Spearfishing : Confession d’un chasseur numérique

Dans l’inconscient collectif, on m’imagine très jeune, geek, vêtu exclusivement de sweats à capuche et de vêtements amples. Pourtant, la réalité est bien différente. Je ne porte pas de masque, je n’ai pas besoin d’armes. Ma meilleure arme ? Les mots. 

Vous m’appelez « hacker », « pirate », « cybercriminel ». Moi, je préfère « chasseur ». Mon terrain, ce n’est pas la savane, mais vos boîtes mail, vos réseaux sociaux, vos habitudes numériques. Ma cible ? Toutes failles, qu’elles soient psychologiques ou informatiques tant qu’elles me rapportent le gros lot. Pour ça, je pratique un art subtil, voire chirurgical : le spearfishing.

Contrairement au phishing de masse, qui envoie des millions de mails grossiers dans l’espoir qu’une poignée de naïfs morde à l’hameçon, moi je cible. Je choisis ma proie, je l’observe, je la comprends. Je m’introduis dans sa vie numérique, pas avec violence, mais avec patience. Et quand j’appuie sur « Envoyer », je sais déjà qu’elle cliquera. Mais je ne suis pas seul. Je travaille avec une équipe, comme dans une véritable entreprise.

Bienvenue dans mon monde.

Une technique d'hameçonnage ultra-ciblée

La plupart des gens connaissent le phishing classique : ce fameux mail prétendant venir de votre banque, de votre opérateur téléphonique ou d’un service public, truffé de fautes d’orthographe. Vous pensez avoir l’œil. Vous riez en voyant ces messages. Vous vous croyez hors de danger. Pourtant, cette technique représente 80% de mes chances d’obtenir rapidement des résultats.

Mais le spearfishing, c’est autre chose. C’est une attaque sur mesure. Pas de faute d’orthographe, pas de logo mal copié. Mon message vous ressemble, il parle votre langage, il reprend vos codes internes, parfois même vos habitudes de communication.

Pourquoi ? Parce que je vous ai étudié.

LinkedIn, Facebook, Twitter, le site internet de votre entreprise, vos communiqués de presse, vos signatures de mail… Chaque détail me nourrit. Je collecte, je trie, j’analyse. Une fois le puzzle reconstitué, je sais quel ton employer, quelle urgence invoquer, quelle relation exploiter.

En clair : vous n'êtes plus une cible parmi des millions, vous êtes la cible.

Méthodes employées par les cyberattaquants

Nicolas S., responsable de la comptabilité dans une entreprise de 500 salariés, est une cible de premier choix. Je sais qu’il travaille sur un gros dossier avec un cabinet d’avocats. Comment ? J’ai lu un communiqué de presse publié trois semaines plus tôt.

Très loquace sur LinkedIn, il laisse également beaucoup trop d’informations personnelles sur d’autres sites… Avec le temps, on oublie souvent les traces qu’on a laissées sur des plateformes devenues de véritables friches numériques.

Quelques recherches suffisent à constater que son entreprise n’a pas de RSSI. Parfait, pas de protection optimale. Avec un SOC, ma tâche aurait été bien plus complexe.

Un de mes partenaires, « Roxor@411 », analyse la sécurité des emails afin de vérifier si le DMARC, SPF et DKIM sont correctement configurés : ce n’est pas le cas. La configuration du domaine n’a pas été réalisée correctement. Voilà ma porte d’entrée supplémentaire. Le spoofing reste redoutablement efficace contre les entreprises dépourvues de solution anti-phishing.

Revenons à Nicolas S. Je scrute son profil LinkedIn. Il est passionné de basket. Je crée un faux profil sur LinkedIn, celui d’une femme travaillant pour la Fédération française de basket. Belle photo, centres d’intérêt banals, mais suffisamment crédible pour ne pas éveiller de soupçons.

Il faudra moins de 48h pour avoir un réseau, des publications, des recommandations. Le piège est tendu, j'entre en contact avec lui.

Conséquences de cette cyberattaque

Quelques échanges, c’est tout, pour obtenir sa confiance. Je lui envoie une invitation pour un événement de basket avec une pièce jointe.

Objet : Urgent – Invitation à la finale du Championnat NCAA

Bonjour Nicolas,

Je me permets de te transmettre en pièce jointe les billets en loge VIP pour la finale du championnat de basket. Pense bien à les télécharger vite pour valider ta place.

Bien à toi,

[Nom du faux profil]

La pièce jointe ? Un fichier PDF avec une charge utile : un malware polymorphe conçu pour contourner les protections EDR. Il suffit de 3 jours pour que le Stealer s’active en toute discrétion sur son poste de travail. Je récupère ses identifiants Microsoft 365, je surveille ses mails, j’attends le moment opportun pour lancer une demande de virement frauduleux. Coup de chance : le tenant est mal configuré et la double authentification requise sur le compte 365 présente des failles.

Et le pire ? Ce scénario n’a rien de fictif. Il arrive chaque jour.

Pour vous, victime, ce n’est pas qu’un simple clic. C’est une faille ouverte :

• Financière : virements frauduleux, usurpations de compte, détournement de fonds
• Réputationnelle : fuite de données sensibles, perte de confiance de vos clients
• Légale et réglementaire : amendes liées au RGPD, poursuites judiciaires, obligations de notification
• Opérationnelle : blocage d’activité, rançongiciels, interruptions critiques

Un mail, une pièce jointe, un clic et c’est l’équivalent d’une porte blindée laissée grande ouverte dans votre siège social.

Reconnaître un mail de spearfishing

Ce que vous venez de lire illustre la mécanique psychologique du spearfishing : exploiter la confiance humaine. Même la meilleure technologie de cybersécurité échoue si l’humain n’est pas vigilant.

Les hackers ne cherchent pas la complexité technique à tout prix. Leur arme favorite, c’est l’ingénierie sociale : convaincre, manipuler, abuser de l’urgence et de l’autorité pour obtenir un clic ou une action.

Et plus l’attaque est personnalisée, plus elle est redoutable.

Soyons clairs : même un œil averti peut se faire avoir. Mais certains signaux doivent alerter :

1. Le sentiment d’urgence : « Faites vite », « Validez avant ce soir »
2. Une demande inhabituelle : virement exceptionnel, ouverture de pièce jointe inattendue
3. Un ton trop familier ou trop formel : souvent légèrement décalé
4. L’adresse d’expédition suspecte : parfois un seul caractère change
5. Une pièce jointe ou un lien non attendu

La vigilance doit être systématique, pas ponctuelle.

Se protéger contre le spearfishing

La défense contre le spearfishing repose sur trois piliers :

1. La sensibilisation

Former régulièrement les collaborateurs aux techniques d’ingénierie sociale. Les simulations d’attaques sont un excellent moyen d’entraîner les équipes.

2. Les technologies de filtrage

• Outils de détection avancée des mails frauduleux
• Authentification renforcée (MFA) pour limiter l’impact d’un vol d’identifiants
• Chiffrement et segmentation des systèmes

3. Les processus internes

• Procédure de validation des virements supérieurs à un certain montant
• Vérification téléphonique systématique en cas de demande inhabituelle
• Signalement immédiat aux équipes IT ou sécurité en cas de doute

Le spearfishing n’est pas une fatalité. Mais il demande de la discipline et une culture de la vigilance partagée.

Conclusion

Vous pensez être trop petit pour m’intéresser ? Faux. Les grandes entreprises sont mieux protégées. Les PME, elles, sont souvent mon terrain de chasse préféré.

Vous pensez que vos collaborateurs sont formés ? Il suffit d’un seul clic.

Vous pensez que vos données n’ont pas de valeur ? Croyez-moi, elles en ont.                                                                                       

Alors oui, je suis un chasseur. Mais vous n’êtes pas obligé d’être ma proie.

La prochaine fois que vous recevrez un mail pressant, souvenez-vous : quelque part, un hacker espère que vous ne prendrez pas deux secondes de plus pour réfléchir.

Et ces deux secondes peuvent sauver votre entreprise.