Pourquoi l’hameçonnage demeure un danger en 2025

Quelles sont les différentes formes d’hameçonnage?

Hameçonnage traditionnel par courriel

L’hameçonnage par courriel demeure la forme la plus courante, bien qu’elle se soit énormément raffinée. Les hameçonneurs modernes se servent souvent de l’IA pour composer des messages personnalisés, sans erreurs de grammaire et beaucoup plus difficiles à détecter.

Ces courriels peuvent :

• imiter à la perfection des entreprises légitimes en reproduisant fidèlement leur logo, graphisme et façon de s’exprimer;
• mentionner de véritables transactions ou activités s’étant produites dans vos comptes;
• utiliser votre nom et vos renseignements personnels glanés dans des fuites de données ou sur les médias sociaux;
• inventer une urgence fictive, mais crédible;
• comporter des liens vers des sites Web frauduleux qui semblent identiques aux originaux.

La principale différence par rapport à l’hameçonnage d’autrefois, c’est que les courriels d’aujourd’hui parviennent souvent à tromper l’instinct qui nous protégeait auparavant. (On pouvait par exemple se dire : « Je ne connais personne dans une prison sud-africaine. »)

Harponnage

Avec le harponnage, la personnalisation passe à la vitesse supérieure. Ces attaques individualisées visent précisément certaines personnes ou organisations. En 2024, elles ont coûté plus de 67 millions de dollars aux victimes canadiennes.

Les harponneurs peuvent :

• faire des recherches poussées sur leurs victimes dans les médias sociaux, sites Web d’entreprises et documents publics;
• se faire passer pour des collègues, fournisseurs ou partenaires d’affaires à l’aide de détails convaincants;
• mener leurs attaques à des moments stratégiquement choisis, par exemple lors de congrès, de lancements de produits ou de périodes occupées;
• exploiter des renseignements internes au sujet des processus, relations ou projets en cours dans une entreprise.

Hameçonnage par message texte

La fréquence de l’hameçonnage par message texte a augmenté de 22 % (en anglais), notamment parce que les gens ont tendance à faire davantage confiance aux textos qu’aux courriels. De plus, ils les lisent souvent immédiatement.

Voici quelques tactiques courantes d’hameçonnage par texto :

• Fausse notification de livraison (on vous demande de payer des frais ou de mettre à jour votre adresse);
• Alerte de la banque au sujet d’une activité suspecte (on vous invite à vérifier votre compte);
• Personnification d’un représentant du gouvernement (on vous annonce que vous devez des impôts ou avez droit à un remboursement);
• Contournement de l’authentification à deux facteurs (on vous amène par la ruse à divulguer un code de vérification).

Ce type d’hameçonnage est dangereux, puisque les messages textes paraissent plus urgents et personnels, ce qui porte les gens à agir rapidement, sans réfléchir.

Hameçonnage vocal (par téléphone)

L’hameçonnage par téléphone gagne en sophistication. Il s’agit par ailleurs de la forme d’hameçonnage la plus répandue dans certaines régions, représentant plus de 60 % (en anglais) des tentatives d’hameçonnage au premier trimestre de 2025.

Les attaques d’hameçonnage vocal ont souvent recours à :

• la modification du numéro de téléphone affiché, pour que l’appel semble provenir d’une organisation légitime;
• la synthèse vocale par l’IA, qui permet d’imiter de vraies personnes ou de créer des voix réalistes;
• des scénarios détaillés répondant aux questions et objections courantes;
• des tactiques de pression qui créent un sentiment d’urgence et empêchent la victime de réfléchir clairement.

Un exemple classique : l’imitation de l’Agence du revenu du Canada. L’appelant déclare que vous avez des impôts en souffrance et menace de vous arrêter sur-le-champ si vous ne réglez pas votre dû par carte-cadeau ou virement bancaire.

Usurpation d’identité sur les médias sociaux

Les médias sociaux sont devenus un terrain de jeu pour les hameçonneurs, qui y créent de faux profils ou s’emparent de comptes véritables pour tromper leurs victimes.

Leurs attaques peuvent prendre différentes formes :

• Faux profils qui imitent de vraies personnes ou entreprises pour gagner votre confiance;
• Compromission de comptes de proches ou de collègues pour l’envoi de liens malicieux;
• Faux comptes de service à la clientèle répondant à des plaintes avec des liens « utiles »;
• Escroqueries amoureuses où l’arnaqueur tisse des liens au fil du temps avant de solliciter de l’argent ou de l’information;
• Recruteur offrant de faux emplois sur LinkedIn pour obtenir des renseignements personnels.

Hameçonnage par code QR

L’hameçonnage par code QR connaît un essor rapide, 12 % de toutes les tentatives d’hameçonnage (en anglais) contenaient un code QR en 2024. Microsoft déclare avoir bloqué environ 1,5 million de ces tentatives par jour l’an dernier.

L’hameçonnage par code QR consiste à :

• intégrer des codes QR malicieux dans des courriels, des affiches ou même des menus de restaurant;
• diriger les internautes vers de faux sites Web qui volent les identifiants de connexion ou installent des maliciels;
• déjouer les filtres de sécurité des services de courriel, qui peuvent détecter les liens malicieux, mais laisser passer les codes QR;
• exploiter la confiance des gens, qui présument que les codes QR ne sont pas dangereux.

Attaque par demande d’authentification répétée

Les attaques par demande d’authentification répétée exploitent une mesure de sécurité conçue pour vous protéger. L’arnaqueur inonde sa victime de demandes d’authentification à plusieurs facteurs (APF) jusqu’à ce qu’elle finisse par en approuver une pour faire cesser les notifications.

Ce type d’attaque :

• bombarde la victime de dizaines de demandes d’authentification;
• suscite une frustration qui mène à de mauvaises décisions;
• mise sur l’idée préconçue selon laquelle les demandes d’APF sont toujours légitimes;
• permet de contourner l’une des mesures de sécurité les plus robustes sur le marché.

Exemples d’attaques d’hameçonnage réelles

Hameçonnage de comptes Gmail et Google

Les comptes Google sont des cibles de choix, car ils servent souvent de clé maîtresse pour d’autres comptes. Les pirates créent de fausses pages de connexion Google fort réalistes, puis utilisent les identifiants volés pour accéder aux boîtes courriel, au stockage infonuagique et à d’autres services connectés.

Fuite de données Snapchat (par harponnage)

Les réseaux sociaux sont fréquemment la cible de tentatives de harponnage auprès du personnel d’entreprises. Les fraudeurs font d’abord des recherches sur les abonnés de LinkedIn et d’autres plateformes, puis envoient des courriels personnalisés pour pousser leurs cibles à révéler des identifiants de connexion.

Imitation de banques et d’établissements financiers

La personnification des banques demeure l’une des formes d’hameçonnage les plus dommageables sur le plan financier. Les fraudeurs créent de faux sites Web, puis envoient des courriels ou des textos crédibles annonçant une activité suspecte dans votre compte. Ils s’emparent ensuite de vos informations de connexion quand vous tentez de « valider » votre identité.

Tentatives de fraude par PayPal

L’hameçonnage par PayPal prend souvent la forme de faux avis de paiement ou de demandes de vérification de compte. Ces communications peuvent être particulièrement convaincantes, puisqu’elles mentionnent généralement les montants de véritables transactions ou des renseignements partiels sur votre compte.

Personnification de l’ARC et d’autres entités gouvernementales

Les arnaques par usurpation d’identité gouvernementale jouent sur la peur des conséquences juridiques. Elles s’adressent souvent aux personnes nouvellement arrivées au pays, qui ne sont pas habituées à la façon dont les organismes d’État communiquent.

Jamais l’Agence du revenu du Canada ne va :

• menacer de vous arrêter ou de vous déporter sur-le-champ;
• exiger un paiement par carte-cadeau ou cryptomonnaie;
• demander des renseignements personnels par courriel ou message texte;
• employer un langage agressif ou menaçant.