Qu'est-ce que le spear phishing ? Définition et exemples

Qu'est-ce que le spear phishing ?

Une attaque de spear phishing ou harponnage est un type d'attaque de phishing hautement personnalisée, ciblant un individu précis ou un petit groupe. En recourant à des techniques d'ingénierie sociale, les escrocs exploitent leurs connaissances sur leur cible pour la manipuler et l'amener à divulguer des informations sensibles, à cliquer sur des liens malveillants ou à télécharger un malware.

La connaissance de détails personnels (emploi, nom complet, date de naissance, centres d'intérêt professionnels ou habitudes de navigation) permet aux auteurs de spear phishing de concevoir des prétextes convaincants qui rendent les escroqueries plus difficiles à détecter.

Contrairement aux e-mails de phishing de masse, les messages de spear phishing semblent authentiques et familiers. Et cette personnalisation est efficace : dans une analyse portant sur 50 milliards d'e-mails issus de 3,5 millions de boîtes de réception, Barracuda, une entreprise spécialisée en cybersécurité, a constaté que le spear phishing représentait moins de 0,1 % de l'ensemble des e-mails, mais était à l'origine de 66 % des violations de données.

Voici un aperçu détaillé du spear phishing, de son fonctionnement et des mesures à prendre pour se protéger.

Comment fonctionne le spear phishing

En cybersécurité, le spear phishing ou harponnage repose sur l'exploitation d'informations personnelles pour élaborer un message de phishing sur mesure, qui paraît légitime et inspire confiance à la cible visée.

Voici comment cela se déroule généralement :

1. Le pirate identifie sa cible : l'attaquant détermine qui cibler et ce qu'il souhaite obtenir. Il peut s'agir de l'accès à un compte ou à un système spécifique, d'informations financières, voire d'un numéro de sécurité sociale.
2. Le pirate collecte des renseignements : il recherche des informations sur la cible à partir de sources accessibles au public, de violations de données ou des réseaux sociaux, afin de rassembler des détails qui rendront l'attaque plus crédible. Le pirate peut s'intéresser aux fonctions professionnelles, aux habitudes quotidiennes ou aux membres de la famille de sa cible.
3. Le pirate rédige un message : à partir des informations collectées, l'attaquant compose un message personnalisé qui semble pertinent et crédible, en se faisant souvent passer pour un contact de confiance, une organisation ou une autorité, dans le but de réduire la méfiance de la cible.
4. Le message est envoyé : l'attaquant transmet le message via un canal habituellement utilisé par la cible : e-mails, SMS (attaques de smishing), appels téléphoniques (attaques de phishing vocal) ou plateformes de réseaux sociaux.
5. Vous répondez : si vous tombez dans le piège, vous pourriez être amené à cliquer sur un lien vers un site web malveillant, à ouvrir une pièce jointe infectée par un malware ou à répondre en communiquant des informations sensibles.
6. Vos données sont volées : l'attaquant exploite l'interaction pour s'emparer d'identifiants, de données financières ou d'autres informations sensibles, qu'il peut ensuite utiliser pour prendre le contrôle d'un compte, commettre des fraudes, procéder à une usurpation d'identité ou mener d'autres attaques.

Le succès d'une campagne de spear phishing dépend en grande partie du niveau de recherche et de personnalisation mis en œuvre. Cette priorité accordée à la qualité plutôt qu'à la quantité explique que des hacktivistes et des pirates soutenus par des gouvernements soient parfois identifiés comme étant à l'origine d'attaques de spear phishing.

Spear phishing, phishing et whaling : quelles différences ?

La principale différence entre le phishing, le spear phishing et le whaling réside dans l'identité de la cible et les raisons pour lesquelles elle est visée. Les attaques de phishing visent de larges groupes, les attaques de spear phishing ciblent une seule personne ou un groupe très restreint et spécifique, tandis que les attaques de whaling s'en prennent à une cible unique à haute valeur ajoutée.

Voici un aperçu détaillé de ces différences :

• Phishing : l'attaquant envoie un message générique à un grand nombre de destinataires, en misant sur le volume plutôt que sur la personnalisation. Le message n'est pas adapté à un individu en particulier et vise généralement à dérober des identifiants de connexion, des coordonnées bancaires ou d'autres informations de base. Bien que les pertes individuelles soient parfois limitées, les campagnes de phishing peuvent néanmoins causer des dommages considérables.
  
• Spear phishing : l'attaquant cible une personne précise ou un petit groupe, et personnalise le message à partir de détails connus, tels que les fonctions professionnelles, les relations ou les activités récentes. Parce que le message paraît plus pertinent et plus fiable, les attaques de spear phishing ou harponnage ont plus de chances d'aboutir et peuvent entraîner une prise de contrôle de compte, une usurpation d'identité ou une fraude financière ciblée.
  
• Whaling : forme de spear phishing très ciblée, le whaling se concentre sur des individus à haute valeur ajoutée, tels que des dirigeants ou des décideurs de haut rang. Les attaques de whaling visent à exploiter l'autorité ou les accès dont disposent ces cibles, et cherchent souvent à déclencher des transactions financières importantes, à exposer des données sensibles de l'entreprise ou à compromettre des systèmes critiques.

Ainsi, si l'intention (tromper quelqu'un pour lui soutirer un accès ou des informations sensibles) est identique dans les trois cas, le niveau de ciblage influe à la fois sur la difficulté à détecter l'escroquerie et sur la gravité des dommages potentiels.

Exemples concrets de spear phishing

Voici quelques exemples concrets illustrant comment les auteurs de spear phishing ont utilisé des messages ciblés pour accéder à des systèmes, dérober de l'argent et compromettre des données sensibles.

Une campagne de phishing vise une équipe de support client

Dans une attaque découverte en 2025, des pirates ont envoyé un faux e-mail à thème bancaire à l'adresse e-mail de l'équipe de support d'une entreprise manufacturière. Le message semblait être une demande de paiement légitime, incluse sous forme de fichier ZIP en pièce jointe.

Lorsque le destinataire a ouvert la pièce jointe, celle-ci a installé un spyware sur son appareil. Ce malware enregistrait discrètement les frappes au clavier et collectait les mots de passe enregistrés ainsi que d'autres données sensibles, pour les transmettre (ou les « exfiltrer », selon le jargon de la cybersécurité) à l'attaquant.

Des chevaux de Troie d'accès à distance ciblent l'effort de guerre ukrainien

Dans cette campagne de spear phishing, baptisée PhantomCaptcha, des attaquants ont ciblé des organisations d'aide humanitaire et des administrations régionales ukrainiennes impliquées dans les efforts de secours liés à la guerre. Il s'agissait d'une chaîne de spear phishing en plusieurs étapes, dont la préparation aurait pris six mois.

Voici le déroulement de l'attaque de spear phishing PhantomCaptcha :

1. L'appât initial : les cibles ont reçu un PDF infecté, conçu pour ressembler à un avis gouvernemental officiel.
2. Phishing via un faux CAPTCHA : le PDF redirigeait les destinataires vers une fausse page CAPTCHA leur demandant de cliquer sur « Je ne suis pas un robot ».
3. Installation du malware : ce clic déclenchait l'exécution d'une commande PowerShell cachée, qui installait un malware sur l'appareil.
4. Prise de contrôle à distance par les attaquants : un cheval de Troie d'accès à distance (RAT) était déployé, permettant aux attaquants de surveiller l'activité, de voler des données et d'exécuter des commandes à distance.

Bien que les e-mails de phishing aient été envoyés sur une courte période, le malware installé a engendré des risques de sécurité à long terme. Une fois le cheval de Troie d'accès à distance en place, les attaquants pouvaient maintenir un accès persistant, exécuter des commandes à distance et exfiltrer des données dans la durée, ouvrant potentiellement la voie à de nouvelles attaques bien après la campagne initiale de spear phishing.

Une invitation à une réunion suspecte cible des étudiants à Édimbourg

Dans un autre incident survenu début 2025, des agents du département de l'éducation du conseil municipal d'Édimbourg, en Écosse, ont identifié des e-mails de spear phishing contenant des invitations suspectes à des réunions, envoyés à des élèves et à leurs parents. Le conseil municipal a réagi rapidement en réinitialisant tous les mots de passe des élèves par précaution. Malheureusement, cela a privé les élèves d'accès à des outils d'apprentissage en ligne essentiels en pleine période d'examens.

Bien qu'aucune donnée n'ait été compromise, cet incident montre qu'un seul message crédible peut suffire à causer de réelles perturbations, même lorsqu'il est détecté rapidement.

Conseils pour se protéger contre les attaques de spear phishing

Le spear phishing est conçu pour paraître personnel et crédible. La meilleure défense consiste donc à prendre le temps de vérifier avant de cliquer, d'ouvrir ou de répondre. Adoptez ces bonnes pratiques pour réduire le risque de tomber dans le piège d'une attaque de spear phishing :

• Soyez vigilant face aux tentatives de phishing : repérez les signaux d'alarme courants : sentiment d'urgence injustifié, pression pour contourner les procédures habituelles, demandes inhabituelles d'argent ou d'informations sensibles, et messages dont le ton ne correspond pas à celui de l'expéditeur habituel.
• Vérifiez les informations sur l'expéditeur : les attaquants peuvent usurper les noms affichés tout en utilisant des adresses e-mail qui leur ressemblent. Développez les informations sur l'expéditeur dans un e-mail et recherchez les fautes d'orthographe, les caractères supplémentaires ou les lettres et chiffres substitués.
• Vérifiez les liens avant de cliquer : survolez-les pour afficher la destination et repérez les domaines suspects ou les mots supplémentaires (en veillant à ne pas cliquer !). Pour accéder à un compte, saisissez l'adresse du site directement dans votre navigateur ou utilisez un signet enregistré plutôt que de cliquer sur un lien.
• Confirmez toute demande inhabituelle via un autre canal : si un expéditeur vous demande des informations sensibles, des bons cadeaux, des virements bancaires ou des identifiants de connexion, vérifiez en appelant un numéro connu ou en contactant la personne par une autre méthode de confiance.
• Traitez les pièces jointes comme potentiellement dangereuses : n'ouvrez pas les pièces jointes inattendues, surtout si elles sont présentées comme urgentes ou restent vagues, car cela pourrait déclencher le téléchargement d'un malware.
• Réduisez votre exposition sur les sites de courtiers en données : les courtiers en données collectent et revendent des informations personnelles que les attaquants peuvent utiliser pour personnaliser leurs messages de spear phishing. Des outils de confidentialité, comme ceux inclus dans Norton 360 Deluxe, peuvent vous aider à vous désinscrire là où c'est possible, en limitant la quantité d'informations exposées.
• Renforcez la protection de vos comptes : utilisez des mots de passe uniques et sécurisés ainsi qu'un gestionnaire de mots de passe. Activez l'authentification à deux facteurs (2FA) ou une vérification par application d'authentification pour vos comptes essentiels, notamment votre messagerie, votre banque et vos identifiants de connexion professionnels.
• Maintenez vos logiciels à jour : les mises à jour logicielles, qui corrigent souvent des failles de sécurité exploitées par les attaquants, doivent être effectuées régulièrement. Activez les mises à jour automatiques lorsque cela est possible.
• Sauvegardez régulièrement vos fichiers : des sauvegardes régulières peuvent vous aider à récupérer vos données si un malware ou un ransomware verrouillant ou corrompant vos fichiers est installé à la suite d'une attaque de phishing. En cas de recours à une sauvegarde, veillez à utiliser une version antérieure à l'installation du malware sur votre appareil.

Que faire si vous avez cliqué sur un lien de spear phishing ?

Si vous avez cliqué sur un lien suspect, ouvert une pièce jointe ou saisi des informations, agissez rapidement pour limiter les dégâts et sécuriser vos comptes. Suivez ces conseils dès que possible pour limiter les dommages :

• Déconnectez-vous d'Internet : désactivez le Wi-Fi ou les données mobiles pour réduire le risque de communication sortante du malware.
• Lancez une analyse antimalware : utilisez un outil d'analyse de malware fiable pour détecter tout malware, spyware ou outil d'accès à distance, puis suivez les étapes de remédiation recommandées.
• Changez vos mots de passe : changez le mot de passe associé à votre compte de messagerie, puis faites de même pour vos comptes bancaires et autres comptes essentiels. Utilisez des mots de passe forts et uniques, et déconnectez-vous des autres sessions.
• Activez l'authentification à deux facteurs (2FA) : activez immédiatement la 2FA (de préférence via une application d'authentification ou une clé de sécurité) pour réduire le risque de prise de contrôle du compte si des identifiants ont été capturés.
• Surveillez toute activité suspecte : vérifiez la présence de connexions inconnues, d'e-mails de réinitialisation de mot de passe que vous n'avez pas demandés, de nouvelles règles de transfert dans votre messagerie et de transactions non autorisées. Continuez à surveiller ces éléments pendant plusieurs semaines.
• Signalez le message : signalez le spear phishing à votre fournisseur de messagerie ou à l'équipe informatique/sécurité de votre entreprise. Si le message usurpe l'identité d'une entreprise, signalez-le également à cette organisation.
• Surveillez les signes d'usurpation d'identité : si vous avez communiqué des données personnelles, surveillez vos relevés financiers et vos rapports de crédit pour détecter toute activité inhabituelle. Envisagez de placer une alerte à la fraude ou de geler votre crédit si votre numéro de sécurité sociale a été exposé.

Protégez-vous contre le spear phishing

Le spear phishing fonctionne parce que les attaques semblent légitimes et surviennent au bon moment, ce qui les rend difficiles à détecter, même lorsqu'on sait ce qu'il faut chercher. Un logiciel de cybersécurité dédié peut vous aider à repérer les liens malveillants, les faux sites web et les spywares, même lorsque vous manquez de vigilance.

Norton 360 Deluxe intègre une protection contre les escroqueries puissante et propulsée par l'IA, qui aide à bloquer les sites web frauduleux, à analyser les téléchargements et les pièces jointes à la recherche de malwares, et à surveiller les applications pour détecter tout comportement suspect pouvant indiquer la présence d'un spyware. Il comprend également un gestionnaire de mots de passe, un antivirus, un VPN et des fonctions de surveillance de la confidentialité pour vous aider à supprimer vos informations personnelles des sites de courtiers en données.

FAQ

Comment les cybercriminels utilisent-ils l'IA dans le spear phishing ou harponnage ?

Les cybercriminels peuvent désormais utiliser des outils d'IA pour automatiser des attaques de spear phishing hautement personnalisées. Au lieu de créer manuellement des messages pour un petit nombre de cibles spécifiques, les attaquants peuvent utiliser l'IA pour concevoir des e-mails personnalisés à destination de milliers d'individus. En analysant les informations publiques, les habitudes rédactionnelles et les comportements en ligne, l'IA peut contribuer à générer des e-mails, des messages et de faux sites web ciblés, au ton plus naturel et plus convaincant. Les attaques de spear phishing sont ainsi plus difficiles à détecter et plus faciles à automatiser.

Le clone phishing est-il identique au spear phishing ou harponnage ?

Non. Le spear phishing cible une personne précise en utilisant des détails personnalisés pour rendre le message crédible. Le clone phishing, quant à lui, est une forme de spear phishing dans laquelle un message réel, reçu précédemment, est copié et renvoyé en y substituant un lien ou une pièce jointe malveillante à l'original.