Qu'est-ce que l'hameçonnage ?

Les attaques par hameçonnage sont des courriers électroniques, des messages textuels,
des appels téléphoniques ou des sites Web frauduleux destinés à manipuler des
personnes, afin qu'elles téléchargent des logiciels malveillants, communiquent des
informations sensibles (numéros de sécurité sociale et de carte de crédit, numéros de
compte bancaire, informations de connexion, etc.) ou exécutent d'autres actions qui les
exposent elles-mêmes ou leurs organisations à la cybercriminalité.

Les attaques par hameçonnage ont généralement pour objectif de voler des identités,
d'utiliser de manière frauduleuse des cartes de crédit, d'exécuter des ransomwares, et
d'attenter à la protection des données, et s'accompagnent d'énormes pertes financières
pour les particuliers et les entreprises.

L'hameçonnage est la forme la plus courante d'ingénierie sociale, une pratique qui consiste
à tromper des personnes, à les manipuler ou à exercer des pressions sur elles pour les
amener à envoyer des informations ou des actifs à des personnes qui se font passer pour
d'autres. Les attaques d'ingénierie sociale reposent sur l'erreur humaine et des tactiques de
pression pour aboutir. L'attaquant se fait généralement passer pour une personne ou une
organisation de cconfiance, par exemple, un collègue, un patron, une entreprise avec
laquelle la victime ou son employeur est en relation, et crée un sentiment d'urgence qui
amène la victime à agir de manière irréfléchie. Les pirates utilisent ces tactiques, car il est
plus facile et moins coûteux de tromper les gens que de pirater un ordinateur ou un réseau.

Selon le FBI, les courriers électroniques d'hameçonnage sont la méthode (ou le vecteur)
d'attaque la plus courante utilisée par les pirates pour transmettre des ransomwares aux
personnes et aux organisations. En outre, selon le rapport Cost of a Data Breach Report de
2021 d'IBM, l'hameçonnage est la quatrième cause la plus courante et la deuxième cause la
plus coûteuse des atteintes à la protection des données qui s'élèvent en moyenne chacune
à 4,65 millions USD.

Types d'attaque par hameçonnage

Courriers électroniques d'hameçonnage envoyés en masse

L'hameçonnage par l'envoi de courrier électronique en masse est le type d'attaque par
hameçonnage le plus courant. Un escroc crée un message électronique qui semble
provenir d'une entreprise ou d'une organisation légitime importante et bien connue (une
banque nationale ou mondiale, une grande enseignante, fabricants d'un logiciel ou d'une
application couramment utilisée) et envoie le message à des millions de destinataires.
L'hameçonnage par envoi massif de courriers électroniques est une question de nombre :
plus l'expéditeur dont le nom est usurpé est important ou connu, plus le nombre de
destinataires (clients, abonnés ou membres) susceptibles d'être touchés est élevé.

Le courrier électronique d'hameçonnage aborde un sujet que l'expéditeur pourrait traiter de

manière crédible, et qui fait appel à des sentiments profonds, tels que la peur, la cupidité, la
curiosité ou l'urgence, pour attirer l'attention du destinataire. Les lignes d'objet typiques
comprennent « Veuillez mettre à jour votre profil d'utilisateur », « Problème lié à votre
commande », « Vos documents de clôture sont prêts à être signés », « Votre facture est
jointe ».

Le corps du courrier électronique demande au destinataire d'effectuer une action qui

semble parfaitement raisonnable et conforme à l'objet, mais qui l'amènera à divulguer des
informations sensibles (numéros de sécurité sociale, numéros de compte bancaire,
numéros de carte de crédit, informations de connexion) ou à télécharger un fichier qui
infecte l'appareil ou le réseau du destinataire. Par exemple, les destinataires peuvent être
invités à cliquer sur un lien pour mettre à jour leur profil, mais le lien les dirige vers un faux
site Web, où ils saisissent leurs informations de connexion et mettent à jour volontiers leur
profil. Ou bien, l'expéditeur peut leur demander d'ouvrir une pièce jointe qui semble légitime
(par exemple, « facture20.xlsx »), mais qui diffuse un logiciel du code malveillant sur
l'appareil ou dans le réseau.

Hameçonnage ciblé

L'hameçonnage ciblé est une attaque par hameçonnage qui cible une personne spécifique,
généralement une personne qui dispose d'un accès privilégié à des données sensibles ou à
des ressources réseau, ou une autorité spéciale que l'escroc peut exploiter à des fins
frauduleuses ou néfastes.

Un escroc qui recourt à l'hameçonnage ciblé étudie la cible, afin de recueillir les
informations nécessaires pour se faire passer pour une personne ou une entité en qui la
cible a vraiment confiance (un ami, un patron, un collègue, un fournisseur de confiance ou
une institution financière) ou pour se faire passer pour la personne cible. Les médias
sociaux et les réseaux sociaux, où les utilisateurs félicitent publiquement leurs collègues,
approuvent des collègues et des fournisseurs, et ont tendance à trop parler de de réunions,
d'événements ou de projets de voyage, sont devenus de riches sources d'informations pour
la recherche d'informations pour l'hameçonnage ciblé.

Armé de ces informations, l'escroc qui utilise l'hameçonnage ciblé peut envoyer un
message contenant des informations personnelles ou financières spécifiques et une
demande crédible à la cible, telle que « Je sais que vous partez ce soir en vacances.
Pourriez-vous payer cette facture (ou transférer XXX.XX USD vers ce compte, s'il vous plaît)
avant la fin de journée ? »

Fraude aux comptes de messagerie (Business email compromise, BEC)

Certains courriers électroniques d'hameçonnage ciblé tentent de recueillir davanate

d'informations encore pour préparer une attaque à plus grande échelle. Par exemple, un
message d'hameçonnage ciblé peut demander à un PDG de mettre à jour les informations
d'identification de son compte de messagerie perdues pendant une brève panne, et fournir
un lien vers un faux site Web pour voler ces informations d'identification. En récupérant ces
informations d'identification, l'attaquant dispose d'un accès complet à la boîte aux lettres
du PDG, où il peut analyser les messages électroniques du PDG pour trouver encore plus
d'informations, et envoyer un message frauduleux convaincant directement à partir du
compte électronique du PDG en utilisant l'adresse électronique réelle de ce dernier.

Il s'agit d'un exemple de compromission de messagerie professionnelle (BEC), un type

particulièrement dangereux d'attaque par hameçonnage ciblé dont l'objectif est d'inciter
des employés d'une entreprise à envoyer d'importantes sommes d'argent ou des actifs de
valeur à un attaquant. Les courriers électroniques BEC sont envoyés ou semblent être
envoyés à partir des comptes de messagerie des membres les plus haut placés de
l'entreprise, ou des partenaires de l'entreprise, tels que des avocats, des partenaires
commerciaux clés ou des fournisseurs importants, et contiennent suffisamment de détails
pour sembler très crédibles.

L'hameçonnage ciblé n'est pas la seule tactique pour obtenir les informations nécessaires à
l'organisation d'une attaque BEC. Les pirates peuvent également déployer des logiciels
malveillants ou exploiter les vulnérabilités du système pour accéder aux données des
comptes de messagerie. S'ils ne parviennent pas à accéder aux données des comptes, les
pirates peuvent également essayer d'usurper l'adresse de l'expéditeur, c'est-à-dire utiliser
une adresse électronique si semblable à l'adresse réelle de l'expéditeur que le destinataire
ne remarque pas la différence.

Quelle que soit la tactique, les attaques BEC figurent parmi les cyberattaques les plus
coûteuses. Dans l'un des exemples d'attaque BEC les plus connus, des pirates se faisant
passer pour un PDG ont convaincu le service financier de son entreprise de transférer près
de 50 millions d'euros vers un compte bancaire frauduleux.

Autres techniques et tactiques d'hameçonnage

L'hameçonnage par SMS (smishing) s'effectue en envoyant des SMS sur des appareils
mobiles ou des smartphones. Les schémas de smishing les plus efficaces sont
contextuels, c'est-à-dire liés à la gestion des comptes ou aux applications des
smartphones. Par exemple, les destinataires peuvent recevoir un SMS leur offrant un
cadeau en guise de remerciement pour avoir payé une facture de téléphonie mobile, ou leur
demandant de mettre à jour les informations de leur carte de crédit, afin de continuer à
utiliser un service de streaming.

L'

hameçonnage vocal (vishing) est l'hameçonnage par téléphone. Grâce à la technologie

Voice over IP (VoIP), les escrocs peuvent passer des millions d'appels automatiques par
jour. Ils ursupent généralement l'identité de l'appelant pour faire croire que leurs appels
proviennent d'organisations légitimes ou de numéros de téléphone locaux. Les appels
d'hameçonnage effraient généralement les destinataires en les avertissant de problèmes
de traitement de cartes de crédit, de paiements en retard ou de problèmes avec le fisc. Les
appelants qui répondent finissent par fournir des données sensibles à des personnes
travaillant pour les escrocs et même, parfois, par autoriser le contrôle à distance de leur
ordinateur aux escrocs à leur correspondant.

L'

hameçonnage sur les réseaux sociaux emploie diverses fonctions d'une plateforme de
média social pour récupérer des informations sensibles des membres. Les escrocs
utilisent les fonctionnalités de messagerie des plateformes (par exemple, Facebook
Messenger, la messagerie LinkedIn ou InMail, les messages directs de Twitter) de la même
manière qu'ils utilisent les courriers électroniques et SMS standard. Ils envoient également
aux utilisateurs des courriers électroniques d'hameçonnage qui semblent provenir du site
du réseau social, demandant aux destinataires de mettre à jour leurs informations de
connexion ou de paiement. Ces attaques peuvent être particulièrement coûteuses pour les
victimes qui utilisent les mêmes informations de connexion sur plusieurs sites de média
social, une « pire pratique » bien trop courante.

Application ou messagerie intégrée l'application . Les applications pour smartphones et

les applications Web (software-as-a-service, ou SaaS) couramment utilisées envoient
régulièrement des courriers électroniques à leurs utilisateurs. Par conséquent, ces
utilisateurs sont très exposés aux campagnes d'hameçonnage qui usurpent les courriers
électroniques des fournisseurs d'applications ou de logiciels. Là encore, jouant sur le
nombre, les escrocs usurpent généralement les courriers électroniques des applications
Web les plus courantes, comme PayPal, Microsoft Office 365 ou Teams, afin de rentabiliser
au maximum leurs opérations d'hameçonnage.

Protection contre les arnaques par hameçonnage

Formation des utilisateurs et bonnes pratiques

Les organisations sont encouragées à apprendre aux utilisateurs à identifier les

escroqueries par hameçonnage et à élaborer des pratiques exemplaires pour traiter les
courriers électroniques ou les SMS suspects. Par exemple, les utilisateurs peuvent être
formés à identifier ces menaces et d'autres caractéristiques des courriers électroniques
d'hameçonnage :

- Demandes d'informations sensibles ou personnelles, ou de mise à jour des informations

de profil ou de paiement
- Demandes d'envoi ou de transfert d'argent
- Fichiers en pièce jointes que le destinataire n'a pas demandés ou n'attend pas
- Sentiment d'urgence, qu'il soit flagrant (« Votre compte sera fermé aujourd'hui...») ou subtil
(par exemple, la demande d'un collègue de payer une facture immédiatement)
- Menaces d'emprisonnement ou autres conséquences irréalistes
- Fautes d'orthographe ou de grammaire
- Adresse d'expéditeur incohérente ou usurpée
- Liens raccourcis à l'aide de BitLy ou un autre service de raccourcissement de lien
- Images de texte utilisées à la place du texte (dans les messages, ou sur les pages Web
auxquelles renvoient les messages)

Cette liste n'est pas exhaustive, malheureusement, car les pirates conçoivent toujours de
nouvelles techniques d'hameçonnage pour être encore moins détectés. Des publications
telles que le rapport trimestriel d'activité sur les tendances du hameçonnage (Phishing
Trends Activity Report) de l'Anti-Phishing Working Group (lien externe à ibm.com) peuvent
aider les organisations à se maintenir informées.

Les organisations peuvent également encourager ou appliquer les meilleures pratiques qui
mettent moins de pression sur les employés pour qu'ils deviennent des détectives de
l'hameçonnage. Par exemple, les organisations peuvent établir et communiquer des
politiques de clarification : par exemple, un supérieur ou un collègue n'enverra jamais par
courrier électronique une demande de transfert de fonds. Elles peuvent exiger des
employés qu'ils vérifient toutes les demandes d'informations personnelles ou sensibles en
contactant l'expéditeur ou en visitant directement le site légitime de ce dernier, en utilisant
d'autres moyens que ceux fournis dans le message. Elles peuvent également demander
que les employés signalent les tentatives d'hameçonnage et les courriers électroniques
suspects au services informatique ou à l'équipe chargée de la sécurité.

Technologies de sécurité qui combattent l'hameçonnage

Malgré la meilleure formation des utilisateurs et l'application de meilleures pratiques

rigoureuses, les utilisateurs commettent toujours des erreurs. Cependant, plusieurs
technologies de sécurité des points de terminaison et des réseaux, établies et émergentes,
peuvent aider les équipes de sécurité à lutter contre l'hameçonnage là où la formation et la
politique s'arrêtent.

- Les filtres de courriers indésirables combinent des données sur les escroqueries par
hameçonnage existantes et des algorithmes d'apprentissage automatique pour identifier
les courriers électroniques d'hameçonnage présumés (et autres courriers indésirables) et
les placer dans un dossier séparé et désactiver tous les liens qu'ils contiennent.
- Les logiciel antivirus et de lutte contre les programmes malveillants détectent et
neutralisent les fichiers ou le code malveillants dans les courriers électroniques
d'hameçonnage.
- L'authentification multifacteur requiert au moins un identifiant de connexion en plus d'un
nom d'utilisateur et d'un mot de passe, par exemple, un code à usage unique envoyé sur le
téléphone portable de l'utilisateur. En fournissant une dernière ligne de défense
supplémentaire contre les escroqueries par hameçonnage ou d'autres attaques qui
compromettent les mots de passe, l'authentification multifacteur peut contrecarrer les
attaques par hameçonnage ciblé ou éviter les attaques BEC.
- Les filtres Web empêchent les utilisateurs de visiter les sites Web malveillants connus
(sites figurant sur liste noire) et affichent des alertes lorsque les utilisateurs accèdent à des
sites Web suspectés d'être malveillants ou faux.

Les plateformes de cybersécurité centralisées (par exemple, gestion des informations et

des événements de sécurité (SIEM), détection et réponse aux points de terminaison (EDR),
détection et réponse aux réseaux (NDR) et détection et réponse étendues (XDR))
combinent ces technologies et d'autres avec le renseignement sur les menaces
continuellement mis à jour et des fonctionnalités de réponse automatisée aux incidents qui
peuvent aider les organisations à prévenir les escroqueries par hameçonnage avant qu'elles
n'atteignent les utilisateurs, et à limiter l'impact des attaques par hameçonnage qui passent
les défenses les points de terminaison ou des réseaux.

Solutions connexes

IBM Security QRadar XDR Connect

Première solution complète de détection et de réponse étendue (XDR) du secteur, qui

repose sur des normes ouvertes et l'automatisation. XDR Connect offre une visibilité
approfondie, une automatisation et un aperçu contextuel des points de terminaison, du
réseau, du cloud et des applications.

Explore Qradar XDR Connect

IBM Incident Response

Les solutions IBM Incident Response permettent aux équipes de sécurité de gérer et de
réagir de manière proactive à l'hameçonnage et à d'autres menaces grâce à une
orchestration intelligente, une gamme complète de services et les outils, l'expertise et le
personnel d'IBM Security X-Force.

Explorer les solutions de réponse aux incidents

Solutions de protection contre les attaques par hameçonnage

Protégez vos employés contre les attaques par hameçonnage qui peuvent compromettre la
sécurité de votre organisation.

Découvrir les solutions de lutte contre les attaques par hameçonnage

Solutions de protection contre les ransomwares

Protégez les données sensibles de votre organisation avec les solutions de sécurité IBM
contre les ransomewares qui peuvent la prendre en otage.

Explorer les solutions de protection contre les ransomewares

Solutions de sécurité Zero Trust

Protégez chaque utilisateur, chaque appareil et chaque connexion, chaque fois, avec les
solutions IBM de sécurité Zero Trust.

Explorer les solutions de sécurité zéro confiance

Solutions de sécurité et de protection des données

Protégez les données de l'entreprise dans plusieurs environnements, respectez les

réglementations de confidentialité et simplifiez la complexité opérationnelle grâce aux
solutions de sécurité des données.

Explorer les solutions de sécurité et de protection des données

IBM Security Trusteer Rapport

IBM Trusteer Rapport aide les institutions financières à détecter et à prévenir les infections
par logiciel malveillant et les attaques par hameçonnage, en protégeant ses clients,
particuliers ou professionnels.

Explorer IBM Security Trusteer Rapport

Solutions de réponse aux incidents

L'orchestration intelligente renforce la réponse aux incidents en définissant des processus

reproductibles, en fournissant des outils aux analystes qualifiés et en exploitant des
technologies intégrées.

Explorer les solutions de réponse aux incidents

Solutions de sécurité contre les menaces internes

Découvrez comment protéger votre organisation contre les menaces malveillantes ou
involontaires provenant d'utilisateurs internes ayant accès à votre réseau.

Explorer les solutions de sécurité contre les menaces internes

Ressources

Atelier IBM Security Framing and Discovery

Maîtrisez votre environnement de cybersécurité et priorisez les initiatives avec les

architectes et consultants seniors en sécurité d’IBM dans le cadre d’une session gratuite de
design thinking de 3 heures, virtuelle ou en personne.

En savoir plus

Qu'est-ce qu'une cyber-attaque ?

Les cyberattaques sont des tentatives de vol, d’exposition, de modification, de

désactivation ou de destruction d’informations en accédant sans autorisation aux
systèmes informatiques.

En savoir plus sur les cyberattaques

Qu'est-ce qu'un ransomware ?

Un ransomware est une forme de logiciel malveillant qui menace de détruire ou de retenir
des données ou des fichiers d’une victime, à moins qu’une rançon soit versée à l’attaquant
pour qu’il déchiffre les données et restaure l’accès à ces dernières.

En savoir plus sur les rançongiciels

Que sont les menaces internes ?

Les menaces d’initiés proviennent d’utilisateurs qui ont un accès autorisé et légitime aux
actifs d’une entreprise et qui en abusent, délibérément ou accidentellement.

En savoir plus sur les menaces internes

Qu'est-ce que la réponse aux incidents ?

La réponse aux incidents est la réaction systématique d’une organisation à une tentative de
violation de la sécurité de l’information.

En savoir plus sur la réponse aux incidents

Qu'est-ce que la cybersécurité ?

La technologie et les meilleures pratiques de cybersécurité protègent les systèmes

critiques et les informations sensibles contre un volume toujours croissant de menaces en
constante évolution.

En savoir plus sur la cybersécurité

France — Français
Découvrir

Informations pour...

Connectez-vous

A propos d'IBM

Suivre IBM

ContactDonnées personnellesConditions d'utilisationAccessibilitéPréférences de cookies