Phishing : Les techniques, les outils et les parades pour se prémunir des attaques
Un fléau omniprésent, dans vos mails, vos sms, et vos QRcode
Le phishing est la technique de cyberattaque la plus efficace et la plus répandue. Derrière un simple email frauduleux peut se cacher une compromission de données sensibles. Il ne se limite pas à l’email : SMS (smishing), appels téléphoniques (vishing), messageries instantanées (Teams, Discord), QrCode (Quishing) sont autant de vecteurs utilisés.
Dans cet article, nous explorons les deux principales méthodes de phishing, les outils exploités par les attaquants et les moyens techniques pour se protéger efficacement.
Les techniques de phishing : Clone et Man-in-the-Middle (MitM)
Phishing par clone
L’idée est simple : l’attaquant copie une page d’authentification officielle (Dropbox, VPN, Google, Microsoft, etc.) et la met en ligne sur un site frauduleux, souvent avec un nom de domaine très similaire à l’original. Une victime reçoit un email l'incitant à cliquer sur ce lien et, pensant interagir avec le vrai service, renseigne ses identifiants.
👉 Problèmes rencontrés par l'attaquant :
Adaptation des interfaces en cas de mises à jour
Authentification à double facteur (2FA) qui empêche l’utilisation directe des identifiants volés
Délais très courts pour exploiter les informations avant d’être détecté
Phishing en mode Man-in-the-Middle (MitM)
Dans ce scénario, l'attaquant utilise un serveur proxy malveillant entre la victime et le site légitime. L'utilisateur navigue sans se douter qu'un intercepteur capte toutes ses données, y compris son code 2FA.
👉 Pourquoi c'est plus efficace ?
Attaque indétectable : la victime interagit avec le vrai site.
Contournement des 2FA : l'attaquant récupère les jetons de session.
Persistance : il peut ajouter un nouvel appareil pour continuer à accéder au compte.
Des outils comme Evilginx exploitent cette technique en agissant comme proxy transparent pour les victimes.
Mise en pratique : vol d'identifiants Dropbox
Nous présentons trois outils permettant ces attaques en conditions réelles.
1. Gophish : phishing par clone
Outil open-source de simulation de campagnes de phishing
Interface permettant d'envoyer des emails, suivre les clics et capturer des identifiants
2. Evilginx : MitM sur une connexion sécurisée
Outil de phishing par reverse-proxy, permettant de récupérer cookies et tokens d'authentification
Fonctionne en SSL, rendant l'attaque indétectable pour l'utilisateur
3. Evilgophish : version améliorée avec smishing
Combine Gophish et Evilginx
Envoi de SMS malveillants exploitant Twilio pour leurrer les victimes
Comment se protéger efficacement ?
Côté utilisateur
✅ Sensibilisation et formation : Un utilisateur averti évite de cliquer sur des liens suspects. ✅ Vérification des URL : Toujours vérifier l'adresse avant d'entrer ses identifiants. ✅ Utilisation d'un gestionnaire de mots de passe : Empêche le remplissage automatique sur les faux sites. ✅ Privilégier l'authentification forte : Clés de sécurité matérielles comme YubiKey.
Côté serveur
🛡 Protection avancée contre les attaques MitM :
Détection des connexions suspectes avec Microsoft Entra ID (ex-Azure AD)
Surveillance des anomalies d'authentification
🛡 Vérifications techniques :
Mise en place de protections JavaScript validant l'URL d'origine
Utilisation de jetons chiffrés pour vérifier la provenance des requêtes
Conclusion : Une guerre sans fin entre attaquants et défenseurs
Le phishing est en constante évolution, s'adaptant aux nouvelles protections mises en place. Les techniques de Man-in-the-Middle deviennent accessibles à un plus grand nombre via des services de Phishing as a Service (Evilproxy, NakedPages, Tycoon).
Mais la sécurité reste un équilibre entre technologie et sensibilisation. Une authentification multi fateur restent les meilleurs moyens de prévenir ces attaques.