Qu’est-ce que le whaling ?

Ces attaques ciblent les cadres dirigeants (PDG, directeurs financiers, directeurs des opérations), d’autres cadres supérieurs, les titulaires de mandats politiques et les dirigeants d’organisations en mesure d’autoriser des paiements ou des virements importants, ou encore la divulgation d’informations sensibles sans l’approbation d’autres personnes. Ces cibles sont qualifiées de « gros poissons », en référence à leur influence importante.

Il est important de comprendre le lien entre hameçonnage, phishing ciblé et whaling, principalement parce que ces termes sont souvent employés de manière interchangeable, incorrecte ou sans contexte.

L’hameçonnage désigne tout e-mail, SMS ou appel téléphonique frauduleux qui vise à inciter son destinataire à télécharger des logiciels malveillants (via un lien malveillant ou un fichier joint), à partager des informations sensibles, à envoyer de l’argent aux criminels ou à d’autres actions susceptibles de l’exposer, lui ou son organisation, à une cyberattaque.

Toute personne équipée d’un ordinateur ou d’un smartphone a probablement déjà reçu une attaque d’ hameçonnage en masse, c’est-à-dire un message qui semble provenir d’une entreprise ou d’une organisation bien connue, qui décrit une situation courante ou crédible et qui exige une action urgente (par exemple : « Votre carte de crédit a été refusée. Veuillez cliquer sur le lien ci-dessous pour mettre à jour vos informations de paiement. ») Les destinataires qui cliquent sur le lien sont redirigés vers un site web malveillant susceptible de dérober leur numéro de carte de crédit ou de télécharger des logiciels malveillants sur leurs ordinateurs.

Tout l’intérêt d’une campagne d’hameçonnage en masse repose sur sa portée. Les pirates envoient des messages à autant de personnes que possible en sachant pertinemment qu’un certain pourcentage va mordre à l’hameçon. Une étude a ainsi comptabilisé plus de 255 millions de messages d’hameçonnage sur une période de six mois en 2022. Selon le rapport 2024 d’IBM sur le coût d’une violation de données, l’hameçonnage était la deuxième cause la plus fréquente de violations de données en 2024 et la méthode la plus courante pour délivrer des ransomwares aux victimes.

Le phishing ciblé, ou harponnage, désigne une attaque par hameçonnage qui cible une personne ou un groupe spécifique de personnes au sein d’une organisation. Les attaques par phishing ciblé sont généralement lancées à l’encontre de responsables de niveau intermédiaire qui peuvent autoriser des paiements ou des transferts de données (responsables de la comptabilité fournisseurs, directeurs des ressources humaines) par un pirate se faisant passer pour un collègue ayant autorité sur la cible, ou un collaborateur (par exemple, fournisseur, partenaire commercial, conseiller) en qui la cible a confiance.

Les attaques par phishing ciblé sont plus personnalisées que les attaques par hameçonnage en masse et nécessitent plus de travail et de recherches. Mais ces efforts supplémentaires peuvent se révéler payants pour les cybercriminels. Des cybercriminels ont ainsi dérobé plus de 100 millions de dollars à Facebook et Google entre 2013 et 2015 en se faisant passer pour des fournisseurs légitimes et en incitant les employés à régler des factures frauduleuses.

Le whaling désigne une attaque par phishing ciblé destinée exclusivement à un cadre ou un représentant de haut niveau. Le pirate usurpe généralement l’identité d’un collègue au sein de l’organisation ciblée, ou d’un collaborateur ou d’un associé à responsabilité égale ou supérieure d’une autre organisation.

Les messages de whaling sont hautement personnalisés. Les pirates se donnent beaucoup de mal pour imiter le style d’écriture de l’expéditeur réel et, lorsque c’est possible, de faire référence à des conversations professionnelles réelles en cours. Pour cela, un grand nombre de fraudeurs espionnent les conversations entre l’expéditeur et la cible. La plupart tenteront ainsi de détourner le compte de messagerie électronique ou SMS de l’expéditeur pour envoyer le message d’attaque directement à partir de ce dernier et assurer ainsi une authenticité maximale.

Comme ces attaques ciblent des individus en capacité d’autoriser des paiements plus importants, elles offrent la possibilité d’un gain immédiat plus élevé pour l’attaquant.

Le whaling est parfois assimilé aux attaques par compromission d’e-mails professionnels (BEC, ou Business Email Compromise en anglais), un autre type d’attaque par phishing ciblé pour lequel le pirate envoie à la cible un e-mail frauduleux qui semble provenir d’un collègue. Pourtant, toutes les attaques BEC ne sont pas des attaques par whaling (car elles ciblent fréquemment les employés subalternes), et le whaling ne relève pas toujours de la compromission d’e-mails professionnels (car elle n’implique pas toujours un e-mail), mais la plupart des attaques par whaling les plus lucratives impliquent également des attaques BEC. En voici quelques exemples :

• En 2015, Ubiquity Networks a perdu près de 47 millions de dollars en seulement 17 jours lors d’une attaque par whaling : des pirates se faisant passer pour le PDG et le directeur juridique de l’entreprise ont envoyé des e-mails au directeur comptable et sont parvenus ainsi à convaincre ce dernier d’effectuer une série de virements électroniques pour financer une acquisition secrète.
  
  
• En 2018, le groupe Pathé a perdu 19,2 millions d’euros lorsque des escrocs se faisant passer pour le PDG du siège social de Pathé en France ont envoyé un e-mail au PDG du bureau néerlandais de l’entreprise sollicitant des virements électroniques pour financer une acquisition.
  
  
• En 2018 toujours, des pirates se faisant passer pour le PDG, les cadres supérieurs et le conseiller juridique de la société italienne Tecnimont SpA ont poussé le dirigeant de l’unité commerciale indienne de l’entreprise à transférer 1,3 milliard de roupies indiennes (18,25 millions de dollars) à une banque de Hong Kong, toujours sous le prétexte de financer une acquisition. Les attaquants ont même pris l’initiative d’organiser plusieurs fausses conférences téléphoniques pour discuter des détails de l’« acquisition ».

L’hameçonnage, le phishing ciblé et le whaling sont tous des exemples d’attaques d’ingénierie sociale : des attaques qui exploitent principalement les vulnérabilités humaines plutôt que les vulnérabilités techniques pour compromettre la sécurité. Parce qu’elles laissent beaucoup moins de preuves numériques que les logiciels malveillants ou le piratage, il peut être d’autant plus difficile pour les équipes de sécurité et les professionnels de la cybersécurité de les détecter ou les contrer.

La plupart des attaques par whaling visent à dérober d’importantes sommes d’argent à une entreprise, en trompant un responsable de haut niveau jusqu’à ce qu’il effectue, autorise ou demande un virement bancaire à destination d’un fournisseur ou d’un compte bancaire frauduleux. Mais ces attaques peuvent avoir d’autres objectifs, notamment :

• Dérober des données sensibles ou des informations confidentielles. Cela peut inclure le vol de données personnelles, telles que les informations sur la paie des employés ou les données financières personnelles des clients. Ces attaques peuvent aussi cibler la propriété intellectuelle, les secrets commerciaux et d’autres informations sensibles.
  
  
• Dérober les identifiants des utilisateurs. Certains cybercriminels lancent une attaque préliminaire par whaling afin de voler des identifiants de messagerie, qui leur permettront ensuite de lancer une seconde attaque à partir d’un compte de messagerie piraté. D’autres encore utilisent ces informations d’identification pour obtenir un accès de haut niveau aux actifs ou aux données sur le réseau de la cible.
  
  
• Implanter des logiciels malveillants. Une part relativement faible des attaques de whaling vise à inciter les cibles à propager des ransomwares ou autres malwares en ouvrant des fichiers malveillants joints ou en visitant un site Web malveillant.

Encore une fois, la plupart des attaques par whaling sont motivées par la cupidité. Mais il peut aussi s’agit d’une vengeance personnelle contre un dirigeant ou une entreprise, de pressions concurrentielles ou d’un acte d’activisme social ou politique. Les attaques par whaling contre des hauts fonctionnaires peuvent aussi relever du cyberterrorisme, indépendant ou avec l’appui d’un État.

Les cybercriminels choisissent un gros poisson ayant accès à leur objectif et un expéditeur ayant accès à ce gros poisson. Par exemple, un cybercriminel qui souhaite intercepter les paiements d’une entreprise à un partenaire de sa chaîne d’approvisionnement peut envoyer une facture au directeur financier, puis solliciter son règlement en usurpant l’identité du PDG dudit partenaire. De même, un attaquant qui souhaite dérober les données d’employés peut se faire passer pour le directeur financier et demander des informations sur la paie au vice-président des ressources humaines.

Pour rendre les messages des expéditeurs crédibles et convaincants, les escrocs effectuent des recherches approfondies sur leurs cibles et leurs expéditeurs, ainsi que sur les organisations dans lesquelles ils travaillent.

Grâce aux nombreuses informations partagées sur les réseaux sociaux et en ligne, ils peuvent trouver une grande partie des informations dont ils ont besoin au moyen d’une simple recherche sur des sites de réseaux sociaux ou le Web. Par exemple, en étudiant simplement le profil LinkedIn d’une cible potentielle, un pirate peut connaître l’intitulé de son poste, ses responsabilités, son adresse e-mail professionnelle, le nom du service, les noms et les titres de ses collègues et partenaires commerciaux, ses événements et voyages d’affaires à venir.

En fonction de la cible, les médias grand public, spécialisés et locaux peuvent fournir des informations supplémentaires (par exemple, des rumeurs de transactions ou des transactions réalisées, des projets faisant l’objet d’un appel d’offres, des coûts de construction prévus) que les escrocs peuvent utiliser. Les pirates peuvent souvent créer un e-mail de phishing ciblé convaincant après quelques recherches générales sur Google.

Mais les escrocs vont souvent plus loin en piratant la cible et l’expéditeur pour recueillir des informations encore plus exhaustives. Cela peut être aussi simple que d’infecter les ordinateurs de la cible et de l’expéditeur avec des logiciels espions qui permettent au cybercriminel de consulter le contenu des fichiers pour des recherches supplémentaires. Les escrocs plus ambitieux iront jusqu’à pirater le réseau de l’expéditeur ainsi que ses comptes de messagerie électronique ou SMS, afin d’espionner des conversations réelles et de s’y infiltrer.

Lorsque le moment est venu de frapper, l’escroc envoie le(s) message(s) d’attaque. Les messages de whaling les plus efficaces semblent s’intercaler dans une conversation en cours, incluent des références détaillées à un projet ou une transaction spécifique, présentent une situation crédible (une tactique d’ingénierie sociale appelée pretexting) et formulent une demande tout aussi crédible. Par exemple, un attaquant qui usurpe l’identité du PDG d’une entreprise pourrait envoyer ce message au directeur financier :

Suite à notre conversation d’hier, vous trouverez ci-joint une facture des avocats chargés de l’acquisition de BizCo. Merci de la régler avant 17 h demain, comme indiqué dans le contrat. Merci.

Dans cet exemple, la facture jointe peut être une copie d’une facture du cabinet d’avocats, modifiée pour diriger le paiement vers le compte bancaire de l’escroc.

Pour paraître authentiques aux yeux de la cible, les messages de whaling peuvent intégrer plusieurs tactiques d’ingénierie sociale, notamment :

• L’usurpation du domaine d’e-mail. Si les pirates ne peuvent pas pirater le compte de messagerie de l’expéditeur, ils créeront des domaines similaires (par exemple, jean.martin@enterprise.com au lieu de jean.martin@entreprise.com). Les e-mails de whaling peuvent également contenir des signatures e-mail copiées, des déclarations de confidentialité et d’autres indices visuels qui les rendent authentiques au premier coup d’œil.
  
  
• Un sentiment d’urgence. Un sentiment d’urgence (par exemple, des références à des échéances critiques ou à des frais de retard) peut pousser la cible à agir dans la précipitation, sans prendre le temps d’examiner plus attentivement la demande.
  
  
• Insister sur la confidentialité. Les messages de whaling contiennent souvent des instructions telles que « Veuillez garder cela pour vous pour l’instant » afin d’empêcher la cible de s’adresser à d’autres personnes susceptibles de remettre en question la demande.
  
  
• Voice phishing ou vishing. Les messages d’hameçonnage incluent de plus en plus des numéros de téléphone que la cible peut appeler. Certains escrocs accompagnent même les e-mails d’hameçonnage de messages vocaux qui utilisent l’intelligence artificielle pour usurper l’identité de l’expéditeur.

Les attaques par whaling, comme toutes les attaques par hameçonnage, comptent parmi les cyberattaques les plus difficiles à combattre, car elles ne peuvent pas toujours être identifiées par les outils de cybersécurité traditionnels (basés sur les signatures). Dans de nombreux cas, le pirate a simplement besoin de contourner des barrières de sécurité « humaines ». Les attaques par whaling sont particulièrement pernicieuses, car leur nature ciblée et leur contenu personnalisé les rendent encore plus convaincantes pour la cible ou les observateurs.

Néanmoins, il existe des mesures que les organisations peuvent prendre pour atténuer l’impact du whaling, voire prévenir complètement ce type d’attaques.

Formation de sensibilisation à la sécurité. Étant donné que le whaling exploite les vulnérabilités humaines, la formation du personnel est une ligne de défense importante. La formation antihameçonnage peut inclure les points suivants :

• Enseigner au personnel des techniques pour reconnaître les e-mails suspects (vérifier les noms d’expéditeur des e-mails pour identifier les noms de domaine frauduleux)
  
  
• Conseils pour éviter le « partage excessif » sur les réseaux sociaux
  
  
• Mettre l’accent sur les bonnes pratiques de sécurité : ne jamais ouvrir de pièces jointes non sollicitées, confirmer les demandes de paiement inhabituelles via un deuxième canal, appeler les fournisseurs pour confirmer les factures, accéder aux sites web par ses propres moyens au lieu de cliquer sur des liens dans les e-mails.
  
  
• Simulations de whaling où les dirigeants peuvent appliquer ce qu’ils ont appris.

Authentification multifacteur et adaptative. La mise en œuvre d’une authentification multifacteur (exigeant une ou plusieurs informations d’identification en plus du nom d’utilisateur et du mot de passe) et/ou d’une authentification adaptative (exigeant des informations d’identification supplémentaires lorsque les utilisateurs se connectent à partir de différents appareils ou emplacements) peut empêcher les pirates d’accéder au compte de messagerie d’un utilisateur, même s’ils parviennent à voler le mot de passe de la messagerie de l’utilisateur.

Logiciel de sécurité. Aucun outil de sécurité ne peut à lui seul empêcher les attaques de whaling, mais plusieurs outils peuvent jouer un rôle pour prévenir ces attaques ou minimiser leurs dommages :

• Certains outils de sécurité de la messagerie électronique, notamment les logiciels anti-hameçonnage basés sur l’IA, les filtres antispam et les passerelles de messagerie sécurisées, peuvent aider à détecter et à détourner les e-mails de whaling.
  
  
• Les logiciels antivirus peuvent aider à neutraliser les logiciels espions ou malveillants utilisés par les pirates pour pirater les réseaux ciblés afin de mener des recherches, d’espionner des conversations ou de prendre le contrôle des comptes de messagerie. (Ils peuvent également aider à neutraliser les attaques par ransomware ou les infections de logiciels malveillants causées par le whaling.)
  
  
• Les correctifs système et logiciels peuvent résoudre les vulnérabilités techniques couramment exploitées par les cybercriminels.
  
  
• Les passerelles web sécurisées et autres outils de filtrage web peuvent bloquer les sites web malveillants auxquels renvoient les e-mails de whaling.
  
  
• Les solutions de sécurité d’entreprise peuvent aider les équipes de sécurité et les centres d’opérations de sécurité (SOC) à détecter et à intercepter le trafic et l’activité réseau malveillants liés aux attaques par whaling. Elles comprennent (entre autres) l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion des incidents et événements de sécurité (SIEM), la détection et réponse des terminaux (EDR), la détection et réponse des réseaux (NDR) et la détection et réponse étendues (XDR).