Spear phishing / Whaling
Spear phishing
Le spear phishing (ou « hameçonnage ciblé ») est une attaque de phishing beaucoup plus ciblée et personnalisée que l’hameçonnage classique. Selon le ministère de l’Économie français : « cette méthode de piratage consiste à usurper l’identité d’un de vos contacts pour vous piéger » dans le but de vous inciter à ouvrir une pièce jointe malveillante ou à cliquer sur un lien frauduleux. Ministère de l’Économie
Contrairement au phishing générique qui envoie le même message à des milliers de personnes, le spear phishing « vise des individus spécifiques ». Ministère de l’Économie+1
Les cyberattaquants mènent une recherche approfondie sur leur cible afin que le message paraisse authentique : ils collectent des informations sur la victime (par exemple via les réseaux sociaux, des sites publics, l’entreprise), puis rédigent un e-mail qui semble provenir d’un contact de confiance. ThreatDown by Malwarebytes+2crowdstrike.com+2
Ces messages personnalisés sont souvent conçus pour créer un sentiment d’urgence : l’attaquant peut écrire quelque chose comme « merci de consulter ce document immédiatement » ou « votre compte sera désactivé si vous n’agissez pas tout de suite ». AVG.com
Une fois que la victime clique sur le lien ou ouvre la pièce jointe corrompue, l’attaquant peut subtiliser des identifiants, installer un logiciel malveillant, ou accéder à des systèmes sensibles. ThreatDown by Malwarebytes+1
D’après l’ITU (Union internationale des télécommunications) : « un message électronique frauduleux … contient suffisamment d’informations personnelles pour faire croire au destinataire que la source du message est authentique » ; le but est que la victime clique sur un lien ou ouvre une pièce jointe pour compromettre son appareil. ITU
Les conséquences peuvent être graves : « des vols de données sensibles, des fraudes financières ou encore des atteintes à la réputation. » Ministère de l’Économie
Enfin, comme le relève ThreatDown (Malwarebytes) : le spear phishing est une attaque d’ingénierie sociale, où l’attaquant adapte ses messages en fonction de la victime (fonction, collègues, centres d’intérêt) pour rendre l’attaque crédible. ThreatDown by Malwarebytes
Comment s’en protéger ?
Voici quelques recommandations (issues du site du ministère de l’Économie) :
- Mettre à jour régulièrement son système d’exploitation. Ministère de l’Économie
- Méfiez-vous des pièces jointes : certaines extensions comme
.exe,.bat,.vbs, etc., sont particulièrement risquées. Ministère de l’Économie - Utiliser un compte non administrateur pour les usages quotidiens, afin de limiter les risques. Ministère de l’Économie
- Vérifier les liens des e-mails : privilégier l’URL saisie directement dans la barre d’adresse et s’assurer qu’il s’agit bien d’un « https ». Ministère de l’Économie
- Activer un antivirus / pare-feu. Ministère de l’Économie
- Utiliser le filtre anti-spam de votre boîte mail. Ministère de l’Économie
Whaling (chasse à la baleine)
Le whaling est une forme spécialisée de spear phishing : il ne cible pas des employés ordinaires, mais des dirigeants ou des cadres de haut niveau (par exemple des PDG, des directeurs financiers). kaspersky.fr+1
Kaspersky explique : « les cybercriminels … ciblent directement la haute direction … afin de voler de l’argent, des informations sensibles ou d’avoir accès à leurs systèmes informatiques » en usurpant l’identité d’une personne de confiance. kaspersky.fr
Selon la gendarmerie (relaté par la SFPF), « le ‘whaling’ … vise spécifiquement les hauts dirigeants d’entreprises. Les cybercriminels utilisent des informations détaillées pour personnaliser leurs attaques, augmentant ainsi leur crédibilité et maximisant leurs chances de tromper leurs victimes. » sfpf.fr
Le whaling utilise plusieurs techniques :
- Spoofing d’adresse e-mail : l’attaquant envoie un e-mail soi-disant émis par un supérieur hiérarchique (par exemple le PDG), avec une pièce jointe ou un lien malveillant. ancs.tn
- Ingénierie sociale : l’attaquant exploite la confiance crée entre le haut dirigeant et ses collaborateurs, et peut recueillir des informations personnelles sur la victime (via les réseaux sociaux par exemple) pour rendre le message très crédible. ancs.tn
Les conséquences des attaques de whaling peuvent être particulièrement graves : un virement frauduleux d’une grosse somme d’argent, la divulgation de secrets stratégiques ou confidentiels, ou l’accès à des systèmes critiques. La gendarmerie recommande des protocoles de vérification renforcés : « chaque email impliquant des informations sensibles ou des transactions financières doit maintenant être validé par plusieurs canaux. » sfpf.fr
Comment se protéger du whaling ?
Voici quelques mesures de prévention :
- Sensibiliser et former les dirigeants et cadres supérieurs aux risques de l’ingénierie sociale. ancs.tn
- Mettre en place des processus de validation stricts pour les demandes sensibles (par exemple les virements financiers) : plutôt que de faire tout par email, envisager une double vérification via un appel téléphonique ou une réunion physique. kaspersky.fr+1
- Modifier les procédures internes pour que deux personnes (ou plus) soient impliquées dans la validation des transactions importantes, afin de limiter les risques d’arnaques. kaspersky.fr
Conclusion
- Le spear phishing est une attaque très ciblée, qui joue sur la personnalisation et l’ingénierie sociale pour tromper la victime.
- Le whaling est une variante haut de gamme : les attaquants ciblent les dirigeants d’entreprise, car ils sont des « cibles de grande valeur » (métaphoriquement des « baleines »).
- Dans les deux cas, la recherche préalable sur la victime est essentielle pour l’attaquant, et la vigilance + la formation sont les meilleures défenses côté entreprise.
