Spear-phishing
Attaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.
Le spear-phishing est une attaque de phishing taillée sur mesure pour une personne ou un petit groupe, à partir d’une reconnaissance préalable — LinkedIn, calendriers publics, communiqués de presse, commits GitHub, données de fuites — visant à rendre le leurre assez plausible pour passer à la fois le filtre et le lecteur. Là où le phishing de masse joue le volume, le spear-phishing est un travail de recherche : l’attaquant investit une à deux heures d’OSINT pour obtenir un identifiant, un virement ou un octroi OAuth d’une cible à forte valeur. Le terme anglais reste majoritaire en français professionnel.
Les cibles sont prévisibles :
- Dirigeants (PDG, DAF) — pour la fraude au président / BEC et la manipulation de chaînes d’approbation.
- Finance et comptabilité fournisseurs — pour les changements d’IBAN frauduleux et les prétextes de virement urgent.
- Administrateurs IT et DevOps — pour les identifiants privilégiés, le détournement d’enrôlement MFA, l’accès aux consoles cloud.
- Assistant·e·s de direction — pour la manipulation de calendriers et l’installation de règles de boîte mail qui permettent une compromission durable.
- Nouvelles recrues récemment visibles — pas encore familières des signaux internes, souvent visibles sur LinkedIn quelques jours après leur arrivée.
Propriétés caractéristiques :
- Pilotée par la reconnaissance. L’attaquant connaît le rôle, l’activité récente, le manager et le projet en cours. Les calendriers exposés et les dossiers Drive publics nourrissent silencieusement cette préparation.
- Faible volume, fort rendement. Un seul e-mail de spear-phishing peut générer une perte à sept chiffres ; le Verizon DBIR place régulièrement l’ingénierie sociale ciblée en tête des pertes médianes.
- Résistante aux filtres. Volume bas et contenu unique : les filtres par signature ou réputation sous-performent ; le comportement humain devient le contrôle porteur.
- Amplifiée par l’IA. L’IA générative produit désormais le leurre adapté à l’OSINT en quelques secondes — le coût par cible s’est effondré, et le volume d’attaques de « qualité spear » a augmenté en conséquence.
Le levier défensif n’est pas la seule force du filtre. C’est le réflexe — construit par des simulations réalistes et des nudges au moment du risque — de vérifier hors canal toute demande hors-pattern, et de supposer que ce qui est publiquement visible sur l’organisation figure déjà dans le brief de l’attaquant.
Termes liés
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Fraude au président (BEC)Fraude ciblée par usurpation de dirigeant, fournisseur ou avocat pour détourner un paiement légitime — historiquement la catégorie de cybercrime la plus coûteuse en valeur.
- Ingénierie socialeManipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.
- Phishing OAuth / consent phishingAttaque qui amène l'utilisateur à accorder à une application tierce malveillante un accès OAuth persistant à sa messagerie, ses fichiers ou son workspace — contournant entièrement le MFA.
- Calendrier exposéCalendrier SaaS — Google Calendar ou Microsoft 365 le plus souvent — dont la visibilité fuite titres, participants, lieux ou liens de réunion vers tout le domaine ou l'internet public.