Pourquoi les attaques modernes ne ressemblent plus aux arnaques d’hier
Pendant longtemps, détecter un email de phishing était relativement simple. Une faute d’orthographe grossière, une adresse email suspecte ou une promesse irréaliste suffisaient souvent à identifier une tentative d’escroquerie. Cette époque est révolue. Les cybercriminels, groupes d’espionnage et acteurs étatiques utilisent désormais des techniques beaucoup plus sophistiquées. Les attaques modernes sont conçues pour paraître parfaitement légitimes et exploitent des plateformes de confiance telles que Google, Microsoft, LinkedIn ou Dropbox. Pour les journalistes, ONG, chercheurs, défenseurs des droits humains et acteurs de la société civile, le véritable défi consiste désormais à repérer les signaux faibles.
Le piège des domaines homoglyphes
Imaginez recevoir un email provenant de : notifications@gmaiI.com
À première vue, rien d’anormal. Pourtant, le “l” de Gmail a été remplacé par un “I” majuscule. Cette technique est appelée attaque homoglyphe. Elle exploite des caractères visuellement similaires pour créer des adresses pratiquement indiscernables à l’œil nu. Les attaquants utilisent également :
- des alphabets cyrilliques ;
- des caractères grecs ;
- des noms de domaine quasi identiques ;
- des sous-domaines trompeurs.
Un simple copier-coller de l’adresse dans un éditeur monospace ou un outil spécialisé permet souvent de révéler la supercherie.
L’OAuth phishing : la nouvelle frontière du phishing
Aujourd’hui, les cybercriminels ne cherchent plus nécessairement à voler votre mot de passe. Ils préfèrent parfois obtenir votre consentement. Prenons un exemple. Une fenêtre Google apparaît : « L’application DocuViewer Pro souhaite accéder à votre Drive et envoyer des emails en votre nom. » Aucun mot de passe n’est demandé. Aucune page de phishing n’est visible. Pourtant, un clic sur « Autoriser » peut donner à l’attaquant un accès durable à vos données.
Cette technique, appelée OAuth Consent Phishing, contourne parfois les protections classiques comme l’authentification multifacteur. L’attaquant n’a pas besoin de connaître votre mot de passe : vous lui accordez vous-même les autorisations nécessaires.
Quand votre collègue n’est peut-être pas votre collègue
L’un des signaux faibles les plus dangereux concerne les demandes inhabituelles provenant de personnes connues. Vous recevez à 3 heures du matin un email signé par un collègue : « Peux-tu m’envoyer la liste des sources ? »
- Le ton est habituel.
- La signature semble authentique.
- L’adresse paraît correcte.
Pourtant, son compte peut avoir été compromis. Les professionnels de la sécurité recommandent alors une vérification dite « hors bande ». Autrement dit :
- appeler directement la personne ;
- lui écrire sur Signal ;
- utiliser un canal indépendant de l’email reçu.
Cette règle est particulièrement importante lorsque les informations demandées concernent :
- des sources journalistiques ;
- des données confidentielles ;
- des documents sensibles ;
- des informations personnelles.
Les faux recruteurs et les pièges LinkedIn
Les réseaux sociaux professionnels sont devenus un terrain de chasse privilégié pour les attaquants. Le scénario est souvent le même :
- création d’un profil crédible ;
- photo professionnelle ;
- poste attractif ;
- rémunération supérieure au marché ;
- envoi d’un PDF ou d’un document complémentaire.
Le piège repose sur la confiance.
Avant toute interaction, il est recommandé de vérifier :
- l’ancienneté du compte ;
- le nombre de connexions ;
- l’historique des publications ;
- l’existence réelle de l’entreprise ;
- la présence du recruteur sur le site officiel de l’organisation.
Un profil récent sans activité ni réseau professionnel constitue un indicateur de risque important.
La notification qui doit immédiatement déclencher une alerte
Vous êtes à Cotonou. Vous utilisez exclusivement un Mac. Pourtant, Google vous informe qu’une connexion a été détectée depuis Chrome sous Windows à Lagos. Dans ce cas, chaque minute compte. Une procédure de réponse rapide doit inclure :
- Signaler immédiatement que la connexion n’est pas légitime.
- Changer le mot de passe du compte.
- Révoquer les sessions actives.
- Vérifier les applications tierces autorisées.
- Contrôler les règles de transfert automatique d’emails.
- Renforcer l’authentification avec une clé de sécurité ou une passkey.
De nombreux attaquants installent des règles de transfert invisibles afin de continuer à recevoir les emails de la victime même après un changement de mot de passe.
Pourquoi les ONG et les journalistes sont particulièrement ciblés
Les enquêtes menées ces dernières années montrent que les organisations de la société civile sont régulièrement visées par :
- des campagnes de spear phishing ;
- des attaques OAuth ;
- des tentatives de compromission de comptes cloud ;
- des opérations de surveillance ciblée.
L’objectif n’est pas toujours financier.
Dans de nombreux cas, les attaquants cherchent à :
- identifier des sources ;
- surveiller des communications ;
- accéder à des rapports sensibles ;
- cartographier les réseaux de contacts ;
- collecter des informations stratégiques.
Les cinq réflexes à adopter
Face aux nouvelles formes de phishing :
- Vérifier systématiquement les adresses expéditrices.
- Se méfier des demandes inhabituelles même lorsqu’elles semblent provenir de personnes connues.
- Auditer régulièrement les applications ayant accès aux comptes Google ou Microsoft.
- Contrôler les notifications de connexion inhabituelles.
- Utiliser des méthodes d’authentification résistantes au phishing comme les clés de sécurité FIDO2 ou les passkeys.
Conclusion
Le phishing moderne ne repose plus sur des fautes d’orthographe grossières ou des emails maladroits. Il exploite la confiance, les habitudes numériques et les fonctionnalités légitimes des grandes plateformes. La différence entre une compromission réussie et une attaque déjouée se joue souvent sur un détail : une lettre remplacée, une autorisation OAuth inattendue, une demande inhabituelle ou une connexion depuis un appareil inconnu.
Dans un contexte où les journalistes, ONG et défenseurs des droits humains sont régulièrement ciblés, apprendre à détecter ces signaux faibles devient une compétence essentielle de résilience numérique.
Florent Youzan
SecureVoices.ORG – Plateforme de sensibilisation
à la Résilience numérique
Labs, Simulations, Serious Games
Références
- Citizen Lab Security Planner :
https://securityplanner.consumerreports.org/ - OAuth Phishing et Consent Phishing :
https://techcommunity.microsoft.com/blog/microsoft-entra-blog/oauth-consent-phishing-explained-and-prevented/4423357 - Attaques ciblant ONG, médias et société civile :
https://citizenlab.ca/research/sophisticated-phishing-targets-russias-perceived-enemies-around-the-globe/ - Les autorisations OAuth comme vecteur d’attaque :
https://cloud.google.com/blog/topics/threat-intelligence/shining-a-light-on-oauth-abuse-with-pwnauth - Les attaques homoglyphes et l’usurpation d’identité :
https://developers.googleblog.com/making-google-oauth-interactions-safer-by-using-more-secure-oauth-flows/ - Authentification résistante au phishing :
https://developers.google.com/identity/passkeys - Electronic Frontier Foundation – Surveillance Self-Defense :
https://ssd.eff.org/ - Reporters Sans Frontières – Guide de sécurité numérique :
https://rsf.org/fr/rsf-publie-une-nouvelle-%C3%A9dition-du-guide-pratique-de-s%C3%A9curit%C3%A9-des-journalistes