Skip to content
Qu'est-ce que le Phishing (hameçonnage) ?
Cybersécurité Niveau : Débutant Temps de lecture : 3 min

Qu'est-ce que le Phishing (hameçonnage) ?

La technique d'ingénierie sociale qui détourne vos accès en imitant des services de confiance

Le phishing est une méthode de fraude visant à voler des identifiants par usurpation d'identité numérique. Comprendre les mécanismes des attaques et les réflexes de protection.

Le phishing ne cherche pas à briser la sécurité de vos serveurs par la force brute. Il exploite la faille la plus prévisible de votre infrastructure informatique : l’humain qui clique sur le mauvais lien.

Au programme de cet article

Les mécanismes de détournement des identifiants en trois étapes

Tout commence par l’envoi massif ou ciblé de messages électroniques. L’attaquant usurpe l’identité d’un service connu comme une banque, un fournisseur d’accès ou un outil métier interne. Le message est conçu pour paraître légitime en utilisant les logos, la charte graphique et le ton de l’organisation imitée.

La redirection vers le piège de confiance

Le lien contenu dans le message ne mène pas vers le site officiel, mais vers une copie conforme hébergée sur un serveur tiers. Cette page page de capture est techniquement identique à l’originale. Elle est conçue pour enregistrer chaque caractère saisi par l’utilisateur, des identifiants aux codes de double authentification.

Une fois les informations saisies, le script envoie les données directement vers le serveur de l’attaquant. La victime est redirigée vers le vrai site web pour masquer la supercherie. L’attaquant dispose alors d’un accès valide qu’il peut exploiter immédiatement pour exfiltrer des données ou installer des logiciels malveillants sur le réseau de l’entreprise.

Le phishing se distingue des attaques techniques par sa cible humaine

Les attaques informatiques classiques comme l’exploitation d’une faille dans un pilote ou une mauvaise configuration de la mémoire, visent à forcer l’entrée dans un système. Le phishing, lui, demande poliment la clé d’entrée à l’utilisateur. Il ne cherche pas à contourner les protections, il les rend inutiles en utilisant des accès légitimes.

Critère Intrusion technique Phishing
Cible Logiciel ou matériel Utilisateur humain
Méthode Exploitation de faille Ingénierie sociale
Action requise Aucune Clic ou saisie
Défense Mise à jour, correctifs Sensibilisation, vigilance
Objectif Accès système Vol d’identifiants

Un virus cherche à s’exécuter sur une machine, tandis que le phishing cherche à obtenir une autorisation humaine. La différence est fondamentale pour la stratégie de défense, là où un antivirus bloque un fichier, la sensibilisation des utilisateurs est le seul rempart contre le phishing.

Les réflexes de vérification avant chaque clic

  1. Survolez systématiquement les liens avec la souris pour afficher l’adresse de destination avant de cliquer.

  2. Vérifiez l’adresse mail de l’expéditeur, pas seulement le nom affiché qui peut être modifié.

  3. Ne saisissez jamais vos identifiants sur une page accessible via un lien reçu par mail, passez toujours par le site officiel.

  4. Activez la double authentification (MFA) sur tous vos comptes critiques pour rendre les identifiants volés inutilisables seuls.

  5. Signalez toute tentative suspecte au service informatique pour permettre une mise à jour des filtres de sécurité.

Est-ce qu’un antivirus peut bloquer tout le phishing ?

Non, les antivirus classiques peinent à détecter le phishing car il ne s’agit pas d’un code malveillant, mais d’une page web légitime au contenu trompeur. Seules les solutions de filtrage web et de messagerie avec analyse comportementale peuvent réduire significativement les risques.

Pourquoi le phishing est-il si difficile à éradiquer ?

Le phishing exploite la psychologie humaine, la peur, l’urgence et la confiance. Tant que les utilisateurs seront sollicités par mail ou SMS, les attaquants trouveront des failles dans l’attention humaine.