Le phishing (hameçonnage) est la porte d'entrée numéro un des cyberattaques : au lieu de forcer une machine, l'attaquant manipule une personne pour qu'elle ouvre la porte elle-même. Cette page explique ce qu'est le phishing et l'ingénierie sociale, pourquoi ces attaques fonctionnent si bien, leurs formes (du mail de masse au smishing par SMS), et surtout comment vous en protéger, côté technique et côté humain. Elle s'adresse à toute personne qui veut comprendre le vecteur d'attaque le plus courant, sans prérequis technique.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »L'ingénierie sociale exploite une faille qu'aucun correctif ne comble : l'humain. Le phishing en est la forme la plus répandue. Concrètement, vous saurez :
- Définir le phishing et l'ingénierie sociale, et voir en quoi ils diffèrent.
- Comprendre les ressorts psychologiques qui rendent ces attaques efficaces.
- Reconnaître les formes courantes : spear phishing, whaling, smishing, vishing, quishing, fraude au président (BEC).
- Déployer des défenses concrètes : MFA résistante au phishing, authentification des e-mails (SPF, DKIM, DMARC), filtrage, sensibilisation.
- Relier ce vecteur au modèle de menaces SOCLE, où le phishing sert souvent de première marche vers une compromission de la chaîne logicielle.
Qu'est-ce que le phishing et l'ingénierie sociale
Section intitulée « Qu'est-ce que le phishing et l'ingénierie sociale »L'ingénierie sociale désigne toute manipulation qui pousse une personne à agir contre son intérêt : divulguer un mot de passe, valider un paiement, installer un logiciel. Elle ne vise pas une faille technique, mais un comportement humain. Le phishing en est la déclinaison la plus courante : un message frauduleux qui se fait passer pour une source de confiance afin de récupérer des informations ou de faire cliquer sur un lien piégé.
L'analogie est celle de l'escroc au faux agent : plutôt que de crocheter votre serrure, il sonne, se présente comme un technicien attendu, et vous lui ouvrez. Le système de sécurité n'a pas été forcé, il a été contourné par la confiance. Le phishing applique cette ruse à grande échelle, par e-mail, SMS ou téléphone.
Ce vecteur domine parce qu'il est peu coûteux et rentable : envoyer un
million d'e-mails ne coûte presque rien, et il suffit qu'une poignée de
destinataires morde. Dans le référentiel MITRE ATT&CK, le phishing porte
l'identifiant T1566, rangé dans la
tactique d'accès initial.
Pourquoi ces attaques fonctionnent
Section intitulée « Pourquoi ces attaques fonctionnent »Le phishing ne mise pas sur la naïveté, mais sur des réflexes normaux que l'attaquant détourne. Comprendre ces leviers, c'est déjà savoir résister.
- Autorité : un message qui semble venir d'un dirigeant, de la banque ou du service informatique désactive l'esprit critique. On obéit à une figure d'autorité.
- Urgence et peur : « votre compte sera suspendu dans 24 h » pousse à agir vite, donc sans réfléchir. La précipitation est l'alliée de l'attaquant.
- Confiance et habitude : un message imitant un outil que vous utilisez tous les jours (messagerie, service de paie) passe sous le radar.
- Curiosité et appât du gain : une fausse facture, un colis en attente, une prime inattendue incitent à cliquer pour en savoir plus.
Ces ressorts expliquent pourquoi la formation seule ne suffit pas : sous pression ou fatigue, n'importe qui peut se faire piéger. La défense doit donc combiner barrières techniques et vigilance humaine.
Les formes de phishing
Section intitulée « Les formes de phishing »Le phishing s'est spécialisé. Distinguer ses formes aide à repérer l'attaque et à calibrer la parade.
| Forme | Canal | Cible | Particularité |
|---|---|---|---|
| Phishing de masse | Tout le monde | Volume élevé, peu personnalisé | |
| Spear phishing | Personne précise | Message sur mesure, très crédible | |
| Whaling | Dirigeants | Vise les « gros poissons » à fort pouvoir | |
| BEC (fraude au président) | Finance, RH | Ordre de virement ou de données urgent | |
| Smishing | SMS | Mobile | Faux colis, faux impôts, faux support |
| Vishing | Téléphone | Voix | Faux conseiller, pression en direct |
| Quishing | QR code | Mobile | Le lien piégé se cache dans un QR code |
Le spear phishing et le BEC sont les plus dangereux en entreprise : très ciblés, ils s'appuient sur des informations réelles (organigramme, projet en cours) collectées pendant la phase de reconnaissance. Un e-mail qui reprend le nom de votre responsable et un dossier réel est difficile à distinguer d'un vrai.
Anatomie d'une campagne
Section intitulée « Anatomie d'une campagne »Une attaque de phishing suit un schéma constant, ce qui donne autant de points d'interruption.
Le message arrive lors de la phase de livraison de la kill chain. S'il aboutit à une saisie d'identifiants sur une fausse page, l'attaquant récupère un accès valide et enchaîne, sans avoir eu à exploiter la moindre vulnérabilité logicielle. C'est ce qui rend le phishing si efficace : il saute les défenses périmétriques en passant par un utilisateur légitime.
Comment se protéger
Section intitulée « Comment se protéger »Aucune mesure unique ne suffit. Une défense solide empile des contrôles techniques et une culture de vigilance.
Barrières techniques
Section intitulée « Barrières techniques »- MFA résistante au phishing : c'est la parade la plus efficace. Les passkeys et WebAuthn/FIDO2 lient l'authentification au site légitime : même si l'utilisateur saisit ses identifiants sur une fausse page, l'attaquant ne peut pas rejouer la connexion. À l'inverse, la MFA par SMS se contourne (voir l'incident plus bas).
- Authentification des e-mails : les enregistrements SPF, DKIM et DMARC permettent de vérifier qu'un message provient bien du domaine annoncé et de rejeter les usurpations. Voir les fondamentaux de l'e-mail.
- Filtrage et isolation : passerelle de messagerie qui bloque les pièces jointes exécutables, proxy web qui filtre les domaines connus, isolation du navigateur pour ouvrir les liens douteux dans un bac à sable.
Barrière humaine
Section intitulée « Barrière humaine »- Sensibilisation régulière et concrète, ancrée sur des exemples réels plutôt que sur des règles abstraites.
- Simulations de phishing (avec des outils comme GoPhish) pour mesurer l'exposition et entraîner les réflexes, sans culpabiliser les personnes qui cliquent.
- Culture du signalement : un bouton « signaler un e-mail » qui permet de remonter un doute en un clic vaut mieux qu'une personne qui se tait par peur d'avoir mal agi.
- Vérification hors bande pour tout ordre sensible (virement, changement de RIB) : rappeler la personne sur un numéro connu. C'est la parade directe contre le BEC.
Reconnaître un message de phishing
Section intitulée « Reconnaître un message de phishing »Aucun signe n'est infaillible, mais leur accumulation doit alerter.
- Expéditeur dont l'adresse réelle ne correspond pas au nom affiché.
- Ton jouant sur l'urgence, la menace ou une récompense.
- Lien dont l'URL réelle (au survol) diffère du texte affiché.
- Demande inhabituelle : identifiants, virement, installation d'un logiciel.
- Pièce jointe inattendue, surtout un fichier exécutable ou une macro.
- Incohérences de langue, de logo ou de mise en forme, de plus en plus rares avec les outils d'IA générative qui produisent des messages soignés.
Phishing et supply chain
Section intitulée « Phishing et supply chain »Le phishing n'est pas qu'une menace pour le grand public : c'est souvent la première marche vers une attaque de la chaîne logicielle. Compromettre le compte d'un mainteneur de paquet open source par hameçonnage permet ensuite de publier une version piégée, distribuée à des milliers de projets.
Deux incidents réels du référentiel l'illustrent. Chez Retool, un phishing par SMS couplé à de l'ingénierie sociale a permis de contourner une MFA basée sur SMS et d'accéder à des comptes clients. Côté écosystème, plusieurs vagues de paquets npm compromis ont commencé par le hameçonnage de mainteneurs. C'est pourquoi le modèle de menaces SOCLE traite le compte de développeur et le poste de travail comme des cibles de premier plan.
À retenir
Section intitulée « À retenir »-
Le phishing exploite l'humain, pas la machine : il contourne les défenses techniques en passant par un utilisateur légitime.
-
Il joue sur des réflexes normaux, autorité, urgence, confiance : n'importe qui peut se faire piéger, la formation seule ne suffit pas.
-
Ses formes se sont spécialisées, du spear phishing ciblé au smishing, au vishing et à la fraude au président (BEC).
-
La MFA résistante au phishing est la meilleure parade technique : les passkeys neutralisent le vol d'identifiants, là où la MFA par SMS se contourne.
-
La défense empile technique et humain : SPF/DKIM/DMARC, filtrage, sensibilisation, signalement, et vérification hors bande contre le BEC.
-
C'est un point d'entrée vers la supply chain : le hameçonnage d'un mainteneur ouvre la voie à un paquet piégé. Le modèle de menaces SOCLE relie ce vecteur aux contrôles qui le neutralisent.