Le phishing, aussi appelé hameçonnage, est une méthode de fraude par courriel ou message. L’objectif est de tromper une personne pour qu’elle révèle des informations sensibles.
Ce type d’attaque est fréquent dans les entreprises. Il vise souvent à voler des identifiants ou des données financières.
Qu’est-ce que le phishing ?
Le phishing est une technique utilisée par des cybercriminels pour se faire passer pour un tiers de confiance. Cela peut être une banque, un service public ou une plateforme connue.
Le message contient souvent un lien frauduleux ou une pièce jointe piégée. Quand la victime clique, elle est redirigée vers un faux site ou installe un logiciel malveillant.
Ce site frauduleux imite parfaitement l’original. Il demande les identifiants, mots de passe ou coordonnées bancaires de l’utilisateur.
À quoi sert le phishing ?
Le phishing sert principalement à obtenir des informations confidentielles. Ces données peuvent ensuite être revendues ou utilisées pour accéder à d'autres systèmes.
Dans le monde professionnel, les cibles sont souvent les services RH, les cadres ou les responsables financiers. Les attaques peuvent permettre de détourner des fonds ou espionner des données stratégiques.
Certaines formes de phishing, appelées “spear phishing”, ciblent une personne précise avec un message personnalisé. Cela augmente les chances de réussite de l’attaque.
Comment fonctionne le phishing ?
Le phishing suit généralement une méthode en 3 étapes :
- Le pirate collecte des informations sur la cible (nom, entreprise, services utilisés).
- Il fabrique un message apparemment légitime (faux lien, fausse signature, logo officiel).
- La victime clique, entre ses données sur un faux site ou ouvre un fichier infecté.
Une fois les données saisies, elles sont envoyées au pirate. Il peut s’en servir immédiatement ou les stocker pour une attaque ultérieure.
Différences avec des notions proches
Le phishing est souvent confondu avec le spam ou l’ingénierie sociale.
Le spam est généralement de la publicité non sollicitée. Son but n’est pas de voler des données, mais de vendre un produit.
L’ingénierie sociale, elle, regroupe toutes les techniques utilisées pour manipuler une personne. Le phishing est une forme d’ingénierie sociale automatisée.
Exemples ou cas d’usage concrets
Un employé reçoit un courriel prétendument envoyé par son DAF. Il demande un virement urgent à un fournisseur habituel. Les coordonnées bancaires ont été modifiées.
Une RRH reçoit un message semblant venir d’un outil de paie. Il l’invite à se reconnecter. Le lien mène à une page factice où elle entre ses identifiants.
Un dirigeant clique sur un faux message de Microsoft 365, croyant devoir réinitialiser son mot de passe. Il donne l’accès à ses e-mails au pirate.
Ces attaques ont souvent des conséquences financières et juridiques. Elles peuvent aussi nuire à l’image d’une entreprise.