Hameçonnage (phishing)
Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
L’hameçonnage — communément appelé phishing y compris en français professionnel — est une attaque d’ingénierie sociale dans laquelle l’attaquant usurpe l’identité d’un tiers de confiance (banque, collègue, éditeur SaaS, transporteur) pour amener la cible à divulguer des identifiants, à effectuer un virement ou à donner accès à un système interne. C’est le vecteur d’accès initial le plus courant dans les incidents de sécurité : le Verizon DBIR identifie le phishing et le pretexting comme le premier vecteur « facteur humain » depuis plus d’une décennie.
Le format a largement dépassé l’e-mail de masse des années 2000. Propriétés des variantes actuelles :
- Multi-canal. L’e-mail reste dominant, mais le vishing (voix), le smishing (SMS), le qishing (QR codes) et le phishing OAuth représentent désormais une part significative des incidents. Le Panorama de la cybermenace annuel de l’ANSSI suit le mix par canal en France.
- Ciblé. Les leurres génériques sont devenus du bruit résiduel. Les variantes coûteuses sont le spear-phishing (rôles précis : finance, IT, dirigeants) et la fraude au président / BEC sur les chaînes d’approbation de paiement.
- Adapté au MFA. Les kits attaquants comme EvilProxy et Tycoon relayent les défis MFA en temps réel ; le « MFA bloque le phishing » n’est plus vrai pour push et TOTP. Seuls FIDO2 / passkeys restent structurellement résistants.
- Assisté par IA. L’IA générative supprime l’indice « langue mal écrite » sur lequel filtres legacy et utilisateurs formés s’appuyaient. Un leurre français de 2024-2025 est, phrase à phrase, indistinguable d’un message légitime pour la plupart des lecteurs.
L’erreur côté acheteur est de traiter le phishing comme un problème de filtre. Les passerelles e-mail et les détecteurs IA captent le volume ; ce qui atterrit en boîte de réception est par définition ce qui a déjoué la détection. À partir de là, ce qui compte est comportemental : taux de signalement, temps de signalement, concentration des récidivistes. C’est la surface sur laquelle se mesure un programme orienté comportement — voir KPI comportemental.
Termes liés
- Spear-phishingAttaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.
- Fraude au président (BEC)Fraude ciblée par usurpation de dirigeant, fournisseur ou avocat pour détourner un paiement légitime — historiquement la catégorie de cybercrime la plus coûteuse en valeur.
- Vishing (phishing vocal)Phishing acheminé par appel vocal — de plus en plus combiné à un prétexte e-mail et, depuis 2023, à des voix de dirigeants ou collègues clonées par IA.
- Qishing (phishing par QR code)Phishing dont le lien malveillant est délivré sous forme de QR code plutôt que de texte, déplaçant le clic d'un poste géré vers un smartphone personnel non géré.
- Phishing OAuth / consent phishingAttaque qui amène l'utilisateur à accorder à une application tierce malveillante un accès OAuth persistant à sa messagerie, ses fichiers ou son workspace — contournant entièrement le MFA.
- Ingénierie socialeManipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.