Table des matières
Les attaques de phishing évoluent rapidement et ne se limitent plus à des campagnes de masse impersonnelles. Aujourd’hui, les cybercriminels affinent leurs méthodes pour identifier précisément les individus ou organisations qu’ils comptent piéger. Ce type d’attaque, appelé phishing ciblé, repose sur une stratégie méthodique et une collecte d’informations particulièrement soignée.
La première étape des hackers consiste à définir leur cible en fonction de plusieurs critères bien précis : rôle au sein d’une entreprise, niveau de responsabilité, accès à des données confidentielles ou encore présence active en ligne. Les professionnels occupant des postes de direction ou les employés du service financier sont souvent les plus recherchés, car ils détiennent des accès sensibles.
Pour dresser le profil idéal, les cybercriminels s’appuient sur des sources publiques et des outils spécialisés. Par exemple, LinkedIn est une mine d’informations pour connaître les parcours professionnels, les réseaux internes d’une société, voire les outils utilisés. Une étude de Proofpoint en 2024 révèle que 78 % des attaques ciblées sont précédées d’une phase de repérage via les réseaux sociaux professionnels.
Les attaquants ne laissent rien au hasard. Ils analysent minutieusement les informations disponibles sur leur cible : publications, commentaires, habitudes de connexion, fuseaux horaires, et même langage utilisé. Cela leur permet de construire un message crédible et personnalisé.
Des techniques d’OSINT (Open Source Intelligence) sont souvent utilisées. Elles consistent à exploiter toutes les données accessibles librement sur internet : fichiers PDF indexés, archives de conférences, mentions dans des communiqués de presse, ou encore anciens échanges publics sur des forums.
Plus les données récoltées sont précises, plus la tentative de phishing semblera authentique à la victime, augmentant ainsi les chances de réussite.
Certains secteurs attirent particulièrement les attaquants. Le secteur de la santé, par exemple, est visé pour la valeur des dossiers médicaux. En 2023, IBM estimait qu’une seule fiche patient pouvait se revendre jusqu’à 250 dollars sur le marché noir, contre seulement 5 à 10 dollars pour des données bancaires.
Les PME sont également des cibles récurrentes, notamment car elles disposent souvent de mesures de sécurité moins sophistiquées que les grands groupes. Une enquête menée par Verizon en 2024 a montré que 43 % des attaques de phishing personnalisées visaient des entreprises de moins de 250 employés.
Le succès du phishing ciblé repose sur la connaissance précise des failles humaines. Plus la cible est sollicitée dans son quotidien professionnel, plus elle est susceptible de cliquer sur un lien frauduleux par automatisme. Le facteur temps joue aussi un rôle : un email urgent, bien rédigé et envoyé à un moment stratégique (début de semaine, fin de journée, veille de congés) augmente la probabilité de piéger la personne.
Les cybercriminels savent aussi adapter leur discours en fonction du niveau de technicité de leur cible. Un cadre RH recevra un message différent d’un développeur ou d’un directeur commercial, tant dans la forme que dans le vocabulaire utilisé.