Spear phishing / Whaling
1. Spear Phishing
– Qu’est-ce que le Spear Phishing ?
Le spear phishing est une forme ciblée de phishing. Selon le ministère français de l’Économie : « Cette méthode de piratage consiste à se faire passer pour une personne connue pour vous piéger » en vous incitant à ouvrir une pièce jointe malveillante ou à cliquer sur un lien frauduleux.
Contrairement aux campagnes de phishing larges, le spear phishing « cible des individus spécifiques au sein d’une entreprise ».
– Comment cela fonctionne
Les cyberattaquants effectuent des recherches détaillées sur leur cible afin que leur message paraisse légitime — ils collectent des informations via des sources publiques (réseaux sociaux, sites web d’entreprise) ou d’autres renseignements.
Ils envoient ensuite un e-mail hautement personnalisé, se faisant souvent passer pour un contact de confiance.
Comme l’explique la NPSA britannique : « Un adversaire utilise des sources d’informations… pour constituer un profil d’une personne cible… Plus il dispose d’informations… plus la chance que l’e-mail de Spear Phishing soit perçu comme légitime est grande. »
– Objectifs et effets
Le but de l’attaquant peut être de convaincre la victime de :
– ouvrir un lien ou une pièce jointe malveillante (pouvant installer un malware),
– divulguer des identifiants ou des données sensibles,
– effectuer une transaction frauduleuse.
Ces attaques exploitent des traits humains — par exemple, l’envie d’aider, le respect de l’autorité ou la curiosité pour l’actualité ou les sujets financiers.
– Risques
Le spear phishing est particulièrement dangereux car il est très convaincant et contourne de nombreuses protections classiques.
Les victimes risquent :
– le vol de données,
– la fraude financière,
– ou un accès plus large au réseau de l’organisation.
– Comment se protéger
Recommandations du ministère de l’Économie :
– Maintenir votre système à jour (pour combler les failles de sécurité),
– Se méfier des pièces jointes avec des extensions risquées (.exe, .bat, .vbs…),
– Utiliser un compte utilisateur sans droits administratifs pour les tâches quotidiennes,
– Vérifier attentivement les liens avant de cliquer ; taper l’URL directement et s’assurer qu’elle commence par « https »,
– Utiliser un antivirus ou un pare-feu,
– Activer les filtres anti-spam dans votre client e-mail.
2. Whaling (Fraude au CEO / Executive Phishing)
– Qu’est-ce que le Whaling ?
Le whaling est une forme spécialisée de spear phishing. Il cible spécifiquement les personnes haut placées comme les CEO ou CFO.
Comme le décrit Kaspersky : les attaquants « se font passer pour un dirigeant afin de cibler directement des personnes importantes … dans le but de voler de l’argent ou des informations sensibles ».
Selon TechTarget : « L’objectif de l’attaquant est de manipuler la victime pour qu’elle autorise des virements importants à son profit. »
– Techniques utilisées
Les attaques de whaling utilisent souvent :
– L’usurpation d’adresse e-mail (pour que le message semble provenir d’un dirigeant légitime),
– Le social engineering basé sur des informations personnelles ou spécifiques à l’entreprise, rendant les messages très crédibles.
Ces e-mails ou sites web falsifiés sont fortement personnalisés et incluent souvent le nom, le poste ou d’autres informations pertinentes sur la cible.
– Risques
Étant donné que les cibles sont des personnes haut placées, les risques sont élevés :
– Virements inanciers non autorisés,
– Exposition de données sensibles de l’entreprise,
– Accès aux systèmes internes.
– Défenses / Comment se protéger
Pour se protéger contre le whaling :
– Former les dirigeants aux risques de phishing et de social engineering,
– Mettre en place des procédures strictes de vérification pour toute demande financière (ex. confirmation par téléphone ou en personne),
– Utiliser une autorisation à plusieurs personnes pour les transactions importantes.
3. Conclusion
– Le spear phishing est une attaque très ciblée, qui joue sur la personnalisation et l’ingénierie sociale pour tromper la victime.
– Le whaling est une variante haut de gamme : les attaquants ciblent les dirigeants d’entreprise, car ils sont des « cibles de grande valeur » (métaphoriquement des « baleines »).
– Dans les deux cas, la recherche préalable sur la victime est essentielle pour l’attaquant, et la vigilance + la formation sont les meilleures défenses côté entreprise.
(techtarget.com)
(economie.gouv.fr)
(kaspersky.com)