Hameçonnage

L'hameçonnage (en anglais : phishing) est une technique de cyberattaque fondée sur l'ingénierie sociale, visant à inciter des individus à divulguer des informations confidentielles — identifiants de connexion, mots de passe, coordonnées bancaires — en usurpant l'identité d'une entité de confiance. Le terme français, recommandé par l'ANSSI et entériné dans le Journal officiel du 14 octobre 2014, dérive de « hameçon » par analogie avec la pêche : l'attaquant lance un appât numérique et attend que la victime morde. Documentée dès 1995 sur les réseaux d'America Online (AOL), l'attaque est en 2024 impliquée dans 36 % des compromissions de données selon le rapport Verizon Data Breach Investigations Report (DBIR).

L'hameçonnage se distingue des attaques exploitant exclusivement des vulnérabilités techniques par son recours prioritaire à la manipulation psychologique : création d'un sentiment d'urgence, simulation d'autorité, exploitation de la confiance ou de la peur. L'attaquant n'a pas nécessairement besoin de compromettre un système ; il lui suffit de tromper un utilisateur.

Le terme anglais phishing est attesté pour la première fois en 1996 dans le groupe Usenet alt.2600. Il s'écrit avec « ph » en référence à la culture phreaking des années 1970 — manipulation acoustique des réseaux téléphoniques analogiques permettant d'obtenir des communications gratuites.

Les premières attaques documentées visent les abonnés d'America Online entre 1994 et 1996. Des pirates créent de faux comptes AOL et envoient des messages instantanés réclamant la validation des informations de paiement. L'objectif initial est le vol d'heures de connexion revendues ou échangées entre membres de forums souterrains.

À partir de 2003, les attaquants se tournent vers les institutions financières et les plateformes de paiement (PayPal, eBay, Citibank). Le Anti-Phishing Working Group (APWG), fondé en novembre 2003, recense 1 609 campagnes uniques en janvier 2004, puis 55 000 en mai 2006. L'apparition de kits de phishing clés en main sur des forums clandestins démocratise la pratique : une campagne complète peut être déployée pour moins de 100 dollars sans compétence technique particulière.

Depuis 2010, les attaques s'affinent par exploitation des données issues des réseaux sociaux professionnels (LinkedIn, Viadeo). En 2020, la pandémie de COVID-19 provoque une hausse de 220 % des sites de phishing détectés par Google Safe Browsing. En 2023, l'APWG recense 4,9 millions d'attaques sur l'année. L'intégration de l'intelligence artificielle dans la génération de contenus frauduleux — textes personnalisés à grande échelle, clonage vocal — marque une rupture qualitative amorcée en 2022.

Une campagne d'hameçonnage classique suit cinq étapes :

1. Reconnaissance : collecte d'informations sur la cible (adresses électroniques, organigramme, fournisseurs, actualités récentes).
2. Préparation de l'appât : création d'un site web imitant une entité légitime et enregistrement d'un domaine similaire par typosquatting (ex. : paypa1.com au lieu de paypal.com) ou par homoglyphes Unicode.
3. Diffusion : envoi via courriel, SMS, messagerie instantanée, réseau social ou appel téléphonique.
4. Capture : la victime saisit ses identifiants sur le site frauduleux, transmis en temps réel à l'attaquant via un tableau de bord centralisé.
5. Exploitation : utilisation directe (connexion bancaire, virement), revente sur des marchés clandestins, ou mouvement latéral dans un réseau d'entreprise.

Pour contourner les filtres de messagerie et les pare-feux, plusieurs méthodes sont employées :

• URL courtes : masquage de la destination réelle via des services de raccourcissement de liens.
• Redirections ouvertes : exploitation de redirecteurs légitimes (paramètres de redirection de Google ou LinkedIn) pour dissimuler l'URL finale.
• Encodage d'URL : utilisation de caractères Unicode homoglyphes ou de l'encodage hexadécimal pour contourner les listes noires.
• Certificats HTTPS : obtention de certificats TLS valides sur des domaines frauduleux. En 2023, 86 % des sites de phishing actifs utilisaient HTTPS selon l'APWG, rendant caduque le réflexe « cadenas = sécurité ».

Trois protocoles constituent le premier rempart technique contre l'usurpation de domaine :

• SPF (Sender Policy Framework) : liste les adresses IP autorisées à envoyer des courriels au nom d'un domaine.
• DKIM (DomainKeys Identified Mail) : signature cryptographique apposée par le serveur expéditeur et vérifiable par le destinataire.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) : politique déclarée par le propriétaire du domaine prescrivant le traitement à appliquer en cas d'échec SPF/DKIM (quarantaine ou rejet). En 2024, 75 % des domaines des entreprises du Fortune 500 disposent d'une politique DMARC.

La forme la plus répandue : envoi non ciblé à des milliers ou millions de destinataires avec des messages génériques imitant des banques, des services de livraison (La Poste, Chronopost) ou des administrations (Direction générale des finances publiques, Ameli). Le taux de clics moyen est de l'ordre de 1 à 3 %.

Le spear phishing (hameçonnage ciblé) vise un individu ou une organisation précise, après collecte préalable d'informations contextuelles (poste occupé, projets en cours, relations professionnelles). Le taux de clic moyen atteint 30 % selon Proofpoint (rapport 2023). Ces attaques constituent le vecteur initial dans la majorité des compromissions de grande envergure.

Le whaling (chasse à la baleine) cible spécifiquement les cadres dirigeants : directeur général, directeur financier, responsable des ressources humaines. Les messages imitent des convocations judiciaires, des injonctions fiscales ou des communications du conseil d'administration. La Business Email Compromise (BEC) en est une déclinaison : le FBI Internet Crime Complaint Center (IC3) recense 2,9 milliards de dollars de pertes déclarées aux États-Unis en 2023.

Le pharming détourne les requêtes DNS pour rediriger les utilisateurs vers un site frauduleux, même lorsqu'ils saisissent correctement l'URL dans leur navigateur. L'attaque peut cibler le fichier hosts local ou les serveurs DNS d'un fournisseur d'accès à Internet. Elle ne nécessite aucune interaction de la victime avec un lien suspect.

Le smishing (contraction de SMS et phishing) utilise les messages texte comme vecteur de diffusion. Les messages frauduleux simulent des notifications de livraison, des alertes bancaires ou des messages gouvernementaux. En France, le service 33700, opéré par les opérateurs mobiles, permet de signaler directement les SMS suspects.

Le vishing (contraction de voice et phishing) exploite les appels téléphoniques ou la voix sur IP (VoIP). L'attaquant se présente comme un agent bancaire, un technicien informatique ou un agent de l'administration fiscale. Depuis 2022, les technologies de clonage vocal par intelligence artificielle permettent d'imiter la voix d'une personne connue de la victime à partir d'un échantillon de quelques secondes.

Les signaux d'alerte les plus courants permettant d'identifier un message d'hameçonnage :

• Adresse d'expéditeur dont le domaine imite un domaine légitime (ex. : [email protected] au lieu de [email protected]).
• Salutation générique (« Cher client », « Utilisateur ») au lieu du nom réel du destinataire.
• Sentiment d'urgence injustifié : « Votre compte sera suspendu dans 24 heures ».
• URL affiché différant de l'URL réel, visible au survol de la souris dans les clients de messagerie.
• Demande de saisie de données sensibles (mot de passe, code confidentiel, numéro de carte) via un formulaire web externe.
• Pièce jointe de type Office avec macros activées, ou archive compressée contenant un exécutable.

L'amélioration de la qualité linguistique des messages générés par intelligence artificielle rend le critère orthographique de moins en moins discriminant : en 2024, 40 % des emails de phishing analysés par SlashNext ne contiennent aucune faute détectable.

Les répercussions directes comprennent le vol d'identité, la compromission de comptes bancaires ou de messagerie, l'usurpation de comptes sur les réseaux sociaux et le chantage à partir de données dérobées. En France, Cybermalveillance.gouv.fr indique que l'hameçonnage représente 44 % des demandes d'assistance reçues en 2023, toutes cibles confondues.

Une attaque réussie peut conduire à :

• Un mouvement latéral aboutissant au déploiement d'un rançongiciel ou à l'exfiltration de données confidentielles.
• Une violation de données personnelles soumise à notification obligatoire auprès de la CNIL dans un délai de 72 heures, au titre de la conformité RGPD (règlement européen 2016/679).
• Des sanctions réglementaires au titre de la Directive NIS2 (2022/2555) ou du référentiel ISO/IEC 27001.
• Des pertes financières directes (virements frauduleux) ou indirectes estimées en moyenne à 4,45 millions de dollars par compromission en 2023 selon le rapport IBM Cost of a Data Breach.

L'hameçonnage est susceptible de relever de plusieurs qualifications pénales :

• Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : jusqu'à 3 ans d'emprisonnement et 100 000 € d'amende ; peines portées à 5 ans et 150 000 € en cas d'altération de données.
• Escroquerie (articles 313-1 et suivants) : jusqu'à 5 ans d'emprisonnement et 375 000 € d'amende ; peines aggravées (7 ans, 750 000 €) en bande organisée ou à l'encontre de personnes vulnérables.
• Collecte déloyale de données à caractère personnel (article 226-18) : jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende, indépendamment des sanctions administratives de la CNIL.

La Directive NIS2 (2022/2555), dont la transposition en droit français devait intervenir avant octobre 2024, renforce les obligations de sécurité et de déclaration d'incidents pour les entités essentielles et importantes, en citant explicitement l'hameçonnage parmi les vecteurs d'attaque justifiant des mesures de protection spécifiques.

Le CERT-FR coordonne la réponse nationale aux campagnes actives et publie des bulletins d'alerte réguliers destinés aux administrations et aux opérateurs d'importance vitale.

• Déploiement des protocoles SPF, DKIM et DMARC sur l'ensemble des domaines d'envoi de l'organisation.
• Authentification multifacteur (MFA) : en cas de vol d'identifiants, un second facteur d'authentification bloque l'accès. Les clés de sécurité matérielles compatibles FIDO2 et les applications TOTP offrent la résistance la plus élevée à l'hameçonnage en temps réel.
• Authentification sans mot de passe (passkeys) : élimine la possibilité de capturer un mot de passe réutilisable.
• Filtres antiphishing intégrés aux passerelles de messagerie d'entreprise et aux navigateurs (Google Safe Browsing, Microsoft SmartScreen).
• VPN et segmentation réseau pour limiter les mouvements latéraux en cas de compromission initiale.
• Surveillance par SIEM et SOC pour la détection et la corrélation des comportements anormaux liés à des tentatives d'hameçonnage réussies.

La sensibilisation des utilisateurs constitue l'une des mesures les plus efficaces. Des études répétées montrent que des campagnes de simulation d'hameçonnage suivies d'un débriefing individualisé réduisent le taux de clic de 60 à 70 % en six mois. L'ANSSI propose des kits de sensibilisation dans le cadre du Mois européen de la cybersécurité (octobre) et encadre le label SecNumedu pour les formations spécialisées.

Les professions de la cybersécurité, dont l'ingénieur en cybersécurité, intègrent la reconnaissance et le traitement des attaques par hameçonnage dans leurs référentiels de compétences, notamment ceux publiés par l'ANSSI (guide d'hygiène informatique, référentiel CSPN).

• Application du modèle Zero Trust : aucune confiance implicite accordée à un utilisateur ou à un appareil, même connecté au réseau interne.
• Procédures de vérification hors bande pour les virements et modifications de coordonnées bancaires (confirmation téléphonique sur un numéro préalablement enregistré).
• Audits de cybersécurité périodiques, incluant des exercices de test d'intrusion et de red team pour évaluer la résistance effective de l'organisation.
• Intégration de scénarios de compromission par hameçonnage dans les plans de continuité d'activité et les plans de reprise d'activité informatique.
• Souscription d'une cyberassurance couvrant les pertes liées aux fraudes par ingénierie sociale.

Indicateur	Valeur	Source	Année
Part des violations de données impliquant du phishing	36 %	Verizon DBIR	2024
Nombre d'attaques mondiales recensées	4,9 millions	APWG	2023
Part des demandes d'assistance Cybermalveillance.gouv.fr	44 %	Cybermalveillance.gouv.fr	2023
Pertes liées à la BEC aux États-Unis	2,9 milliards USD	FBI IC3	2023
Sites de phishing actifs utilisant HTTPS	86 %	APWG	2023
Taux de clic moyen (spear phishing)	30 %	Proofpoint	2023
Coût moyen d'une compromission de données	4,45 millions USD	IBM Cost of a Data Breach	2023
Hausse des attaques pendant la pandémie COVID-19	+220 %	Google Safe Browsing	2020

• Cybersécurité
• Cyberattaque
• Ingénierie sociale
• Spear phishing
• Smishing
• Vishing
• Pharming
• Authentification multifacteur
• ANSSI
• CERT-FR
• Directive NIS2
• Conformité RGPD
• Vulnérabilité informatique