Aller au contenu principal
PhishingAttaquesTechniqueSensibilisation

Phishing et spear-phishing : anatomie d'une attaque

Le phishing reste le vecteur d'entrée le plus courant dans les cyberattaques. Comprendre comment il fonctionne techniquement permet de mieux s'en défendre — et de former ses équipes avec des arguments concrets.

Par Jean-Christophe Bork
Illustration d'une tentative de phishing par email, hameçon numérique

Le phishing est la cause d’entrée initiale dans plus de 80 % des cyberattaques documentées. Derrière ce mot générique se cachent des techniques de plus en plus sophistiquées — et des attaquants qui s’appuient désormais sur l’automatisation, les données de réseaux sociaux et l’IA pour personnaliser leurs leurres. Voici comment ça marche, de l’intérieur.

Phishing générique vs spear-phishing : une distinction importante

Le phishing générique est une attaque de masse. Un attaquant envoie des milliers, voire des millions, de messages identiques en espérant un taux de conversion faible mais suffisant. L’email prétend venir de La Poste, d’un opérateur télécom, d’une banque, ou d’un service public. Le message est standard, le lien pointe vers une page de vol de credentials.

Le spear-phishing est une attaque ciblée. L’attaquant a préalablement étudié sa cible — son poste, son organisation, ses relations professionnelles, ses projets en cours — et construit un message crédible, personnalisé, qui exploite ces informations. Le taux de succès est bien supérieur, et la détection beaucoup plus difficile.

Le whaling est une variante du spear-phishing qui cible spécifiquement les dirigeants (PDG, DAF, DRH) — les personnes disposant des accès les plus larges ou des autorisations financières.

Comment les attaquants collectent l’information en amont

Avant d’envoyer le moindre email, un attaquant menant un spear-phishing réalise une phase de reconnaissance (OSINT — Open Source Intelligence) :

  • LinkedIn : poste occupé, ancienneté, organigramme, projets récents mentionnés, contacts communs
  • Site web de l’organisation : contacts, adresses email exposées, logiciels et prestataires mentionnés
  • Réseaux sociaux professionnels : conférences auxquelles la cible a participé, articles publiés
  • Fuites de données passées : si l’adresse email a déjà été compromise, elle figure dans des bases comme Have I Been Pwned — et l’attaquant connaît peut-être aussi des anciens mots de passe

En 30 minutes de recherche sur une cible, un attaquant dispose de suffisamment d’informations pour rédiger un email convaincant.

L’infrastructure d’une attaque de phishing

Le domaine lookalike

L’attaquant enregistre un domaine qui ressemble à celui de l’organisation ciblée ou d’un expéditeur de confiance :

  • Typosquatting : rnairie-poissy.fr au lieu de mairie-poissy.fr (inversion de lettres)
  • Ajout de mots : mairie-poissy-services.fr, mairie-poissy-rh.fr
  • Homoglyphes : remplacement d’une lettre par un caractère visuellement similaire d’un autre alphabet (le а cyrillique à la place du a latin — indiscernable à l’œil nu dans beaucoup de polices)
  • TLD différent : mairie-poissy.com au lieu de .fr

Ce domaine est enregistré quelques jours ou quelques heures avant l’attaque pour éviter sa mise sur liste noire.

La configuration des enregistrements DNS (pour paraître légitime)

Un attaquant soigneux configure son domaine pour passer les filtres anti-spam :

  • SPF (Sender Policy Framework) : enregistrement DNS qui liste les serveurs autorisés à envoyer des emails au nom du domaine. L’attaquant configure un SPF valide pour son domaine lookalike.
  • DKIM (DomainKeys Identified Mail) : signature cryptographique attachée à l’email, vérifiable par le destinataire. L’attaquant génère ses propres clés DKIM.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) : politique qui indique quoi faire quand SPF et DKIM échouent. Un domaine lookalike bien configuré passera les vérifications DMARC.

Le résultat : l’email arrive dans la boîte de réception, pas dans les spams, avec les indicateurs visuels de légitimité.

La page de phishing

La page de collecte de credentials est souvent une copie quasi-parfaite du site légitime. Les attaquants utilisent des kits de phishing — des archives prêtes à l’emploi contenant la page HTML clonée, les scripts de vol et la base de données de credentials capturés. Ces kits sont vendus ou loués sur des forums criminels.

Certains kits sophistiqués utilisent une technique dite de reverse proxy en temps réel (frameworks comme Evilginx ou Modlishka) : l’attaquant se place entre la victime et le vrai site. La victime voit le vrai contenu du site légitime, interagit normalement — mais l’attaquant intercepte les credentials et les cookies de session, ce qui lui permet de contourner l’authentification multi-facteurs classique (TOTP).

Les signaux d’alerte à détecter

Côté utilisateur, plusieurs éléments permettent de repérer un email de phishing — à condition de savoir quoi regarder :

Dans l’en-tête de l’email :

  • L’adresse email complète de l’expéditeur (pas juste le nom affiché) : Service RH <rh@mairie-poissy-services.fr>
  • La différence entre le From (affiché) et le Reply-To (où vont les réponses)

Dans l’URL avant de cliquer :

  • Survoler le lien sans cliquer révèle la destination réelle
  • Les raccourcisseurs d’URL (bit.ly, tinyurl) dans des emails professionnels sont un signal d’alarme
  • La présence d’un certificat HTTPS (cadenas vert) ne garantit pas la légitimité du site — n’importe qui peut obtenir un certificat TLS gratuitement (Let’s Encrypt)

Dans le message lui-même :

  • Urgence artificielle : “Votre compte sera suspendu dans 24h”
  • Demande inhabituelle : un DAF qui demande par email un virement urgent sans validation téléphonique
  • Incohérences contextuelles : référence à un projet ou une relation que vous ne reconnaissez pas

Ce que les organisations peuvent faire

Configurer correctement SPF, DKIM et DMARC sur son propre domaine

Protéger son domaine évite que des attaquants l’utilisent pour spoofer l’expéditeur. DMARC avec une politique reject ou quarantine est un prérequis technique minimal pour toute organisation.

Déployer un filtre anti-phishing efficace

Microsoft Defender for Office 365 (inclus dans certaines licences Microsoft 365) ou Google Workspace disposent de fonctions de détection de phishing avancées. Pour des environnements plus spécifiques, des solutions comme Proofpoint ou Mimecast existent.

Ces filtres analysent les URLs au moment du clic (pas seulement à la réception), les pièces jointes dans des sandboxes isolées, et maintiennent des listes noires actualisées.

Former les équipes avec des simulations

La formation théorique a des limites. Les simulations de phishing — envoyer de faux emails de phishing à ses propres employés et mesurer qui clique — sont un outil de sensibilisation efficace. Les employés qui cliquent sont redirigés vers une formation courte, pas sanctionnés.

Des plateformes comme KnowBe4, Proofpoint Security Awareness, ou des outils open source comme GoPhish permettent de mener ces campagnes.

Activer le MFA sur tous les comptes

Même si un attaquant obtient les credentials d’un utilisateur, le MFA (authentification multi-facteurs) ajoute une barrière supplémentaire. Attention : les codes TOTP (applications comme Google Authenticator) peuvent être contournés par du reverse proxy en temps réel — les clés de sécurité physiques (FIDO2/WebAuthn, type YubiKey) sont résistantes à cette attaque.

Le phishing n’est pas un problème qu’on résout une fois pour toutes. C’est un risque continu qui appelle une vigilance continue : technique (filtrage, DMARC), organisationnelle (processus de validation des virements, des changements RIB) et humaine (formation régulière).

Sources : ANSSI, guide de sensibilisation au phishing ; CERT-FR, alertes phishing ; rapport Verizon DBIR 2024 ; documentation Evilginx (recherche défensive).