Promo % Promo Promo de Noël Promo Promo % Promo Promo Promo de Noël Promo Promo % Promo Promo Promo de Noël

Qu’est-ce que l’harponnage ?

Benjamin Scott
spear phising

Entreprises piratées au moyen d’un seul e-mail. Sommes astronomiques volées ou payées en rançon. Tout cela parce qu’un employé a cliqué sur un lien malveillant. Malheureusement, les attaques par hameçonnage, ou phishing, touchent de nombreuses entreprises chaque année. Elles sont difficiles à prévenir, mais en apprenant à identifier chaque type de phishing, vous pourrez les repérer avant qu’il ne soit trop tard. Étudions donc la question de l’harponnage, ou spear phishing.

Comment fonctionne une attaque par harponnage ?

Lorsqu’un attaquant veut voler de l’argent à une entreprise ou installer des logiciels malveillants dans ses systèmes, il est susceptible de cibler le maillon le plus faible : les employés. Il choisit une personne qui a assez de pouvoir et de capacité d’accès au sein de l’entreprise et essaient d’en savoir le plus possible sur elle.

Cela peut se faire via ses réseaux sociaux ou ceux de ses amis. Les tweets, les stories Instagram publiques et les balises de géolocalisation peuvent être très pratiques lorsqu’on cherche à connaître le profil de quelqu’un. Même le site Web de l’entreprise peut être une source utile, sans parler de ce qu’un attaquant peut découvrir en écoutant la communication en ligne de sa cible.

Une fois qu’il connaît bien la personne, il peut l’imiter dans les messages par e-mail qu’il envoie à ses collègues. Il peut également écrire à la cible, en faisant semblant d’être un client important et en demandant des faveurs ou des travaux mineurs à réaliser.

Ce ciblage sélectif est la raison pour laquelle ce type d’attaque est appelé harponnage. Comme un pêcheur qui utilise un harpon pour attraper un seul gros poisson, l’attaquant utilise l’ingénierie sociale sur mesure pour inciter une personne à accomplir une action.

Harponnage et hameçonnage

L’hameçonnage est l’attaque d’ingénierie sociale la plus courante. Une attaque de phishing classique vise le grand public, les personnes qui utilisent un service particulier, etc. Les attaquants envoient des centaines, voire des milliers d’e-mails, en espérant qu’au moins quelques personnes y répondront. La plupart d’entre eux sont mal écrits, avec des polices étranges et sont bourrés de fautes de frappe.

L’harponnage, en revanche, implique des recherches et beaucoup de préparation. Les attaquants ciblent une personne en particulier, de sorte qu’ils passent plus de temps à travailler leur e-mail d’harponnage pour qu’il semble vrai. Ces contrefaçons sont si bien conçues qu’elles peuvent être difficiles à repérer, même pour un professionnel, sans parler des personnes qui doivent consulter des dizaines d’e-mails chaque jour. Cette tactique est plus difficile à mettre en œuvre que les tentatives d’hameçonnage ordinaires. Mais si le pirate réussit, il obtient toutes les informations et l’accès dont il a besoin pour finaliser son attaque.

Exemple d’harponnage

Imaginez que vous recevez un e-mail professionnel de ce type : « Bonjour Marie, pourriez-vous vous occuper de cette facture s’il vous plaît ? Merci ! » Si vous vous appelez Marie, que vous vous occupez souvent des factures dans l’entreprise et que votre patron termine toujours ses e-mails par un « Merci ! », vous téléchargerez la facture jointe et effectuerez le virement.

Vous découvrirez peut-être quelques heures plus tard ou même le lendemain qu’il s’agissait d’un faux e-mail, mais cela ne remboursera pas l’argent à l’entreprise. L’attaquant aura surveillé les e-mails de votre patron, découvert qui était responsable des factures, l’adresse e-mail de cette personne, son nom et écrit une lettre, copiant parfaitement le ton du patron en question. Il aura usurpé le nom de l’expéditeur et envoyé le message. La seule chose qui aurait pu le trahir est l’adresse e-mail. Cependant, les personnes ne la vérifient généralement pas dans chaque message reçu.

Comment éviter l’harponnage ?

Les entreprises et les organisations sont les cibles les plus courantes d’attaques par harponnage. Plusieurs mesures peuvent être prises par les entreprises pour réduire le risque d’harponnage. Mais l’essentiel réside dans la formation du personnel.

Que vous externalisiez vos opérations informatiques ou que vous ayez un service informatique interne, parlez aux personnes responsables de vos systèmes de messagerie. Vérifiez les mesures et outils standard tels que les filtres anti-spam, les antivirus et les filtres de navigateur. Les recommandations du type « ne pas cliquer, ne pas télécharger » ne sont pas concevables si vous devez traiter de nombreuses factures chaque jour. Essayez donc de changer le processus. Par exemple, demandez à au moins deux personnes de confirmer toute transaction financière avant d’effectuer un virement.

De même, les entreprises devraient dans la mesure du possible encourager leurs employés à utiliser l’authentification à deux facteurs. De cette façon, même si un mot de passe fuite, le compte qui lui est associé reste sûr, car l’attaquant ne pourra pas y accéder sans le deuxième facteur. Cela peut demander une période d’acclimatation, en particulier pour les employés les moins technophiles, mais cela en vaut la peine à long terme. Vous pouvez être assuré que même si quelqu’un est trompé par un e-mail d’hameçonnage, les comptes de l’entreprise resteront en sécurité.

Une autre dimension importante : la culture d’entreprise. De nombreux employés ont du mal à s’imposer face à leur patron. Par conséquent, s’ils reçoivent un e-mail d’harponnage, ils feront tout ce qui leur est demandé, sans remettre en questions les motivations. Il est difficile de se défaire de cette habitude, car il faut changer la façon dont les personnes communiquent entre elles au sein de l’entreprise. Mais si vous manipulez des informations sensibles, c’est sans doute une bonne stratégie.

Mesures de cybersécurité personnelle

Si les pirates veulent attaquer l’entreprise pour laquelle vous travaillez, ils pourraient essayer de vous joindre par l’intermédiaire de votre adresse e-mail personnelle. En matière de cybersécurité personnelle, voici ce que vous pouvez faire pour éviter d’être victime d’une attaque d’harponnage :

  • Prêtez attention aux e-mails, même s’ils proviennent d’un collègue ou d’un ami. Si des informations personnelles sont demandées sans vraie motivation apparente, assurez-vous qu’il s’agit bien des personnes que vous connaissez avant d’envoyer quoi que ce soit. Utilisez-vous un langage décontracté dans vos e-mails professionnels ? Dans ce cas, un e-mail de votre collègue qui serait plus formel que d’habitude est un signal d’alerte. Inspectez-le soigneusement avant de faire quoi que ce soit.

  • Ne publiez pas trop d’informations personnelles en ligne. Si vous le pouvez, rendez vos comptes privés, de sorte que seules les personnes que vous connaissez peuvent voir ce que vous publiez. Même dans ce cas-là, ne partagez pas trop d’informations personnelles. N’utilisez pas de géolocalisation, ne divulguez pas vos projets de vacances et ne révélez pas d’informations personnelles identifiables, telles que votre numéro de téléphone, les numéros de votre carte bancaire, votre date d’anniversaire, etc. Il sera ainsi plus difficile pour l’attaquant d’établir un profil sur vous.

  • Utilisez des logiciels à jour et vérifiez régulièrement que vos appareils ne contiennent pas de malwares. Il existe de nombreuses façons d’accéder à votre ordinateur portable ou à votre smartphone sans que vous le remarquiez, alors assurez-vous d’analyser et de mettre à jour vos appareils régulièrement.

  • Utilisez des mots de passe compliqués et totalement différents pour chaque compte. Ainsi, même si l’un d’entre eux est compromis, le reste de vos comptes reste en sécurité. Utilisez un gestionnaire de mots de passe pour stocker tous vos mots de passe en toute sécurité. Ainsi, vous n’aurez pas à vous en souvenir ni à les noter. Besoin d’aide pour trouver de nouveaux mots de passe ? Essayez notre générateur de mot de passe pour de meilleurs résultats.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.