On ne le dira jamais assez, il faut se méfier de ce qui est trop beau pour être vrai sur internet. Malgré les campagnes de sensibilisation lancées depuis plusieurs années déjà, bon nombre d’internautes tombent encore dans le panneau dès qu’on leur parle de cadeaux de noël avant l’heure.
Difficilement croyable mais vrai, le phising et le spear-phising font encore des ravages en 2018. Ces deux types de cyberattaque, que l’on traduit respectivement par « hameçonnage » et « harponnage » dans la langue de Molière, consistent à piéger la ou les victimes en se faisant passer pour autrui.
Phising : attaque de masse, basique et automatisée
Pour le phishing, le pirate envoie un mail à des centaines de destinataires en se faisant passer généralement pour une société ou une institution fiable (banque, administration, …). Les propositions plus qu’alléchantes contenues dans ces mails redirigent la victime vers une page sur laquelle il devra fournir des données personnelles et bancaires. Ces pages copient de manière assez fidèle celle de la société dont l’identité est usurpée.
Spear phising : attaque ciblée, bien construite et préparée
Contrairement à la technique de volume utilisée pour le phising, pour le spear-phishing le cybercriminel exécute une attaque ciblée : une personne en particulier est préalablement identifiée et visée. Il s’agit dans la plupart des cas d’une personne haut-placée dans une organisation et qui est habileté à ordonner des virements bancaires ou autres transactions. En résumé, il suffit d’ajouter une dose d’ingénierie sociale au modèle d’attaque par hameçonnage.
Lors d’une attaque « au faux président », par exemple, le pirate se fait passer pour le supérieur hiérarchique de la victime et lui ordonne l’exécution d’une opération financière. Grâce aux réseaux sociaux, les informations professionnelles et personnelles des victimes sont facilement accessibles depuis leurs profils, facilitant ainsi la construction d’un discours suffisamment cohérent pour mettre la victime en confiance.
Il faudra probablement opérer de manière différente dans la mise en garde des utilisateurs d’internet afin d’éviter ces types de leurre. Les formations sur la SSI sont à prioriser au sein des entreprises et les campagnes de sensibilisation de masse lancées par Cybermalveillance.gouv sont à renouveler et largement diffuser.
Articles récents
JO 2024 : Quels enjeux de cybersécurité ?
Les Jeux Olympiques sont un événement mondial majeur, attirant des milliers d'athlètes, d'officiels et de spectateurs du monde entier dans une grande messe sportive autour des valeurs d’amitié, de respect et d’excellence. Alors que Paris se prépare à accueillir les...
Les avocats face au risque cyber : Protéger les données sensibles dans un monde numérique
Avec l'évolution rapide de la technologie et la numérisation croissante de leurs activités professionnelles, il est primordial pour les avocats de prendre conscience des risques cyber qui les guettent. En effet, la profession juridique n'est pas épargnée par les...
Hacker éthique, pirate pour la bonne cause
À chaque fin d’exercice, le bilan des incidents de cybersécurité semble toujours plus catastrophique qu’il ne l’était l’année précédente, et ce malgré les efforts fournis par les gouvernements, les entités étatiques et les entreprises. Les cybercriminels semblent...