Reconnaissance en matière de hameçonnage : comment les pirates identifient et ciblent les domaines vulnérables

La plupart des gens considèrent le phishing comme un jeu de chiffres : envoyer des millions d’e-mails et attendre que quelqu’un clique. Certaines campagnes fonctionnent encore ainsi. Mais les attaques qui causent de réels dégâts, celles qui parviennent jusqu’aux boîtes de réception des entreprises et parviennent à tromper des employés avertis, ne commencent presque jamais par l’envoi d’un message. Elles commencent par une phase de recherche.

La reconnaissance en matière de hameçonnage est le processus structuré auquel recourent les attaquants pour établir le profil d’un domaine cible avant même de rédiger le moindre e-mail. Ils examinent les enregistrements d’authentification, la configuration DNS, l’empreinte des sous-domaines et la complexité de l’environnement d’envoi. L’objectif est simple : identifier les domaines sur lesquels un message usurpé a le plus de chances de contourner les filtres et d’atteindre une véritable boîte de réception.

Selon l’APWG, plus d’un million d’attaques de hameçonnage ont été recensées rien qu’au premier trimestre 2025, et le rapport IC3 2024 du FBI classe le hameçonnage et l’usurpation d’identité en tête des catégories de plaintes. Ce volume d’attaques s’explique par le fait que la phase de reconnaissance ne nécessite aucun accès particulier, aucune faille d’exploitation ni aucun outil privilégié. Elle repose presque entièrement sur des informations accessibles au public. Comprendre ce que les attaquants peuvent voir concernant votre domaine – en utilisant les mêmes outils qu’eux – est le moyen le plus direct de combler les failles sur lesquelles ils s’appuient.

Qu'est-ce que la reconnaissance en matière d'hameçonnage ?

La reconnaissance en matière de hameçonnage désigne la phase préalable à l'attaque au cours de laquelle un acteur malveillant recueille des informations accessibles au public concernant une cible afin de maximiser les chances de réussite de sa campagne. Il s'agit d'une forme d'OSINT (Open Source Intelligence, ou renseignement open source) : la collecte de données provenant de sources déjà accessibles au public, sans recourir à aucune attaque directe ni à aucun accès non autorisé.

Dans le cadre du phishing par e-mail, la phase de reconnaissance s’articule autour de trois axes : comprendre le niveau de sécurité d’authentification du domaine cible, cartographier l’ensemble de son infrastructure d’envoi et de ses sous-domaines, et identifier le point le plus vulnérable par lequel un e-mail usurpé a le plus de chances de contourner les filtres et d’atteindre une boîte de réception. Un domaine dont les contrôles d’authentification sont faibles ou inexistants, comportant des sous-domaines non surveillés et un environnement d’expédition complexe et non documenté, constitue la cible idéale.

Les outils utilisés dans cette phase – outils de recherche DNS, journaux de transparence des certificats, énumérateurs de sous-domaines, enregistrements WHOIS et services de vérification d’adresses e-mail – sont tous gratuits, documentés publiquement et ne nécessitent aucune expertise technique pour être utilisés. Il est très facile de mener une reconnaissance en vue d’une attaque par hameçonnage contre n’importe quel domaine. Il est également très facile de s’en défendre si l’on sait ce qu’il faut rechercher.

Phase 1 : Vérification du niveau d'authentification du domaine

La première chose qu’un pirate vérifie, c’est l’enregistrement DMARC du domaine. Cela ne prend que quelques secondes à l’aide de n’importe quel outil gratuit de recherche DNS et permet de connaître immédiatement le niveau d’application en vigueur.

Recherche de politique DMARC

Ce que les attaquants espèrent trouver, c'est « p=none », c'est-à-dire l'absence totale d'enregistrement DMARC. Un domaine dont la valeur p=none a publié un enregistrement DMARC – ce qui signifie qu’une certaine surveillance est en place – mais a donné pour instruction à tous les serveurs de messagerie destinataires de ne prendre aucune mesure lorsqu’un e-mail échoue à l’authentification. Concrètement, un attaquant peut envoyer un e-mail usurpé depuis ce domaine ; le serveur destinataire peut détecter qu’il n’est pas authentifié, mais le délivrera tout de même car la politique du domaine stipule de ne pas le bloquer.

Les domaines ne disposant d'aucun enregistrement DMARC sont encore plus exposés. Il n'y a ni directive de politique, ni rapport agrégé, ni visibilité à des fins d'analyse. Les attaquants recherchent activement ces domaines et les considèrent comme des cibles prioritaires pour l'usurpation d'identité, précisément parce que le propriétaire du domaine ne dispose d'aucun mécanisme permettant de détecter ou de bloquer les tentatives d'usurpation.

La valeur « p=none » constitue un point de départ courant pour les organisations qui mettent en place leur système d'authentification : c'est une étape raisonnable pour commencer à surveiller la situation avant de passer à la mise en application des règles. Le problème, c'est que de nombreuses organisations s'arrêtent là et ne vont jamais plus loin. Les domaines qui fonctionnent depuis des mois, voire des années, avec la valeur « p=none » constituent une catégorie bien documentée et fréquemment ciblée dans les campagnes de hameçonnage.

Contrôle SPF

Après le DMARC, les attaquants vérifient l'enregistrement SPF. Un SPF correctement configuré répertorie tous les serveurs autorisés à envoyer des e-mails au nom du domaine et se termine par « -all », ce qui indique aux serveurs destinataires de rejeter tout message ne figurant pas sur cette liste. Les attaquants recherchent un SPF trop permissif se terminant par « ~all » (échec souple, qui permet tout de même la livraison du message) ou « +all » (qui autorise n'importe quel expéditeur), ou encore un SPF ayant dépassé la limite de dix requêtes DNS, ce qui entraîne un échec total.

Un SPF se terminant par « ~all » au lieu de « -all » constitue une faille subtile mais significative : les serveurs destinataires considèrent les échecs « soft » comme suspects, mais acheminent généralement tout de même le message, en particulier lorsque DMARC n'est pas activé en mode « enforcement ». Les pirates qui identifient cette combinaison – SPF « ~all » et DMARC réglé sur « p=none » – savent que les e-mails usurpés provenant de ce domaine parviendront, dans la plupart des cas, dans la boîte de réception.

Vérification de la configuration DKIM

Le protocole DKIM est un peu plus difficile à inspecter directement, car la recherche d’une clé publique DKIM nécessite de connaître le sélecteur utilisé. Cependant, les attaquants peuvent déduire la configuration DKIM à partir des rapports agrégés DMARC et des en-têtes d’e-mails observés dans tout message envoyé légitimement par le domaine cible. Les en-têtes capturés à partir de notifications LinkedIn, d’abonnements à des communiqués de presse ou d’e-mails marketing révèlent le sélecteur DKIM et le domaine de signature utilisés. Une fois que l’attaquant connaît le sélecteur, il peut interroger la clé publique et vérifier si la signature DKIM est active et cohérente.

Les domaines dont la signature présente des incohérences – c'est-à-dire ceux où certaines sources d'envoi s'authentifient via DKIM et d'autres non – sont particulièrement attractifs. L'alignement DMARC exige qu'au moins l'un des SPF DKIM soit validé avec un alignement des identifiants. Un domaine où une partie du trafic s'authentifie et l'autre non correspond exactement au type d'environnement dans lequel le trafic usurpé se confond avec les échecs légitimes.

Phase 2 : Cartographie de l'empreinte des sous-domaines et du domaine

Les contrôles d'authentification de domaine ciblent le domaine principal. Cependant, la plupart des organisations disposent d'un périmètre de domaine bien plus vaste que celui qui fait l'objet d'une surveillance active – et les opérations de reconnaissance menées dans le cadre d'attaques par hameçonnage visent précisément à le mettre au jour.

Énumération des journaux de transparence des certificats

Chaque certificat SSL/TLS émis pour un domaine est consigné publiquement dans les journaux de transparence des certificats (CT), qui sont accessibles à tous et peuvent être consultés par n'importe qui. Des outils tels que crt.sh permettent à un pirate de consulter en quelques secondes l'historique complet des certificats d'un domaine, révélant ainsi tous les sous-domaines pour lesquels un certificat a déjà été émis, y compris les environnements de développement, les serveurs de préproduction, les microsites régionaux et les pages de campagne tombées dans l'oubli depuis longtemps.

Il s'agit de l'une des techniques de reconnaissance passive les plus puissantes qui soient, car elle est à la fois exhaustive et rétrospective. Les sous-domaines qui ont depuis été désactivés, mais pour lesquels des certificats avaient été délivrés, apparaissent toujours dans les journaux CT. Un attaquant peut ainsi se faire une idée complète de l'historique de l'empreinte des sous-domaines d'une organisation sans envoyer le moindre paquet à la cible.

Énumération des sous-domaines

Au-delà des journaux CT, des bases de données DNS passives et des outils de force brute sur les sous-domaines, il est possible de mettre au jour d’autres sous-domaines. Le détournement de sous-domaine – situation dans laquelle l’enregistrement DNS d’un sous-domaine oublié pointe toujours vers un service désaffecté qu’un attaquant peut s’approprier – est un schéma d’attaque documenté que la phase de reconnaissance cherche spécifiquement à identifier. Un sous-domaine dont l’enregistrement CNAME « orphelin » pointe vers un service tiers dont la validité a expiré peut être détourné et utilisé pour envoyer des e-mails de hameçonnage donnant l’impression de provenir de l’organisation légitime.

Les sous-domaines sont particulièrement vulnérables au phishing, car ils échappent généralement au champ d'application de l'authentification configuré par les équipes de sécurité. Un domaine dont le domaine d'envoi principal applique la norme DMARC, mais dont les sous-domaines ne sont pas couverts par la balise DMARC « sp », expose chacun de ses sous-domaines au risque d'usurpation d'identité, quelles que soient les dispositions de la politique principale.

WHOIS et historique d'enregistrement du nom de domaine

Les enregistrements WHOIS révèlent les dates d'enregistrement, les informations relatives au bureau d'enregistrement et, dans certains cas, les coordonnées du titulaire. L'ancienneté d'un domaine est un indicateur utilisé par les pirates pour déterminer si celui-ci dispose d'un historique d'envoi suffisamment établi pour rendre le trafic usurpé plus difficile à filtrer. Ils utilisent également le WHOIS pour identifier les domaines associés enregistrés par la même organisation – domaines acquis, enregistrements destinés à la protection de la marque, variantes régionales – qui ne font peut-être pas l'objet d'une surveillance active.

Phase 3 : Analyse de l'environnement de l'expéditeur

L'environnement d'expédition d'un domaine – c'est-à-dire l'ensemble des services et des plateformes autorisés à envoyer des e-mails en son nom – est visible via les rapports agrégés DMARC et peut être partiellement déduit à partir des en-têtes d'e-mails accessibles au public. Pour les auteurs d'attaques de phishing, un environnement d'expédition complexe ou mal documenté constitue une faille exploitable.

Complexité liée aux expéditeurs tiers

Les entreprises modernes envoient généralement des e-mails à partir de nombreuses sources : un serveur de messagerie principal, une plateforme marketing, un CRM tel que HubSpot, un système de gestion des tickets, un prestataire de facturation, un outil de calendrier. Chacune de ces sources nécessite une autorisation explicite dans SPF et la configuration DKIM. Chacune génère des entrées dans les rapports agrégés DMARC. Pour les grandes entreprises, ces rapports peuvent contenir des milliers de lignes par jour provenant de dizaines de sources d'envoi.

Ce volume génère du bruit, et les auteurs d'hameçonnage l'exploitent délibérément. Lorsque les données agrégées DMARC d'une organisation indiquent quarante expéditeurs autorisés, le rapport signal/bruit permettant de détecter une source anormale diminue considérablement. Un trafic d'usurpation de faible volume – quelques centaines de messages par jour provenant d'une source malveillante – peut se fondre dans les données de rapport d'un environnement d'envoi d'entreprise très actif sans déclencher d'alertes automatisées.

En-têtes d'e-mails visibles

Les e-mails légitimes envoyés depuis le domaine cible constituent l’une des sources les plus utiles d’informations sur l’environnement de l’expéditeur dont dispose un pirate pratiquant le phishing. Les newsletters marketing, les abonnements aux communiqués de presse, les confirmations de candidature à un poste et les notifications destinées aux clients comportent tous des en-têtes d’e-mail qui révèlent l’infrastructure d’envoi utilisée : l’agent de transfert de courrier, le sélecteur DKIM et le domaine de signature, le domaine « Return-Path », ainsi que les résultats d’authentification enregistrés par le serveur destinataire.

Un pirate qui s'inscrit à la liste de diffusion d'une organisation cible obtient ainsi, sans frais et sans laisser de traces, une vue détaillée de sa configuration d'authentification. Ces informations servent directement à élaborer la campagne d'hameçonnage : quelle source d'envoi usurper, quels en-têtes falsifier et quelles failles d'authentification sont susceptibles de laisser passer le message.

Phase 4 : Validation des cibles avant le lancement

Une fois qu'un domaine a été analysé, les auteurs d'attaques de hameçonnage procèdent à des vérifications supplémentaires avant de lancer une campagne, afin d'optimiser leurs chances de réussite et de limiter le gaspillage de ressources.

Vérification de l'adresse e-mail

Les opérateurs vérifient que les adresses e-mail cibles sont actives et appartiennent à des personnes clés : cadres dirigeants, membres de l'équipe financière, toute personne ayant accès à des systèmes sensibles ou habilitée à valider des paiements. L'envoi de messages vers des adresses inactives génère des taux de rebond élevés, ce qui peut entraîner une augmentation du score de spam au niveau de l'infrastructure d'envoi et accroître le risque de détection avant même que la campagne n'atteigne ses véritables cibles.

Les adresses e-mail sont souvent collectées sur LinkedIn, les sites web d'entreprises, les bases de données issues de fuites de données et lors de campagnes antérieures. Des outils tels que theHarvester automatisent ce processus de recensement sur un domaine cible, en extrayant les adresses e-mail des employés à partir des résultats des moteurs de recherche, des réseaux sociaux et des annuaires publics.

Préparation de l'infrastructure d'envoi

La plupart des principaux fournisseurs de messagerie considèrent l'historique d'envoi comme un indicateur de fiabilité. Un domaine nouvellement enregistré, sans historique d'envoi, a beaucoup plus de chances d'être signalé par les filtres basés sur la réputation qu'un domaine bien établi. C'est pourquoi les auteurs d'hameçonnage enregistrent souvent des domaines similaires plusieurs semaines, voire plusieurs mois avant le lancement d'une campagne, et effectuent des envois à faible volume afin de se forger une réputation de base avant de passer à l'échelle supérieure.

La phase de préparation vise à satisfaire aux mêmes contrôles de réputation que ceux auxquels sont soumis les expéditeurs légitimes lors de l'intégration de nouveaux domaines. Vu de l'extérieur, l'infrastructure donne l'impression d'être une nouvelle entreprise ou un nouveau service qui commence à envoyer des e-mails. Au moment du lancement de la campagne, le domaine a déjà franchi les filtres de réputation initiaux.

Construction de domaines homoglyphes et de domaines similaires

Selon le rapport sur la sécurité des noms de domaine publié par CSC, 88 % des noms de domaine homoglyphes ciblant de grandes marques appartiennent à des tiers. Ces noms de domaine remplacent ou insèrent des caractères quasi-identiques afin de passer inaperçus lors d’un contrôle visuel rapide : « arnazon.com » au lieu de « amazon.com », ou encore des caractères Unicode qui s’affichent de manière identique aux lettres latines dans la plupart des clients de messagerie.

Des domaines « sosies » sont également créés dans le but d’usurper le nom d’affichage : l’en-tête « From » affiche alors un nom de confiance, mais le domaine expéditeur réel est un « sosie ». Cette technique contourne totalement le protocole DMARC, car celui-ci n’authentifie que le domaine figurant dans l’en-tête « From » par rapport SPF DKIM, et non le nom d’affichage. C’est l’une des raisons pour lesquelles l’application du protocole DMARC, bien qu’essentielle, ne constitue pas à elle seule la seule couche de protection nécessaire.

Transformer la reconnaissance liée au hameçonnage en atout défensif

Chaque indice recherché par les attaques de reconnaissance de type « hameçonnage » est un élément que votre équipe de sécurité peut vérifier et surveiller à l'aide des mêmes outils accessibles au public. L'objectif est de garantir que, lorsqu'un attaquant analyse votre domaine, il ne trouve rien qui vaille la peine d'être ciblé : une authentification rigoureuse, un environnement d'expéditeurs bien documenté et l'absence de sous-domaines abandonnés.

Vérifier la politique DMARC sur l'ensemble des domaines et sous-domaines

Commencez par extraire les enregistrements DMARC de votre domaine principal et de tous les sous-domaines que vous pouvez identifier. Tout domaine dont la valeur p=none est toujours active et qui est en service depuis plus de quelques mois constitue une priorité. Le passage de p=none à p=reject ne doit pas nécessairement se faire du jour au lendemain, mais il doit s’inscrire dans un calendrier défini – il ne faut pas le laisser indéfiniment en mode de surveillance.

Configurez explicitement la balise DMARC « sp » afin d'étendre l'application de la politique aux sous-domaines. Les sous-domaines inactifs ne générant aucun trafic d'envoi légitime doivent être configurés immédiatement avec « p=reject ». Il n'y a aucune raison de laisser la valeur « none » pour un domaine qui n'envoie rien.

Vérifiez et optimisez votre SPF

Effectuez une recherche SPF sur votre domaine et vérifiez que chaque expéditeur répertorié est toujours activement utilisé et correctement autorisé. Remplacez tout qualificatif « ~all » par « -all » si votre environnement d'envoi est stable et entièrement documenté. Si votre enregistrement approche ou dépasse la limite de dix requêtes DNS, remédiez-y en utilisant SPF : un SPF dépassant cette limite échoue complètement, ce qui est pire que l'absence d'enregistrement en termes de délivrabilité, et constitue une erreur de configuration que les attaquants peuvent détecter.

Cartographiez et surveillez l'ensemble de votre environnement d'expédition

Utilisez les rapports agrégés DMARC pour dresser un inventaire complet de toutes les sources envoyant des e-mails prétendant provenir de votre domaine. Toute source figurant dans les rapports et ne figurant pas sur votre liste d'expéditeurs autorisés est soit un service légitime mal configuré, soit un expéditeur non autorisé. Ces deux cas doivent être traités.

Dans la plupart des entreprises, de nouveaux outils SaaS et de nouvelles intégrations sont mis en place en permanence. Cela signifie que l'environnement des expéditeurs n'est pas statique. Un inventaire qui était exact il y a trois mois peut être obsolète aujourd'hui. Considérez la cartographie de l'environnement des expéditeurs comme un processus récurrent, et non comme une opération ponctuelle.

Répertoriez vos propres sous-domaines

Utilisez crt.sh et des outils DNS passifs pour obtenir la même vue d'ensemble de l'empreinte de votre domaine que celle dont disposerait un attaquant. Tout élément non surveillé, non authentifié ou présentant un enregistrement DNS orphelin doit être traité immédiatement. En ce qui concerne les domaines similaires et homoglyphes, les outils de protection contre l’usurpation de domaine et de surveillance de marque permettent de les détecter avant qu’ils ne soient utilisés dans le cadre d’une campagne active. Pour vos propres domaines, il est utile d’examiner les risques de sécurité cachés liés à la multiplicité des domaines et sous-domaines, ce qui constitue un bon point de départ pour un audit complet de vos domaines.

Ce que les pirates découvrent lorsqu'ils mènent des opérations de reconnaissance en vue d'une attaque par hameçonnage sur votre domaine

Le processus complet de reconnaissance en vue d'une attaque par hameçonnage décrit ci-dessus – vérification des paramètres d'authentification, cartographie de l'empreinte des sous-domaines, analyse de l'environnement de l'expéditeur, validation des cibles – prend moins d'une heure à un pirate expérimenté à l'aide d'outils gratuits. Un vérificateur DMARC, une SPF , crt.sh et une requête WHOIS suffisent pour déterminer si votre domaine mérite d'être ciblé.

Les organisations les plus difficiles à cibler sont celles pour lesquelles cette reconnaissance ne donne aucun résultat utile : une politique DMARC définie sur « p=reject » couvrant tous les sous-domaines, un SPF valide se terminant par « -all », une signature DKIM documentée pour toutes les sources d’envoi, et aucun sous-domaine abandonné présentant des failles d’authentification. Lorsqu’un attaquant, lors de sa reconnaissance, trouve un domaine qui a fermé ces portes, il passe à autre chose. C’est là l’objectif.

• À propos de
• Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Reconnaissance en matière d'hameçonnage : comment les pirates identifient et ciblent les domaines vulnérables - 24 juin 2026
• Comment constituer une équipe de cybersécurité hautement performante pour votre entreprise - 23 juin 2026
• Sécurité des e-mails et de la paie des RH : bonnes pratiques pour les équipes internationales - 22 juin 2026