Les vulnérabilités du VPN vous préoccupent ? Découvrez comment profiter de notre solution de migration VPN qui inclut 60 jours de service gratuit.

Parler à un expert

Qu’est-ce que le phishing ?

Les attaques de phishing sont une catégorie de cyberattaques qui recourent à des techniques trompeuses « d’ingénierie sociale » pour inciter les personnes à divulguer des informations sensibles, à transférer des sommes d’argent, etc. Les tentatives de phishing sont généralement déguisées en interactions inoffensives qui incitent les victimes à faire confiance au hacker ; elles peuvent avoir divers objectifs, du simple profit à l’espionnage industriel.

Télécharger le rapport ThreatLabz 2022 sur le phishing

Comment fonctionne le phishing ?

La façon la plus simple de commettre un vol est probablement de convaincre les victimes qu’elles ne sont absolument pas victimes d’un vol. Tel est le modèle de base de l’escroc qui pratique le phishing.

Les attaques de phishing commencent par un e-mail, un appel téléphonique, un message SMS, une publication sur les réseaux sociaux, ou autre, qui semble émaner d’une source digne de confiance. À partir de là, le hacker peut poursuivre toutes sortes d’objectifs finaux, comme inciter la victime à fournir des informations sur son compte, à effectuer un virement PayPal, à télécharger un malware déguisé, etc.

Prenons un exemple courant. La victime reçoit un e-mail ou un SMS de ce qui semble être sa banque. Le message de phishing mentionne une offre spéciale qui arrive à expiration, une présomption d’usurpation d’identité ou autre, et demande à la victime de se connecter à son compte bancaire. Il renvoie à une fausse page Web de connexion, et la victime communique involontairement au hacker ses identifiants de connexion.

Cette attaque, comme la plupart des attaques de phishing, crée habilement un sentiment d’urgence qui incite la victime à baisser sa garde au lieu de prendre le temps d’examiner le message afin de déterminer s’il est suspect. Toutefois, ceci est plus facile à dire qu’à faire, car les hackers disposent de nombreuses astuces.

Types d’attaques de phishing

Les hackers ont inventé une panoplie de techniques de phishing afin d’exploiter des technologies, tendances, secteurs et utilisateurs divers. Voici un aperçu des types les plus courants :

  • Phishing par e-mail : un e-mail provenant d’un expéditeur apparemment légitime tente d’inciter le destinataire à suivre un lien malveillant et/ou à télécharger un fichier infecté. L’adresse e-mail et toute URL figurant dans un e-mail de phishing peuvent être usurpées afin de paraître légitimes.
  • Smishing/phishing par SMS : par le biais d’un SMS, les hackers tentent d’inciter les victimes à communiquer des informations personnelles, telles que des numéros de carte de crédit ou autres numéros de compte.
  • Vishing/phishing vocal : équivalentes au smishing, mais effectuées par appel téléphonique, ces attaques visent à obtenir des informations sur les cartes de crédit ou d’autres détails sensibles.
  • Angler phishing : se faisant passer pour des entreprises légitimes sur les réseaux sociaux, les hackers sollicitent les informations personnelles des victimes, souvent en leur proposant des cartes cadeaux, des réductions, etc.
  • Pop-up phishing : cette attaque courante sur les smartphones utilise une offre ou un message de mise en garde qui apparaît dans une fenêtre pop-up et contient généralement un lien malveillant pour amener les victimes à divulguer des données personnelles.
  • Spear phishing : alors que de nombreuses escroqueries par phishing ciblent des victimes au hasard, les attaques de type spear phishing visent des personnes spécifiques dont le hacker connaît déjà, dans une certaine mesure, les données personnelles. Ce détail supplémentaire peut considérablement augmenter les chances de réussite du phishing.
  • Whaling : les hackers ciblent des cadres ou d’autres membres importants d’une entreprise pour tenter d’obtenir des informations qui leur donneront un accès privilégié à l’environnement ciblé.
  • Clone phishing : les auteurs de phishing envoient à leurs victimes des e-mails qui semblent provenir d’expéditeurs en qui la victime a confiance, tels que des institutions financières ou des services aux entreprises. Ce type de phishing est étroitement lié au spear phishing et constitue une tactique courante dans les attaques de type « business email compromise » (BEC ou tentatives d’escroquerie ciblant la messagerie professionnelle).
  • Evil twin phishing : les hackers piègent les victimes en leur présentant un point d’accès Wi-Fi qui semble digne de confiance, puis mènent des attaques de type « man in the middle », interceptant les données que les victimes transfèrent via la connexion.
  • Pharming : les hackers piratent les fonctionnalités d’un serveur DNS (Domain Name System) afin qu’il redirige les utilisateurs vers un faux site Web malveillant, même s’ils saisissent une URL inoffensive.

Dans quelle mesure les attaques de phishing sont-elles dangereuses ?

Les attaques de phishing peuvent se révéler extrêmement dangereuses. Les grandes campagnes de phishing peuvent toucher des millions de personnes, dérober des données sensibles, implanter des ransomwares et autres malwares, mais également accéder aux zones les plus sensibles des systèmes d’une entreprise.

Les risques pour toute victime de phishing sont nombreux, notamment la perte ou la compromission de données sensibles ; les entreprises sont également confrontées à d’éventuelles atteintes à leur réputation et à des problèmes réglementaires.

En quoi le phishing affecte-t-il les entreprises ?

Les conséquences d’une attaque de phishing efficace peuvent être graves et d’une grande ampleur pour les entreprises. La compromission d’un compte bancaire d’entreprise peut entraîner des pertes financières. La perte de données peut être la conséquence d’une tentative de phishing qui aboutit à une attaque par ransomware. Une entreprise peut subir une atteinte majeure à sa réputation à la suite d’une divulgation publique de données sensibles.

Par ailleurs, chacun de ces éléments peut entraîner des conséquences encore plus graves par la suite. Les cybercriminels peuvent vendre les données volées sur le Dark Web, notamment à des concurrents peu scrupuleux. De surcroît, de nombreuses violations devront être divulguées à des organismes de réglementation sectoriels ou gouvernementaux susceptibles d’infliger des amendes ou d’autres sanctions. L’entreprise pourrait même être impliquée dans des enquêtes sur la cybercriminalité, ce qui peut leur faire perdre beaucoup de temps et attirer une attention négative.

Comment protéger mon entreprise contre les attaques de phishing ?

Fort heureusement, la plupart des types de phishing peuvent être stoppés pour peu que vous preniez les précautions qui s’imposent. En d’autres termes :

  • Utilisez des contre-mesures de cybersécurité efficaces. Les solutions antivirus et antiphishing modernes, combinés à des filtres anti-spam efficaces, permettront de déjouer un grand nombre de tentatives de phishing.
  • Maintenez vos systèmes d’exploitation et vos navigateurs à jour. Les fournisseurs de logiciels corrigent régulièrement les nouvelles vulnérabilités de leurs produits, sans quoi votre système sera exposé.
  • Protégez vos données avec des sauvegardes automatiques. Instaurez un processus régulier de sauvegarde des données du système afin de pouvoir récupérer les données en cas de violation.
  • Recourez à l’authentification multifacteur (MFA) avancée. Les stratégies Zero Trust telles que la MFA créent des couches de défense supplémentaires entre les hackers et vos systèmes internes.
  • Sensibilisez vos utilisateurs. Les cybercriminels inventent constamment de nouvelles stratégies, et les protections de messagerie électronique ne peuvent pas tout détecter. Vos utilisateurs et votre entreprise dans son ensemble seront plus en sécurité si tous les utilisateurs comprennent comment identifier les e-mails suspects et signaler le phishing.

Quels sont les signes révélateurs du phishing ?

En matière de phishing, les utilisateurs les mieux protégés sont ceux qui savent comment éviter de se faire piéger. Bien qu’un bref résumé ne remplace pas une formation ciblée de sensibilisation à la sécurité, voici quelques signes clés révélateurs d’une tentative de phishing :

  • Divergences dans les noms de domaine : les adresses e-mail et les domaines Web peuvent présenter des incohérences. Par exemple, vous recevez un e-mail prétendant provenir d’une marque connue, mais l’adresse e-mail ne correspond pas forcément.
  • Fautes d’orthographe : bien que les attaques de phishing soient devenues beaucoup plus efficaces, les messages renferment encore souvent des fautes d’orthographe ou de grammaire.
  • Salutations peu familières : le style de la formule de politesse ou de la signature peut parfois être un indice révélateur de quelque chose d’anormal. Soyez prudent si quelqu’un qui commence toujours ses messages par « Bonjour ! » dit soudain « Cher ami » à la place.
  • Message court et aimable : les e-mails de phishing contiennent souvent peu d’informations et misent sur l’ambiguïté pour tromper le discernement des victimes. Si trop de détails importants sont manquants, cela peut être le signe d’une tentative de phishing.
  • Demandes inhabituelles : un e-mail vous demandant de faire quelque chose d’inhabituel, en particulier sans explication, constitue un signal d’alarme. Par exemple, une tentative de phishing pourrait prétendre provenir de votre équipe informatique et vous demander de télécharger un fichier sans en préciser la raison.

Phishing et télétravail

Une enquête réalisée en 2021 auprès des responsables de la sécurité informatique d’entreprises révèle que 80 % d’entre eux considèrent que les personnes en télétravail risquent davantage d’être victimes d’attaques de phishing. Malgré cela, de nombreuses entreprises dépendent encore de protocoles de sécurité insuffisants. La plupart d’entre elles devant continuer à privilégier le télétravail ou le travail hybride pour au moins une partie de leurs effectifs après la fin de la pandémie de COVID-19, elles courent le risque d’être exposées à des vulnérabilités.

Les travailleurs distants utilisent souvent des logiciels de sécurité moins sophistiqués à leur domicile qu’au bureau. Ils sont également susceptibles d’utiliser des clients de messageries personnels ou d’autres comptes qui ne sont pas sous le contrôle de l’équipe informatique de leur entreprise. En outre, n’étant pas soumis aux contrôles internes de l’entreprise, les employés distants ne sont pas toujours contraints d’adopter une bonne hygiène de sécurité, et les responsables informatiques peuvent éprouver des difficultés, voire se trouver dans l’impossibilité, de contrôler ou de faire respecter ces règles.

Pour garantir votre sécurité à l’ère du télétravail, vous devez disposer d’un système de sécurité capable de répondre aux besoins d’un personnel plus mobile et décentralisé.

Protection contre le phishing avec Zscaler

Étant donné qu’elle repose sur l’exploitation de la nature humaine, la compromission des utilisateurs est l’un des défis de sécurité les plus difficiles à relever. Pour détecter les violations actives et minimiser les dommages qu’elles peuvent causer en cas de succès, vous devez déployer des contrôles efficaces de prévention du phishing dans le cadre d’une stratégie Zero Trust plus large.

La plateforme Zscaler Zero Trust Exchange™ s’appuie sur une architecture Zero Trust globale pour minimiser la surface d’attaque, empêcher les compromissions, éliminer les déplacements latéraux et arrêter la perte de données. Elle permet de stopper le phishing par différents moyens :

  • En prévenant les attaques : des fonctionnalités telles que l’inspection TLS/SSL complète, l’isolation du navigateur et le contrôle d’accès basé sur des règles empêchent l’accès à partir de sites Web malveillants.
  • En prévenant les déplacements latéraux : une fois dans votre système, les malwares peuvent se propager et causer encore plus de dégâts. Avec Zero Trust Exchange, les utilisateurs se connectent directement aux applications, et non à votre réseau, de sorte que les malwares ne peuvent pas se propager à partir de celles-ci.
  • En arrêtant les menaces internes : notre architecture de proxy cloud bloque les tentatives d’exploitation des applications privées et détecte même les techniques d’attaque les plus sophistiquées grâce à l’inspection inline complète.
  • En arrêtant la perte de données : Zero Trust Exchange inspecte les données en mouvement et au repos pour empêcher le vol potentiel de données par un hacker actif.

Découvrez le Zero Trust Exchange pour comprendre comment une architecture Zero Trust complète peut contribuer à protéger votre entreprise contre les attaques de phishing.

Ressources suggérées

  • Rapport ThreatLabz 2022 sur le phishing — Infographie

  • Webinaire : Analyse approfondie des tendances du phishing

  • L’attaque de phishing AitM cible les utilisateurs de Gmail en entreprise

FAQs

Comment reconnaître un e-mail de phishing ?

Les e-mails de phishing peuvent comporter des fautes d’orthographe, des domaines de messagerie ou Web qui ne correspondent pas, ou un langage légèrement étrange ou maladroit. Ils peuvent également contenir des demandes inhabituelles.

Comment signaler les e-mails de phishing ?

En interne, il est judicieux de mettre en place un mécanisme de signalement permettant au personnel d’informer les équipes informatiques et de sécurité de l’existence de nouvelles menaces. Ces équipes peuvent alors déterminer la prochaine action appropriée, notamment le signalement aux fournisseurs de services qui peuvent être en mesure de corriger la vulnérabilité et, dans les cas graves, peuvent même justifier un signalement à un organisme tel que la Commission fédérale du commerce des États-Unis (Federal Trade Commission).

À quel point le phishing est-il répandu ?

Le phishing est extrêmement courant. Conséquence de l’essor du télétravail, les attaques de phishing ont atteint un niveau record. Environ un quart de tous les incidents de cybercriminalité proviennent d’une forme ou d’une autre de hacking.

Quelles marques les hackers utilisent-ils le plus souvent ?

Selon un rapport récent, les grandes marques telles que Microsoft, DHL, LinkedIn et WhatsApp sont les plus susceptibles d’être usurpées dans les attaques de phishing.

Qui sont les victimes du phishing ?

Les victimes peuvent être aussi bien des particuliers que de grandes entreprises. Les cybercriminels peuvent également cibler des cadres supérieurs afin d’accéder à des données financières telles que les cartes de crédit de l’entreprise.

Quelles sont les principales motivations des attaques de phishing ?

La plupart du temps, la motivation ultime d’un auteur de phishing est de dérober de l’argent et/ou des données (par exemple, données de santé, propriété intellectuelle ou autres informations exclusives). Le vol d’identifiants de connexion, de numéros de compte, d’informations sur les cartes de crédit, etc. est un moyen d’obtenir l’accès privilégié dont les hackers ont besoin pour parvenir à leurs fins.

Qu’est-ce que le spear phishing ?

Les attaques de spear phishing ciblent des personnes spécifiques dont le hacker connaît déjà, dans une certaine mesure, les données personnelles, contrairement aux escroqueries de phishing non ciblées qui ciblent des victimes au hasard. Les informations complémentaires qui font généralement partie d’une tentative de spear phishing peuvent considérablement augmenter les chances de réussite de la tentative de phishing.

Qu’est-ce que le clone phishing ?

Dans le cadre d’attaques de clone phishing, les victimes reçoivent des messages (par exemple, via SMS, e-mail ou message sur les réseaux sociaux) qui semblent provenir d’expéditeurs en qui elles ont confiance, tels que des institutions financières ou des services aux entreprises. Ce type de phishing est étroitement lié au spear phishing et constitue une tactique courante dans les attaques de type « business email compromise » (BEC ou tentatives d’escroquerie ciblant la messagerie professionnelle).

Qu’est-ce que le whaling ?

Le whaling est un type particulier de phishing dans le cadre duquel les hackers s’adressent à des cibles jouissant de privilèges élevés, telles que des cadres dirigeants ou d’autres membres importants d’une entreprise, dans le but d’obtenir des informations qui leur donneront un accès privilégié à l’environnement ciblé.