Spear phishing

Le spear phishing (ou au Québec harponnage^[1]) désigne en sécurité informatique une variante de l'hameçonnage épaulée par des techniques d'ingénierie sociale. Contrairement à l'hameçonnage traditionnel basé sur l'envoi d'un message générique à un grand nombre de destinataires, le spear phishing se focalise sur un nombre limité d'utilisateurs (souvent un seul) auxquels est envoyé un message fortement personnalisé.

L'attaquant commencera par rassembler un maximum d'informations sur sa cible via des sources publiques (registres publics, réseaux sociaux...) ou des sources privées compromises par de précédentes attaques. À partir de ces informations celui-ci créera un message d'hameçonnage personnalisé à destination d'une personne donnée (par exemple en se présentant sous l'identité d'une relation de la cible identifiée lors de la phase d'enquête et en incluant dans le corps du message des informations spécifiques). La forte personnalisation du message qui en résulte est susceptible de rendre celui-ci très convaincant et d'augmenter la probabilité de succès^[2]. La notion d'urgence est souvent invoquée et vise à mettre "sous pression" la cible en limitant ainsi sa capacité de réflexion. Ce sont généralement les services RH ou comptables qui sont les cibles de ce genre d'attaque^[3].

Par exemple en 2014, des chercheurs en sécurité ont montré qu'un groupe de pirates informatiques avait réussi à compromettre les données d'un nombre important de cadres financiers de Wall Street en utilisant des tactiques telles qu'envoyer des messages à partir des comptes de personnes connues de la cible, en faisant référence à des affaires en cours gérées par la cible et en faisant preuve d'une parfaite maîtrise de la langue et de la culture professionnelle de leurs cibles^[4].

Les ressources et le savoir-faire consacrés à une attaque de spear phishing réservent en général ce type d'attaque à un attaquant sophistiqué et déterminé. Cette technique est ainsi souvent utilisée dans les attaques de type advanced persistent threat.

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Notes et références[modifier | modifier le code]

↑ « Spear-phishing / harponnage », sur www.oqlf.gouv.qc.ca
↑ (en-US) Matt Richtel et Verne G. Kopytoff, « E-Mail Fraud Hides Behind Friendly Face (Published 2011) », The New York Times,‎ 3 juin 2011 (ISSN 0362-4331, lire en ligne, consulté le 8 décembre 2020)
↑ « Pourquoi le spear phishing est-il si efficace ? | Login Sécurité », sur www.login-securite.com, 22 décembre 2020 (consulté le 7 janvier 2021)
↑ Dan Goodin, Phishing scam that penetrated Wall Street just might work against you, too, Arstechnica.com, le 1^er décembre 2014

[1] « Spear-phishing / harponnage », sur www.oqlf.gouv.qc.ca

[2] (en-US) Matt Richtel et Verne G. Kopytoff, « E-Mail Fraud Hides Behind Friendly Face (Published 2011) », The New York Times,‎ 3 juin 2011 (ISSN 0362-4331, lire en ligne, consulté le 8 décembre 2020)

[3] « Pourquoi le spear phishing est-il si efficace ? | Login Sécurité », sur www.login-securite.com, 22 décembre 2020 (consulté le 7 janvier 2021)

[4] Dan Goodin, Phishing scam that penetrated Wall Street just might work against you, too, Arstechnica.com, le 1^er décembre 2014

[1]

[2]

[3]

[4]