boîtes mail d'entreprise contre l'hameçonnage, et le whaling en particulier. Il combine une analyse heuristique et comportementale efficace qui détecte les courriels au contenu suspect. Il intègre une fonctionnalité IA pour des performances de détection encore plus impressionnantes (- de 0,01 % de faux positifs). Altospam propose une intégration optimale avec les outils de messagerie incontournables comme Gmail ou Outlook.
Barracuda Email Protection

Barracuda Email Protection
Barracuda Network offre une solution de sécurité informatique complète. L'un de ses modules est spécialement conçu pour répondre aux risques de phishing et de whaling : Barracuda Email Protection. Le logiciel s'appuie sur 3 fonctionnalités :
- Un mode de détection complet (heuristique et comportemental).
- Un outil de protection contre l'usurpation d'identité.
- Un système de validation des noms de domaine.
Pour passer au niveau supérieur en termes de sécurité, Barracuda propose "Impersonation Protection", un modèle d'analyse basé sur l'IA.
Anti-phishing Check Point

Compliance Checkpoint
La technologie “Harmony Email & Office” de Check Point protège votre entreprise contre les attaques de phishing les plus sophistiquées. Le logiciel parvient à bloquer les tentatives d’usurpation d’identité avant qu’ils n’atteignent vos équipes.
Check Point offre une protection complète pour tous vos points vulnérables : emails, appareils mobiles, postes de travail.
Chaque message est analysé en profondeur grâce à une technologie d’IA robuste et performante qui examine plus de 300 indicateurs de menaces d’hameçonnage.
Protect (Mailinblack)

Protect by Mailinblack
Protect de Mailinblack est une solution anti-phishing qui filtre les emails frauduleux avec une grande efficacité. Ses fonctionnalités de détection fonctionnent grâce à une technologie de deep learning entraînée sur plusieurs milliards de courriels par an. Vos équipes sont protégées du phishing, du spearphishing, du whaling, du ransomware et des spams.
Protect offre :
- Une détection en temps réel avec analyse comportementale et du contexte des emails.
- Un système de filtrage intelligent qui utilise l'intelligence artificielle.
- Une analyse complète des pièces jointes et des liens des messages.
Mailinblack propose, en complément, une version plus avancée de son logiciel baptisée Protect Advanced.
Phished

Phished
Phished, comme son nom l’indique, est une entreprise experte du phishing et donc du whaling. La particularité de cette plateforme, c’est qu’elle privilégie la formation à la technique pour protéger votre système informatique. Son slogan est le suivant : “Construisez votre pare-feu humain”.
Les résultats de cette approche parlent pour eux. Actuellement, plus de 3 500 entreprises ont mis en place ses stratégies de défense et ont constaté une baisse significative du taux d'hameçonnage réussi.
GravityZone Small Business Security (Bitdefender)

GravityZone by Bitdefender
GravityZone Small Business Security est une solution de cybersécurité spécialement conçue pour répondre aux besoins des petites et moyennes entreprises. Grâce à une interface simple à prendre en main, elle ne nécessite pas l'intervention d'une équipe IT. Le logiciel offre une protection complète contre toutes les cybermenaces, avec un focus sur le phishing. Pour ce type d'attaque, GravityZone Small Business Security bloque l’accès aux sites d’hameçonnage et affiche des avertissements clairs aux utilisateurs.
Cofense

Cofense PhishMe
Cofense est une solution de protection qui mise sur l'exemple pour sensibiliser et former les collaborateurs. Sa plateforme phare, Cofense PhishMe, propose des simulations d'attaques de phishing réalistes et personnalisées. La société propose également une plateforme de signalement des tentatives de phishing et de whaling pour anticiper les futures techniques d'hameçonnage.
Le whaling en bref
Le whaling est une menace à ne pas prendre à la légère. On pense généralement que les équipes dirigeantes sont moins exposées aux risques informatiques, car elles sont plus vigilantes pour des raisons de responsabilité. Mais c'est justement cela qui les rend si vulnérables aux attaques de whaling bien préparées.
Un email frauduleux, suivi d'un message de relance, puis d'un appel téléphonique (ou d'une visioconférence deepfake) peut tromper absolument tout le monde. Il n'existe que trois manières de se prémunir : la formation, la vigilance et la protection technique. Ne prenez pas le risque de vous exposer, renforcez votre arsenal de sécurité humain et technologique au plus vite.

Actuellement en deuxième année de licence de gestion des entreprises à Montpellier Management, Ainhoa Carpio-Talleux a embarqué dans l’univers d’Appvizer, où elle jongle avec les mots et les idées en tant que Copywriter et Content Manager.
Jeune et déterminée, elle se démarque par son ambition, sa curiosité et son esprit d’initiative, qui lui permettent de s’approprier avec aisance les codes de l’écriture aux côtés des plumes les plus expérimentées.
Une anecdote sur Ainhoa ? Entre deux pas de danse, elle repère déjà les prochaines tendances mode.