Le phishing (ou hameçonnage) est une technique de fraude en ligne qui consiste à tromper une personne pour qu’elle divulgue involontairement des informations sensibles (mots de passe, numéros de carte bancaire, identifiants professionnels, etc.), en lui faisant croire qu’elle interagit avec une source légitime et de confiance.
Le terme vient de « fishing » (pêche) : le pirate « pêche » des données en lançant un appât numérique.
Comment ça marche ?
- L’appât : un email, SMS, message sur les réseaux sociaux ou même un appel vocal (« vishing ») imite une entité connue :
– Votre banque
– Google, Microsoft, DSI interne
– La Poste, Amazon, un collègue
– Un service administratif (impôts, sécurité sociale) - L’urgence ou la peur : le message crée un sentiment d’urgence :
→ « Votre compte sera bloqué dans 24h ! »
→ « Un colis n’a pas pu être livré »
→ « Une activité suspecte a été détectée » - Le faux lien : un bouton ou lien redirige vers un site web contrefait, quasi identique à l’original.
- La capture : la victime saisit ses identifiants → transmis directement au pirate.
Exemple concret (entreprise)
Objet : « Action requise : vérifiez votre compte Microsoft 365 »
Expéditeur : support@m1crosoft-security.com (ressemble à Microsoft, mais avec un « 1 » à la place du « i »)
Lien : « Mettre à jour mon mot de passe »
Le site imite parfaitement la page de connexion Office 365.
L’employé entre ses identifiants → le pirate accède à la messagerie, aux fichiers, au réseau interne.
Types de phishing
| Type | Description |
|---|---|
| Email phishing | Le plus courant (faux emails de masse) |
| Spear phishing | Ciblé : le message est personnalisé (nom, poste, projets récents) → très crédible |
| Whaling | Cible les dirigeants (DG, RSSI, DSI) pour accès critiques |
| Smishing | Phishing par SMS |
| Vishing | Phishing par appel téléphonique (ex. : « Je suis de la DSI, je dois vérifier votre compte ») |
| Phishing via QR code | « Scan this code to see your delivery » → redirige vers site malveillant |
Comment se protéger ? (bonnes pratiques)
Pour les individus :
- Ne jamais cliquer sur un lien suspect → taper l’URL à la main
- Vérifier l’expéditeur (adresse email complète, pas juste le nom affiché)
- Activer l’authentification à deux facteurs (2FA) → même avec le mot de passe, le pirate ne peut pas entrer
- Signaler les messages suspects à la DSI ou à l’ANSSI
Pour les organisations (RSSI) :
- Formations régulières + simulations de phishing
- Filtrage des emails (SPF, DKIM, DMARC)
- Politique de mot de passe forte + gestion centralisée
- Principe du moindre privilège : limiter les dégâts en cas de compromission
Conséquences possibles
- Vol d’identité
- Pertes financières
- Piratage d’entreprise (accès au réseau, ransomware, fuite de données)
- Atteinte à la réputation
Donnée utile
Selon le rapport Verizon DBIR 2025, 74 % des violations de sécurité impliquent une erreur humaine, et le phishing reste la première porte d’entrée pour les cyberattaques.