Le spear phishing est un type d’attaque informatique qui s’appuie sur l’utilisation d’informations collectées en ligne et un ciblage précis des victimes.
En matière d’attaque informatique, les pirates ne manquent pas de ressources pour trouver des moyens de s’introduire dans le système d’information des entreprises ou de leur extorquer de l’argent. Le spear phishing en fait partie, et il s’avère redoutablement efficace.
Il s’agit d’une variante du phishing « classique », un procédé dans lequel les pirates envoient des mails falsifiés ou créent de faux sites en se faisant passer pour une organisation, un service public, une entreprise. L’objectif est de conduire les internautes à leur fournir des données sensibles, informations de connexions ou coordonnées bancaires par exemple.
Le spear phishing, une attaque ciblée
Le spear phishing est plus élaboré. « Il s’agit d’une attaque plus précise, qui va cibler une personne en particulier. Les hackers collectent des informations sur elle et son entreprise via internet et les réseaux sociaux – habitudes de travail, horaires, collègues – et lui envoient un email en se faisant passer pour une relation de travail », explique Sylvia Brand, expert-comptable et commissaire aux comptes chez Yzico, membre du groupement France Défi. Ce type d’attaque est donc moins facile à repérer.
Les pirates vont utiliser des termes et des formulations familières pour le destinataire
Leur but est de faire en sorte que ce-dernier clique sur un lien ou télécharge une pièce jointe, qui leur permettront de pénétrer le système d’information de l’entreprise. « Une fois entrés, ils vont chercher à ouvrir d’autres portes, en obtenant par exemple des mots de passe administrateur. Ils peuvent ensuite faire ce qu’ils veulent, utiliser le serveur de manière frauduleuse, exfiltrer des données sensibles », avertit Sylvia Brand en précisant qu’il faut souvent plusieurs mois avant que l’entreprise ne se rende compte de l’attaque.
Un virement pour le président
La fraude au président est une déclinaison du spear phishing. « Cette fois les pirates vont cibler un collaborateur et s’adresser à lui en se faisant passer généralement pour le président de la société ou son avocat afin d’obtenir un virement », détaille l’expert-comptable.
La victime reçoit plusieurs messages pressants indiquant par exemple que pour conclure une affaire le président a besoin que soit rapidement réalisé un virement sur un compte bancaire. « Cela se passe souvent une veille de week-end ou de jour férié, à un moment où le président n’est pas joignable. Les pirates jouent sur le stress et l’autorité pour que la personne effectue le virement demandé. Une fois réalisé, l’argent est difficile à récupérer », précise Sylvia Brand.
Une sensibilisation nécessaire des équipes
Face à ces attaques ciblées, la prévention passe par la formation de tous les collaborateurs. « On peut faire des campagnes de sensibilisation, rappeler l’importance de rester vigilant, de toujours vérifier l’adresse email de l’expéditeur d’un mail, d’utiliser des mots de passe complexes », illustre l’expert-comptable.
Si l’utilisation d’antivirus et de systèmes de filtres pour les boîtes mails est utile, les solutions techniques ne peuvent suffire. « On peut aussi sensibiliser l’ensemble des collaborateurs à la nécessité de ne pas partager trop d’informations sur les réseaux sociaux, d’éviter de donner les noms des collègues, les date d’un salon ou de ses vacances », conseille-t-elle en prévenant : « aucune entreprise n’est à l’abri ».