Qu'est-ce qu'un e-mail de hameçonnage ? Restez vigilant et apprenez à repérer les e-mails de hameçonnage

Un e-mail de hameçonnage, c'est comme un imposteur déguisé dans votre boîte de réception. Il se fait passer pour une source fiable dans le but de vous tromper et de vous manipuler pour que vous divulguiez des informations sensibles ou que vous effectuiez des actions préjudiciables. Le phishing par e-mail a évolué au fil des ans, passant de simples farces, comme celles dont ont été victimes les premiers utilisateurs d'AOL au milieu des années 90 avec des générateurs aléatoires de numéros de carte de crédit, à des activités sophistiquées et très lucratives pour les pirates informatiques du monde entier, qui utilisent des tactiques d'usurpation d'identité avancées. C'est un escroc numérique qui exploite les faiblesses et la crédulité humaines.

Elles peuvent avoir des conséquences dévastatrices, telles que le vol d'identité, la perte financière ou l'accès non autorisé à vos comptes. Selon le rapport 2019 de Verizon sur les enquêtes relatives aux violations de données, environ 32 % des violations de données survenues cette année-là impliquaient des courriels d'hameçonnage et d'ingénierie sociale. Restez prudent et sceptique, car le seul but de l'email de phishing est de vous tromper et de vous exploiter.

Qu'est-ce qu'un courriel d'hameçonnage ?

Un e-mail de hameçonnage est un message frauduleux conçu pour inciter les destinataires à divulguer des informations sensibles, à cliquer sur des liens malveillants, à télécharger des logiciels malveillants ou à approuver des actions non autorisées.

Ces e-mails se font souvent passer pour des sources fiables, telles que des banques, des collègues, des équipes informatiques, des entreprises de livraison ou des dirigeants. Les pirates utilisent des marques connues, un ton pressant et une mise en page réaliste pour donner à leur message un air de légitimité.

Les e-mails de hameçonnage modernes sont de plus en plus difficiles à détecter, car ils sont personnalisés, adaptés au contexte et conçus pour imiter les véritables communications professionnelles.

Simplifiez la sécurité contre l'hameçonnage avec PowerDMARC !

Comment fonctionnent les courriels d'hameçonnage ?

Les techniques utilisées dans les e-mails de hameçonnage n’ont rien de secret. Elles sont largement documentées, étudiées et font l’objet de formations continues, mais elles continuent de fonctionner, car elles n’exploitent pas les failles des logiciels. Elles exploitent la manière dont les gens traitent l’information lorsqu’ils sont sous pression.

1. L'attaquant se fait passer pour un expéditeur de confiance

Tout e-mail de hameçonnage commence par une usurpation d'identité. Le nom de l'expéditeur semble correct, le domaine passe inaperçu à première vue (la plupart des gens ne vérifient jamais l'adresse complète, et encore moins les en-têtes ; les pirates basent toute leur stratégie sur cette hypothèse). La mise en page, le ton et le logo sont conçus pour paraître suffisamment familiers pour que vous ne preniez pas le temps de vous poser des questions.

2. Le message met l'accent sur l'urgence

Les e-mails de hameçonnage jouent sur le sentiment d'urgence en utilisant la peur comme tactique. Il peut s'agir d'un paiement qui a échoué ou d'une suspension de l'accès à un compte essentiel. Cette pression est orchestrée pour vous inciter à ignorer les étapes de vérification et à agir immédiatement. 

Cela arrive parfois même à des professionnels de la sécurité formés, à des personnes qui ont suivi des formations de sensibilisation au phishing. La réaction d'angoisse est plus rapide que celle du scepticisme, et les pirates savent exactement comment la déclencher.

3. C'est l'ingénierie sociale qui fait le gros du travail

Le phishing contourne complètement l'infrastructure technique en s'attaquant à quelque chose qui ne peut pas être corrigé : la façon dont les gens réagissent face à la pression, à l'autorité et au sentiment que le temps leur manque.

Les pirates utilisent votre nom, celui de votre entreprise et parfois celui de votre responsable, qu’ils ont trouvé sur LinkedIn. Ils se font passer pour votre PDG ou pour un fournisseur avec lequel vous travaillez réellement. Ils vous fixent un délai : vous devez agir dans l’heure qui suit sous peine de perdre l’accès, ou confirmer immédiatement sous peine de voir le paiement échouer. Le FOMO est artificielle, mais l’anxiété qu’elle provoque est bien réelle.

4. Ce sont les liens ou les pièces jointes trompeurs qui causent des dégâts

Les pièces jointes et les URL sont conçues pour ressembler en tous points aux originales. Si vous cliquez dessus, vous êtes redirigé vers une fausse page de connexion qui imite si bien le site légitime qu’elle peut tromper quelqu’un qui ne regarde pas d’assez près. Dès que vous saisissez vos identifiants, ceux-ci sont immédiatement capturés, en temps réel, avant même que vous ne vous rendiez compte que quelque chose ne va pas.

5. Des données sensibles sont collectées

Ils cherchent souvent à mettre la main sur vos identifiants, mots de passe, vos coordonnées bancaires, vos numéros de sécurité sociale ou toute autre information ayant une valeur de revente ou permettant un accès direct. Une partie de ces données est utilisée immédiatement pour prendre le contrôle de comptes ou commettre des fraudes financières, tandis que le reste est revendu. Quoi qu’il en soit, un seul e-mail de phishing réussi peut alimenter des attaques qui se poursuivront pendant des mois.

6. Ces données volées sont mises à profit

Dès que les pirates ont mis la main sur vos identifiants, ils passent à l'action. L'accès à votre compte peut être obtenu en quelques heures, voire en quelques minutes. S'ensuivent alors des fraudes financières, la revente massive d'identifiants sur les marchés du dark web et des attaques de spear-phishing ciblées utilisant les informations personnelles qu'ils viennent de récupérer dans votre boîte de réception. 

Le spear-phishing de suivi consiste essentiellement en une attaque de suivi, dans laquelle les pirates réutilisent les données issues d'un e-mail de phishing qui a porté ses fruits pour lancer une nouvelle attaque, encore plus ciblée. 

Signes avant-coureurs des e-mails de hameçonnage et comment les repérer

Les e-mails de hameçonnage sont désormais si bien conçus qu'ils parviennent à tromper même ceux qui savent exactement à quoi s'attendre. Ce que vous pouvez faire, c'est prendre le temps de vérifier l'authenticité d'un e-mail avant de l'ouvrir ou de cliquer sur les liens qu'il contient.

1. Il faut d'abord vérifier l'adresse de l'expéditeur. 
2. Vérifiez le nom de domaine. 
3. Vérifiez l'objet et le corps du message pour repérer les formulations un peu bancales, comme les erreurs grammaticales, les tournures maladroites ou les expressions qui semblent presque correctes, mais qui ne le sont pas tout à fait. 
4. Méfiez-vous des e-mails qui vous donnent l'impression qu'il y a urgence et qui vous poussent à agir avant même que vous ayez eu le temps de vérifier.

Liste de contrôle des signaux d'alerte critiques

Certaines sont évidentes, tandis que d'autres méritent d'être connues

• Incohérences de conception : version du logo non conforme, polices légèrement décalées, couleurs qui ne correspondent pas à celles utilisées par la marque en réalité 
• Demandes de paiement inattendues : factures urgentes ou avis de facturation, notamment accompagnés de nouvelles coordonnées bancaires
• Usurpation d'identité de cadres supérieurs : demandes de virement bancaire ou de communication de données sensibles qui semblent provenir de la direction 
• Codes QR : les codes QR inattendus contournent la plupart des filtres de sécurité des e-mails, car l'URL de destination n'est pas visible lors de l'analyse automatisée. Votre téléphone suit le lien sans subir le même contrôle que celui effectué par un navigateur 
• Deepfake/fraude vidéo : les demandes utilisant des voix ou des vidéos synthétiques sont couramment utilisées ; une attaque de 2020 a notamment eu recours à un appel vocal cloné pour autoriser un virement de 35 millions de dollars 
• Attaque par « push-bombing » MFA : envoi répété de demandes d'authentification dans l'espoir que vous en validiez une pour qu'elles cessent. 
• Alertes d'activité : notifications de connexion suspectes vous invitant à cliquer sur un lien pour « sécuriser votre compte »  

• Salutations génériques

Exemples : « Cher client. » « Cher utilisateur. » Toute entreprise auprès de laquelle vous avez un compte connaît votre nom. Les formules de politesse génériques indiquent que cet e-mail n'a pas été rédigé spécialement pour vous, mais pour une liste de destinataires générique. 

• Demandes d'informations personnelles

Les banques ne vous demandent jamais votre mot de passe par e-mail. Les services informatiques n'ont pas besoin que vous « confirmiez vos identifiants » en cliquant sur un lien. Si une demande suit normalement une procédure sécurisée et que quelqu'un vous demande de contourner cette procédure par e-mail, c'est un signe révélateur. 

• Adresse électronique inhabituelle de l'expéditeur

N'importe qui peut choisir un nom d'affichage quelconque. C'est le domaine réel qui compte : comparez-le à ce que vous attendriez de voir dans les communications officielles de cette organisation. Un simple caractère inversé, un tiret, un TLD différent. C'est facile de ne pas s'en apercevoir quand on est pressé, et c'est justement à ce moment-là que ces e-mails ont tendance à arriver. 

• Pièces jointes ou téléchargements inattendus

Surtout de la part de personnes que vous connaissez. Une pièce jointe malveillante envoyé depuis un compte piraté est plus dangereux que celui d’un inconnu, car vous êtes moins susceptible de vous en méfier. Si vous n’attendiez pas ce fichier, vérifiez-le avant de l’ouvrir. Les alertes en temps réel de PowerDMARC signalent les tentatives d’utilisation de votre domaine par des expéditeurs non autorisés, détectant ainsi les tentatives d’usurpation d’identité avant qu’elles n’atteignent les boîtes de réception. 

Types d'attaques par hameçonnage (avec des exemples d'e-mails)

Spoofing, spear phishing, whaling, pharming et BEC sont des types courants de courriels d'hameçonnage. Bien que le profil des victimes ou le mode opératoire diffèrent légèrement, ils sont susceptibles de causer des dommages aux organisations et aux individus.

Tableau comparatif : types d'attaques par hameçonnage

1. Usurpation d'adresse électronique

En septembre 2019, Toyota a perdu 37 millions de dollars parce qu'un pirate avait falsifié une adresse e-mail. Il a suffi d'un seul employé et d'un seul e-mail convaincant. L'expéditeur semblait légitime, la demande paraissait plausible, et personne n'a appelé pour vérifier avant que le virement ne soit effectué.

Dans le cadre de l'usurpation d'adresse e-mail, l'adresse de l'expéditeur est falsifiée pour donner l'impression qu'elle provient d'une banque, d'un organisme public ou, parfois, d'un cadre de l'entreprise, c'est-à-dire de la personne la plus susceptible de réagir sans poser de questions. L'e-mail n'a pas besoin d'être parfait. Il suffit qu'il soit suffisamment convaincant pour qu'une personne très occupée, un mardi après-midi, ne prenne pas le temps de vérifier le domaine complet de l'expéditeur.

L'application de DMARC empêche cela au niveau du protocole. Lorsqu'un domaine a un paramètre DMARC défini sur p=reject, les e-mails non authentifiés prétendant provenir de ce domaine sont rejetés avant même d'atteindre la boîte de réception. PowerDMARC gère cette mise en œuvre et vous offre une visibilité sur tout ce qui est envoyé au nom de votre domaine.

2. Spear Phishing

Le phishing classique cible un large public. Le spear phishing est tout le contraire : il vise une seule cible, sur laquelle des recherches ont été menées au préalable, et pour laquelle un e-mail est spécialement conçu.

Les pirates récupèrent votre nom, votre fonction, le nom de votre supérieur hiérarchique et un projet auquel vous êtes publiquement associé, via LinkedIn, le site web de votre entreprise ou des communiqués de presse, bref, tout ce qu’ils peuvent trouver. Ils rédigent ensuite un message qui fait suffisamment référence à des éléments concrets pour donner l’impression qu’il provient de votre propre environnement. Pas un simple « Cher client », mais votre vrai nom, le nom de votre entreprise, et parfois même celui d’un collègue en qui vous auriez confiance sans hésiter.

C'est précisément cette personnalisation qui rend les e-mails de spear phishing si difficiles à contrer par la formation. Les formations générales de sensibilisation apprennent aux gens à repérer les attaques classiques. Le spear phishing ne ressemble pas à une attaque classique : il prend la forme d'un e-mail ordinaire envoyé par quelqu'un qui vous connaît. C'est pourquoi il obtient systématiquement de meilleurs taux de clics que les campagnes de phishing à grande échelle.

3. Attaques de baleiniers

Nikkei Inc. a perdu 29 millions de dollars lorsqu'un employé de son bureau américain a transféré des fonds sur les instructions d'une personne se faisant passer pour un cadre dirigeant. Il n'y a eu ni logiciel malveillant, ni compromission du système. Juste un e-mail qui semblait provenir de la bonne personne, demandant quelque chose qui semblait s'inscrire dans le cadre normal des opérations.

Le « whaling » est une forme de spear phishing ciblant les cadres dirigeants ou les employés disposant d'un pouvoir de décision financière ou d'un accès à des données sensibles. Le ciblage est délibéré. Les attaquants consacrent davantage de temps à ces cibles, car le gain en vaut la peine. Un e-mail soigneusement préparé, se faisant passer pour un directeur financier, un membre du conseil d'administration ou un interlocuteur de confiance d'un fournisseur, peut autoriser des transactions qui, autrement, nécessiteraient plusieurs niveaux d'approbation.

La technique dite « Vendor Email Compromise » (VEC) repose sur le même principe, mais sous un angle différent : les pirates compromettent le compte ou se font passer pour des employés d’une entreprise fournisseur, puis exploitent cette relation commerciale existante pour faire passer leurs demandes de paiement frauduleuses pour des opérations courantes. 

4. Pharmacie

Le pharming est une attaque où, même si vous faites tout correctement, vous vous retrouvez quand même sur un site frauduleux.

Les pirates exploitent des failles du système DNS ou modifient les paramètres DNS à l'aide de logiciels malveillants, de sorte que même une URL saisie correctement redirige vers une destination falsifiée. La barre d'adresse du navigateur peut sembler normale. Il n'y a pas de lien suspect sur lequel passer la souris, ni d'indice évident dans l'e-mail, car dans certains cas, il n'y a tout simplement pas d'e-mail. Vous vous rendez simplement sur un site web que vous avez visité des dizaines de fois et vous vous retrouvez à un endroit où vous ne vouliez pas aller.

Le pharming est plus difficile à détecter qu'un lien piégé, et encore plus difficile à contrer

5. Compromission des courriers électroniques professionnels (BEC)

Une ville du Colorado a perdu plus d'un million de dollars après qu'un pirate ait soumis une demande frauduleuse de mise à jour des informations de paiement pour une entreprise de construction locale. Un employé a mis à jour les informations de paiement, et les fonds ont été détournés. Lorsque quelqu'un s'en est aperçu, l'argent avait déjà disparu.

Le BEC consiste soit en un compte de messagerie légitime piraté, soit en une usurpation d'identité suffisamment convaincante, utilisée pour autoriser des transactions, rediriger des paiements ou extraire des données sensibles. Le rapport 2019 du FBI sur la cybercriminalité estime les pertes liées au BEC à plus de 1,7 milliard de dollars cette année-là, ce qui représente plus de la moitié de l’ensemble des pertes liées à la cybercriminalité signalées, et ces chiffres n’ont cessé d’augmenter depuis.

Ce qui rend le BEC si efficace, c'est que la demande parvient par un canal auquel les gens font déjà confiance, comme une adresse e-mail connue, une relation commerciale existante ou un nom qu'ils reconnaissent. L'autorisation est donnée avant même que quiconque ne songe à vérifier par un autre moyen.

La mise en œuvre de DMARC élimine le vecteur d'usurpation directe : un pirate ne peut pas envoyer d'e-mails qui passent l'authentification en se faisant passer pour votre domaine sans avoir accès à vos clés de signature. La surveille en temps réel les échecs d'authentification et les schémas d'envoi inhabituels avant qu'ils ne se transforment en incidents.

Contrairement aux solutions traditionnelles, PowerDMARC est spécialement conçu pour les entreprises et les MSP, et propose : des rapports avancés, SPF automatisée SPF et des tableaux de bord multi-locataires. Découvrez pourquoi nos clients nous classent n° 1 sur G2.

Découvrez comment nous avons aidé Digital Infinity IT Group à mettre fin aux attaques de phishing

Liste exhaustive des types d'attaques par hameçonnage

C'est souvent le courrier électronique qui retient le plus l'attention, mais ce n'est pas le seul vecteur d'attaque. 

Hameçonnage par le biais de communications

• Vishing (hameçonnage vocal) : le vishing est une technique par téléphone : un pirate appelle, se fait passer pour une banque, un service d'assistance informatique ou une administration, et vous guide pour que vous lui communiquiez vos identifiants par téléphone. Il n'y a ni lien sur lequel passer la souris, ni adresse d'expéditeur à vérifier. Juste une voix et une histoire plausible.
• Smishing (hameçonnage par SMS) : le smishing est la version SMS du vishing, qui se caractérise par un message court, un ton urgent et un lien malveillant. Cette technique est particulièrement efficace auprès des utilisateurs de téléphones portables, car ceux-ci cliquent sur les liens contenus dans les SMS plus rapidement et avec moins de prudence que dans les e-mails, et la plupart des téléphones n'affichent pas l'URL complète avant que l'on n'appuie dessus.
• Le « clone phishing » : cette technique piège les personnes qui pensent être prudentes. Un pirate informatique reprend un véritable e-mail que vous avez déjà reçu, le reproduit à l'identique, remplace les liens ou les pièces jointes par des versions malveillantes, puis le renvoie sous forme de message de suivi. 

Hameçonnage sur Internet

• Hameçonnage HTTPS : de faux sites dotés de certificats SSL valides. Le cadenas indique que la connexion est cryptée. Il ne permet toutefois pas de savoir si le site auquel on se connecte est légitime. 
• Hameçonnage par fenêtres contextuelles : des fenêtres contextuelles du navigateur se faisant passer pour des avertissements de sécurité ou des alertes système, vous invitant à vous connecter ou à télécharger un fichier
• « Jumeau maléfique » : un faux réseau Wi-Fi portant le même nom que le réseau légitime, mis en place dans un café, un aéroport ou le hall d’un hôtel. Vous vous y connectez sans vérifier. Votre trafic est alors acheminé vers une destination indésirable.
• Attaques de type « watering hole » : au lieu de cibler directement les victimes, les pirates compromettent des sites web que les employés de l'organisation ciblée consultent régulièrement. L'infection provient d'un site auquel vous faites déjà confiance. Aucun e-mail suspect n'est nécessaire, ce qui rend justement cette attaque plus difficile à détecter.

Techniques avancées de hameçonnage

• Usurpation de nom de domaine : les pirates enregistrent des noms de domaine qui ressemblent comme deux gouttes d'eau à des noms légitimes, en remplaçant rn par m, 1 pour l, en ajoutant un trait d'union, en modifiant le TLD. Par exemple, paypa1.com. arnazon.com. Visuellement assez proche pour passer inaperçu au premier coup d'œil, en particulier sur un navigateur mobile où l'URL complète tient à peine à l'écran. 
• Hameçonnage par image : contenu malveillant intégré dans des images plutôt que dans du texte, de sorte que les filtres automatisés qui recherchent des mots-clés ou des liens suspects ne détectent rien. 
• Hameçonnage via les moteurs de recherche : de faux sites créés pour apparaître en tête des résultats de recherche lorsque les internautes ont besoin d’aide rapidement. « Page de connexion bancaire », « portail de paiement de l’administration fiscale », « téléchargement de logiciel ». Les internautes font confiance aux résultats de recherche d’une manière qu’ils ont appris à ne pas accorder aux e-mails. 
• Attaque de l'homme du milieu : l'attaquant se place entre vous et un site légitime, interceptant la session en temps réel. Vous pensez être sur la vraie page, et c'est techniquement le cas, mais tout ce que vous saisissez est d'abord transmis à quelqu'un d'autre 

Modèles courants d'e-mails de hameçonnage

Ces modèles continuent de circuler parce qu'ils font toujours leurs preuves. La plupart des gens ont sûrement déjà vu des versions de chacun d'entre eux. 

Exemples concrets détaillés : les exemples suivants présentent des modèles courants de hameçonnage et mettent en évidence les signaux d'alerte spécifiques à surveiller dans chaque scénario.

1. « Votre compte a été signalé »

L'objet du message indique qu'un problème est survenu, par exemple une tentative d'accès non autorisée ou une connexion suspecte depuis un appareil inconnu. « Votre compte sera suspendu dans 24 heures si vous ne le vérifiez pas immédiatement. »

Vous cliquez avant même d'avoir fini de lire. Au moment où vous arrivez sur la page de connexion, vous êtes déjà pris au piège. Le lien mène vers une page qui a l'air tout à fait authentique. Vous saisissez vos identifiants, et le pirate informatique accède à votre compte. 

Soyez vigilant : l'absence de détails spécifiques concernant votre compte dans le corps du message (les alertes authentiques mentionnent généralement votre nom d'utilisateur ou les quatre derniers chiffres d'un numéro), un domaine d'expéditeur similaire mais pas identique, une page de connexion qui vous demande plus d'informations que d'habitude.

Autres modèles courants de hameçonnage

Voici quelques modèles que l'on retrouve régulièrement dans tous les secteurs : 

• Escroqueries par fausse facture : une facture provenant d'un fournisseur que vous reconnaissez vaguement, ou qui pourrait sembler authentique, demandant un paiement sur de nouvelles coordonnées bancaires. Les services de comptabilité fournisseurs en reçoivent régulièrement. Le montant se situe généralement dans une fourchette qui ne nécessite pas d'autorisation supplémentaire. 
• Arnaques liées à la mise à niveau de compte : une offre de mise à niveau d'un service que vous utilisez, vous demandant vos informations de paiement pour finaliser l'opération. Ces arnaques se font parfois passer pour un outil auquel votre entreprise est réellement abonnée. 
• Arnaques liées aux ressources humaines : de faux e-mails concernant la paie ou les avantages sociaux vous demandant de mettre à jour vos coordonnées bancaires ou de confirmer vos informations personnelles. Ces messages sont envoyés au moment de l'intégration des nouveaux employés ou pendant les périodes d'inscription annuelles, lorsque des demandes similaires sont attendues et que les destinataires sont moins enclins à s'en méfier. 
• Arnaques liées au stockage en ligne : « Quelqu'un a partagé un document avec vous. » Le lien redirige vers une fausse page de connexion de Google Drive, OneDrive ou Dropbox. Vous saisissez vos identifiants pour consulter le fichier, alors que celui-ci n'a jamais existé. 

2. « Vous avez gagné à la loterie »

Ces e-mails atterrissent dans les boîtes de réception en promettant un gain, qu'il s'agisse d'une somme d'argent, d'une carte cadeau ou d'un « gain » vague, et demandent des informations personnelles pour traiter la demande. Nom, adresse, date de naissance, voire parfois des coordonnées bancaires pour verser les fonds. Le domaine de l'expéditeur ne correspond à aucune organisation réelle, et la grammaire est généralement approximative. On y trouve souvent un numéro de téléphone à l'étranger ou une adresse e-mail générique pour le suivi.

C'est l'un des plus anciens modèles de hameçonnage encore en circulation, mais il fonctionne toujours. Pas avec la plupart des gens, mais suffisamment pour qu'on ne cesse de l'utiliser. Le ciblage repose sur le volume : il suffit d'envoyer le message à suffisamment d'adresses pour que quelqu'un réponde.

Soyez vigilant face à : un prix pour lequel vous ne vous êtes jamais inscrit, la demande d'informations personnelles avant toute « remise », l'urgence invoquée pour vous inciter à réclamer le prix avant une date limite, ou des coordonnées qui ne correspondent à aucune organisation vérifiable.

3. « Correctif de sécurité critique requis »

L'e-mail semble provenir d'un éditeur de logiciels que vous utilisez réellement, avec un objet faisant référence à un numéro CVE ou à une vague « vulnérabilité critique ». Il contient un lien de téléchargement et une date limite, accompagnés d'un message invitant à « appliquer le correctif immédiatement avant que votre système ne soit exposé ». 

Les gens ont pris l'habitude de mettre à jour leurs logiciels rapidement. C'est précisément cette habitude que cette attaque exploite. Le lien ne mène pas à un correctif, mais à un fichier qui installe un logiciel malveillant ; selon son contenu, l'attaquant obtient ainsi différents niveaux d'accès à l'ordinateur sur lequel il a été exécuté.

Soyez vigilant : aucune version spécifique du produit n'est mentionnée, le téléchargement est hébergé ailleurs que sur le domaine officiel du fournisseur, et le message est formulé de manière à créer un sentiment d'urgence qui dissuade de lire attentivement avant de cliquer.

4. "Demande urgente de virement bancaire

Les e-mails courts semblent souvent provenir d'un cadre supérieur, comme un directeur financier ou un PDG, voire parfois d'un supérieur hiérarchique direct, avec un message du type : « Virement bancaire urgent. Impossible de passer par les voies habituelles pour le moment. Occupe-toi de ça, on en discutera plus tard. » 

Le sentiment d'autorité et l'urgence sont artificiels. Tous deux visent à vous pousser à agir avant de vérifier par un autre moyen, alors que c'est justement cette étape qui permettrait de détecter la supercherie à chaque fois.

Soyez vigilant face à : un domaine d'expéditeur similaire mais non identique, une demande de contournement de la procédure d'approbation standard, ou toute instruction financière accompagnée d'une raison pour laquelle vous ne devriez pas la confirmer au préalable.

5. "Informations confidentielles relatives à l'acquisition

Des e-mails contenant le message suivant : « Vous avez été sélectionné(e) pour recevoir des informations confidentielles concernant une acquisition à venir. Cliquez ici pour accéder au document »

Cette attaque mise sur la curiosité et le sentiment d'être mis au courant d'informations importantes, telles que les détails d'une fusion, des renseignements sur la concurrence ou des informations privilégiées. Les cibles sont généralement les équipes financières, les assistants de direction et toute personne dont le travail implique la gestion d'informations commerciales sensibles et qui trouverait ce courriel plausible.

Ce document n'existe pas. Le lien installe un logiciel malveillant. Avant même que l'on s'en rende compte, il est déjà en cours d'exécution.

Soyez vigilant si : vous n'avez aucun lien préalable avec l'expéditeur ou aucun contexte permettant d'expliquer pourquoi vous recevez ce message, un téléchargement est nécessaire pour consulter le contenu, ou si vous ne pouvez pas vérifier l'identité de l'expéditeur par un autre moyen.

Comment les attaques par hameçonnage ciblent les entreprises

Pour les particuliers, une attaque de phishing réussie se traduit par le vol d'identifiants ou une usurpation d'identité. Pour les entreprises, les répercussions s'étendent à plusieurs niveaux à la fois, et le coût total d'une attaque de phishing pour une organisation dépasse presque toujours la perte financière initiale.

Conséquences financières du phishing pour les entreprises

• Pertes financières directes : les attaques de type « Business Email Compromise » (BEC) donnent lieu à des fraudes par virement bancaire, à des détournements de paiements et à des transactions non autorisées : les fausses factures, les escroqueries de type « CEO fraud » et les paiements détournés destinés aux fournisseurs comptent parmi les vecteurs les plus courants.
• Sanctions réglementaires : une violation de données liée à une tentative d'hameçonnage peut entraîner des amendes au titre du RGPD pouvant atteindre 4 % du chiffre d'affaires annuel. La non-conformité aux normes HIPAA et PCI DSS s'accompagne en outre de sanctions distinctes.
• Coûts de remise en état : les interventions en cas d'incident, les enquêtes techniques et la remise en état des systèmes font rapidement grimper la facture. Les entreprises qui ont été victimes d'une attaque par hameçonnage indiquent que ce sont les coûts de remise en état qui les ont le plus surpris.

Perturbations opérationnelles dues au phishing

• Interruption d'activité : indisponibilité du système pendant que le service informatique maîtrise la faille. Perte de productivité au sein des équipes qui ne peuvent pas accéder à l'infrastructure touchée. Interruptions de service que les clients constatent avant même que l'entreprise ait achevé sa réponse interne.
• Fuites de données : divulgation d'informations sur les clients, de propriété intellectuelle, ou les deux, chacune entraînant des obligations spécifiques en matière de notification et des risques juridiques.
• Atteinte à la réputation : plus difficile à quantifier, mais dont il est plus difficile de se remettre. La confiance des clients après une violation liée à une attaque par hameçonnage ne se rétablit pas aussi rapidement que les systèmes.

Comment PowerDMARC protège les entreprises contre le phishing par e-mail

L'usurpation de domaine de messagerie constitue le point d'entrée de la plupart des attaques de type BEC. La plupart des entreprises n'ont pas mis en place le protocole DMARC ou sont bloquées au niveau « p=none » (mode surveillance uniquement), qui offre une visibilité mais ne bloque rien. PowerDMARC permet aux organisations de passer à une application de DMARC avec p=reject, où les e-mails usurpés sont bloqués avant leur livraison, sans perturber les flux d'e-mails légitimes. Voici comment :

• Mise en œuvre guidée de la politique DMARC : un parcours de migration structuré passant de p=none àquarantine p=reject, grâce à une intensification progressive de la politique basée sur des pourcentages, permettant ainsi un renforcement graduel des mesures. Publication DNS en un clic publication DNS et enregistrements DMARC hébergés permettent aux équipes de mettre à jour les politiques directement depuis le tableau de bord sans avoir à modifier manuellement le DNS.
• Renseignements sur les menaces basés sur l'IA : le moteur d'IA traite des millions de points de données issus des rapports agrégés (RUA) et d'analyse approfondie (RUF) DMARC afin de classer automatiquement les adresses IP d'expédition inconnues, en distinguant une plateforme CRM ou marketing mal configurée d'une tentative malveillante d'usurpation d'identité. Le temps de détection passe de plusieurs jours, auparavant nécessaires à l'analyse manuelle du format XML, à quelques minutes.
• Couverture complète des protocoles d'authentification des e-mails : au-delà de DMARC, SPF et DKIM, PowerDMARC gère MTA-STS (qui impose le chiffrement TLS sur les e-mails entrants pour empêcher leur interception), TLS-RPT (rapports de sécurité de la couche de transport) et BIMI (affichage de votre logo de marque vérifié dans les boîtes de réception des destinataires). Les six protocoles depuis un seul tableau de bord.
• PowerSPF pour les environnements d'envoi complexes : les entreprises qui utilisent plusieurs services d'envoi d'e-mails atteignent régulièrement la limite de 10 requêtes DNS SPF, ce qui empêche l'authentification des e-mails légitimes. La fonctionnalité de « SPF » hébergée par PowerDMARC résout ce problème sans nécessiter de maintenance manuelle continue.
• Des rapports efficaces pour toutes les équipes : des données XML brutes transformées en tableaux de bord visuels comprenant des cartes géographiques, l'identification de la source (avec le nom du service associé à chaque adresse IP) et l'analyse des tendances. Exportation en PDF en un clic pour les audits de conformité et les rapports destinés à la direction.

À l'attention des MSP/MSSP : la plateforme multi-tenant de PowerDMARC vous permet de gérer et de protéger de manière centralisée tous les domaines de vos clients à partir d'un tableau de bord unique, avec une prise en charge complète du marque blanche et des certifications de conformité SOC 2 Type 2, ISO 27001 et RGPD. Plus de 2 000 organisations et agences gouvernementales dans plus de 100 pays nous font confiance.

En résumé, cela automatise la partie la plus délicate : parvenir à un rejet en toute sécurité, de sorte que la protection soit active avant même que la prochaine fausse facture ou tentative d'usurpation d'identité du PDG n'atteigne la boîte de réception.

Découvrez PowerDMARC en action

Réservez une démonstration personnalisée pour découvrir comment PowerDMARC permet à vos domaines de passer à une application stricte du protocole DMARC, sans perturber la réception des e-mails légitimes.

Réservez une démonstration gratuite

Nouvelles techniques de hameçonnage utilisant l'IA et les technologies

Pendant des années, les e-mails mal rédigés, les tournures maladroites, les erreurs flagrantes et les phrases qui semblaient presque cohérentes constituaient un indice fiable. Voici comment les pirates exploitent les nouvelles technologies pour concevoir des e-mails de hameçonnage plus sophistiqués : 

Hameçonnage assisté par l'IA

• E-mails générés par l'IA : les e-mails de hameçonnage générés par l'IA ne présentent plus ces indices révélateurs, car ils sont grammaticalement irréprochables, plausibles d'un point de vue contextuel et peuvent être personnalisés à grande échelle à l'aide de données accessibles au public. 
• Deepfakes audio/vidéo : Les deepfakes audio sont plus avancés que la plupart des gens ne le pensent, et cela sans même passer par un e-mail. Il suffit d'une voix qui semble authentique et d'une demande qui semble s'inscrire dans le cadre normal des opérations. La vidéo synthétique suit la même trajectoire (elle est moins courante dans les attaques à l'heure actuelle, mais la technologie existe et ne cesse de s'améliorer). 
• Le spear phishing automatisé : autrefois, le spear phishing nécessitait des recherches manuelles et des heures de travail par cible. L'IA réduit ce processus à quelques secondes. Les attaques, qui étaient auparavant réservées aux cibles de grande valeur, sont désormais économiquement viables contre n'importe qui. 

Techniques techniques avancées

• Contournement des systèmes d'apprentissage automatique : les filtres de sécurité ont de plus en plus souvent recours à l'apprentissage automatique pour détecter les comportements suspects. Les pirates mettent désormais au point des campagnes de phishing spécialement conçues pour tester et contourner ces filtres, en essayant différentes variantes face aux systèmes de détection avant de les déployer à grande échelle. 
• IA antagoniste : utilisation de l'IA pour tester et améliorer l'efficacité des attaques contre les systèmes de sécurité
• Génération dynamique de contenu : création en temps réel de contenu de hameçonnage en fonction du comportement de la victime

De nouveaux signaux d'alerte à surveiller

• Une grammaire irréprochable : des e-mails trop bien rédigés et trop précis. 
• Hyper-personnalisation : une personnalisation qui va bien au-delà de ce que permet une liste de diffusion classique. 
• Demandes vocales ou vidéo : appels vocaux ou vidéo inattendus vous demandant d'effectuer une action ou de donner une autorisation. Demandes d'authentification multifactorielle (MFA) que vous n'avez pas déclenchées. Contenu qui semble s'adapter ou faire référence à un événement récent d'une manière qui semble quelque peu étrange.
• Contenu d'IA évolutif : contenu de hameçonnage qui change rapidement ou s'adapte

Les anciens signaux d'alerte n'ont pas disparu : anomalies au niveau de l'adresse de l'expéditeur, ton pressant, demandes inhabituelles. Ils ont simplement été rejoints par de nouveaux signaux qui vont dans le sens inverse : soignés, personnalisés et d'une précision déconcertante.

Le système de veille sur les menaces de PowerDMARC, basé sur l'IA, analyse en permanence les schémas d'attaque sur l'ensemble des domaines, détectant en temps réel les anomalies d'authentification et les tentatives d'usurpation d'identité, avant que les campagnes générées par l'IA n'atteignent les boîtes de réception.

Protégez-vous contre les courriels d'hameçonnage

Le phishing sévit sur trop de canaux, s'adapte trop rapidement et tire parti des erreurs de jugement commises par les gens sous pression ; il est impossible d'y remédier. Voici comment vous protéger contre les e-mails de phishing : 

Meilleures pratiques organisationnelles

• Formation du personnel : Commencez par former vos employés et poursuivez cet effort. Il ne s'agit pas d'une simple vidéo ponctuelle, mais de véritables simulations, avec l'envoi de faux e-mails de hameçonnage au personnel, suivis de près, et un suivi ciblé pour toute personne qui clique. Le but n'est pas de prendre les gens en flagrant délit. Il s'agit d'instaurer le réflexe de prendre le temps de réfléchir avant de cliquer, et ce réflexe ne s'acquiert que par la répétition. Les sessions annuelles de sensibilisation à la sécurité ne suffisent pas à le développer.
• Réponse aux incidents : lorsqu’une faille se produit – et cela arrivera forcément –, la plupart des gens ne la signalent pas immédiatement par gêne, par incertitude ou parce qu’ils ne savent pas à qui s’adresser. La procédure de signalement doit être simple et fluide : un seul bouton, une seule adresse, une opération qui ne prend que dix secondes. Le délai entre le moment où l’on « clique » et celui où la situation est « maîtrisée » est plus crucial que la plupart des équipes ne le réalisent tant qu’elles ne s’y trouvent pas confrontées.
• Mesures techniques : le filtrage des e-mails et la protection des terminaux permettent de détecter les menaces connues. Un e-mail de spear phishing bien conçu provenant provenant d’un domaine enregistré hier ne figurera sur aucune liste de blocage. Cela ne signifie toutefois pas que le filtrage est inutile, mais qu’il n’est pas suffisant à lui seul.
• Procédures de signalement : des procédures d'escalade et des protocoles de communication clairs.
• Authentification des e-mails (DMARC, SPF, DKIM) : le contrôle spécifique à privilégier. Lorsqu’il est activé, DMARC empêche quiconque d’envoyer des e-mails qui passent l’authentification en tant que votre domaine. La plupart des organisations ont entendu parler de DMARC, mais seules quelques-unes sont passées de p=none à une application complète. PowerDMARC automatise cette transition ; consultez le détail dans la section ci-dessus.

Conseils pour prévenir le phishing au quotidien

• Faites preuve de méfiance : Vérifiez l'adresse d'expéditeur réelle, et non le nom affiché. Passez la souris sur les liens avant de cliquer dessus.
• Ne cliquez pas sur les liens suspects : Si un e-mail vous demande vos identifiants, vos coordonnées bancaires ou toute autre information sensible, et que cette demande suit normalement un autre processus, ce décalage est un signe d'alerte.
• Évitez de divulguer des informations sensibles : Aucune banque ne vous envoie de formulaire vous demandant de saisir votre mot de passe, et aucun service informatique ne vous demande de « vérifier votre connexion » en cliquant sur un lien.
• Vérifiez les demandes inhabituelles par un autre moyen : si un e-mail vous demande d'effectuer un virement bancaire, de fournir des informations de paiement ou de communiquer des données sensibles, appelez directement l'expéditeur en utilisant un numéro que vous avez déjà enregistré, et non celui indiqué dans l'e-mail.
• Maintenez vos logiciels à jour : Mettez régulièrement à jour votre système d'exploitation, votre logiciel antivirus et votre navigateur Web afin de corriger les failles de sécurité.
• Mettre en place l'authentification des e-mails : Déployer SPF, DKIMet DMARC sur votre domaine. Ensemble, ils vérifient les sources d'envoi et rejettent les e-mails non authentifiés avant qu'ils n'atteignent la boîte de réception. PowerDMARC simplifie ce processus sur plusieurs domaines grâce à SPF automatisé, au DKIM hébergé et à des tableaux de bord de reporting clairs.

Signaler les courriels d'hameçonnage

Si vous pensez avoir reçu un courriel d'hameçonnage, vous devez le faire :

1. Prévenez votre fournisseur de messagerie : la plupart des services de messagerie proposent des fonctionnalités permettant de signaler les e-mails de hameçonnage. Recherchez les options permettant de marquer les e-mails comme spam ou de signaler une tentative de hameçonnage.
2. Signalez-le aux organismes de lutte contre le phishing : des organismes tels que l'Anti-Phishing Working Group (APWG) ou l'Internet Crime Complaint Center (IC3) peuvent contribuer à la lutte contre les cybercriminels.
3. Informez l'entité dont l'identité a été usurpée : si un e-mail de phishing se fait passer pour une organisation réputée, prévenez-la afin qu'elle puisse prendre les mesures nécessaires pour protéger ses clients.

Enfin, optez pour une plateforme qui offre la visibilité, l'automatisation et l'assistance d'experts nécessaires pour protéger votre entreprise contre les menaces de phishing en constante évolution.

Contactez-nous dès aujourd'hui pour bénéficier d'une protection avancée contre le phishing et de nombreuses autres menaces par e-mail, et laissez-nous élaborer pour vous une stratégie qui donnera des résultats concrets !

Foire aux questions sur le phishing

Quels sont les exemples les plus courants d'e-mails de hameçonnage ?

Les e-mails de hameçonnage les plus courants comprennent les demandes urgentes de vérification de compte, les fausses notifications de loterie, les escroqueries liées à des mises à jour de sécurité, les demandes de virement bancaire et les propositions d'informations confidentielles. Ces e-mails jouent généralement sur l'urgence, la peur ou la cupidité pour inciter les destinataires à divulguer des informations sensibles ou à cliquer sur des liens malveillants.

Un escroc peut-il accéder à votre compte bancaire à l'aide de votre numéro de téléphone ?

Même si un numéro de téléphone ne permet pas à lui seul d'accéder directement à votre compte bancaire, les escrocs peuvent s'en servir pour mener des attaques par échange de carte SIM, recourir à l'ingénierie sociale ou tenter de contourner l'authentification multifactorielle. Ils peuvent également utiliser votre numéro de téléphone pour recueillir des informations personnelles supplémentaires par le biais d'appels de « vishing » (hameçonnage vocal) afin, à terme, d'accéder à vos comptes.

Comment les entreprises peuvent-elles se prémunir contre les attaques de type « Business Email Compromise » (BEC) ?

Les entreprises peuvent se prémunir contre le BEC grâce à des protocoles d'authentification des e-mails (DMARC, SPF, DKIM), à la formation des employés, à des procédures de vérification des transactions financières et à des systèmes avancés de détection des menaces. PowerDMARC offre une protection complète contre le BEC grâce à une surveillance en temps réel et à une réponse automatisée aux menaces.

Que dois-je faire si j'ai cliqué sur un lien de hameçonnage ?

Si vous avez cliqué sur un lien de phishing, déconnectez-vous immédiatement d'Internet, lancez une analyse antivirus complète, modifiez les mots de passe de tous vos comptes importants, surveillez vos comptes bancaires pour détecter toute activité suspecte et signalez l'incident à votre service informatique ou aux autorités compétentes. Pensez à mettre en place des mesures de sécurité supplémentaires, telles que l'authentification à deux facteurs.

En quoi les attaques de phishing basées sur l'IA diffèrent-elles des attaques traditionnelles ?

Les attaques de phishing basées sur l'IA sont plus sophistiquées : elles se caractérisent par une grammaire irréprochable, une hyper-personnalisation s'appuyant sur les données des réseaux sociaux et une capacité à s'adapter en temps réel. Elles peuvent inclure des éléments audio ou vidéo de type « deepfake » et sont conçues pour contourner les filtres de sécurité traditionnels grâce à des techniques de contournement basées sur l'apprentissage automatique.

• À propos de
• Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Politique anti-hameçonnage d'Office 365 : comment la configurer - 3 juin 2026
• Sécurité des agents IA : risques, bonnes pratiques et authentification des e-mails - 2 juin 2026
• PowerDMARC s'intègre désormais à HaloPSA - 1er juin 2026