Cybersécurité

Phishing : reconnaître et neutraliser les tentatives d’hameçonnage

4 min de lecture
Phishing : reconnaître et neutraliser les tentatives d’hameçonnage

Ce que vous saurez faire

  1. Reconnaître les signaux de phishing
  2. Tester une URL suspecte sans cliquer
  3. Analyser .eml en profondeur
  4. Playbook compte compromis

Étape 1 — Anatomie d’un phishing moderne

1. Reconnaissance (OSINT LinkedIn, leaks)
2. Préparation (typosquat domaine, clone page)
3. Livraison (email, SMS, Teams, WhatsApp)
4. Exécution (vol identifiants, malware)
5. Exfiltration (accès mail, virements)
6. Persistance (règles transfert, MFA backdoor)

Étape 2 — Signaux techniques

Email:
  From: "Wave Support" <support@wave-sn.icu>   domaine .icu suspect
  Reply-To: différent du From
  Return-Path: anonyme (noreply@protonmail...)
  Homographe: exampIe.sn (I majuscule)
  Pièce jointe: factur.zip, RIB.html, invoice.xlsm

SMS:
  Lien raccourci (bit.ly, tinyurl)
  Expéditeur alphanumérique non vérifié
  Message générique sans votre nom

Étape 3 — Tester URL sans cliquer

# Expansion URL courte
curl -sI "https://bit.ly/XXXX" | grep -iE '^location:'

# VirusTotal réputation
curl -s "https://www.virustotal.com/api/v3/urls/$(echo -n 'suspect.com' | base64 | tr -d '=')" \
     -H "x-apikey: $VT_KEY" | jq .data.attributes.last_analysis_stats

# Âge domaine
whois suspect-site.com | grep -iE '(creation|registrar)'

Étape 4 — Analyse .eml

import email, re

with open("suspect.eml","rb") as f:
    msg = email.message_from_bytes(f.read())

print("From:", msg["From"])
print("Return-Path:", msg["Return-Path"])
print("Reply-To:", msg["Reply-To"])
print("Auth:", msg["Authentication-Results"])

# Extraire URLs
body = "".join(p.get_payload(decode=True).decode(errors='ignore')
               for p in msg.walk()
               if p.get_content_type() in ("text/html","text/plain"))

urls = re.findall(r'https?://[^\s<>"\)]+', body)
for u in urls: print("-", u)

Étape 5 — URLScan pour analyse sans risque

import requests, os

for u in urls:
    r = requests.post("https://urlscan.io/api/v1/scan/",
        headers={"API-Key": os.environ["URLSCAN_KEY"],
                 "Content-Type":"application/json"},
        json={"url": u, "visibility":"unlisted"})
    print(u, "→", r.json().get("result"))

Étape 6 — M365 compromis playbook

Connect-ExchangeOnline

# Voir règles malveillantes
Get-InboxRule -Mailbox user@itsc.sn | Format-List Name,ForwardTo,RedirectTo,DeleteMessage

# Supprimer règle suspecte
Remove-InboxRule -Mailbox user@itsc.sn -Identity "Regle suspecte"

# Voir transferts externes
Get-Mailbox user@itsc.sn | Select ForwardingSMTPAddress, ForwardingAddress

# Révoquer TOUS les tokens
Revoke-AzureADUserAllRefreshToken -ObjectId "user@itsc.sn"

Étape 7 — Google Workspace compromis

Admin Console → Security → Alert Center
  Login géo improbable
  Account suspended system
  Data exfiltration (Drive massif)

Admin → Users → user → Security:
  - Force password change
  - Revoke all OAuth tokens
  - Sign out all sessions
  - Désactiver + audit 90j history

Étape 8 — Enquête scope

Questions clés:
1. Date/heure compromission (login suspect)
2. Durée avant détection
3. Emails envoyés frauduleusement
4. Règles transfert/copie
5. Accès tiers (Drive, GitHub, banque en ligne)
6. Mots de passe réutilisés ailleurs

Communication:
- Tous destinataires emails frauduleux
- Partenaires/clients qui auraient "nouveau RIB"
- RGPD/LPDP si données perso touchées

Étape 9 — Défense deepfake audio

Code secret par demande financière (phrase challenge)
Double validation virements > 5M FCFA
JAMAIS se fier à la voix seule
Logs appels + vérification canal alternatif
Former équipe compta EN PRIORITÉ

Étape 10 — Détection temps réel

Microsoft Defender Phishing:
- Safe Links (URL rewriting)
- Safe Attachments (sandboxing)
- Anti-phishing AI

Google Workspace Advanced Protection Program
Cloudflare Email Security (gratuit jusqu'à 50 users)
Proofpoint/Mimecast/Abnormal Security (enterprise)

Étape 11 — CDP Sénégal + RGPD

Loi 2008-12:
- CDP notifiée dans 72h
- Si données perso: notifier personnes
- Garder preuves (logs, emails, forensic)

RGPD (clients UE):
- CNIL dans 72h
- Sanctions jusqu'à 4% du CA

Playbook avocat spécialisé prêt à l'avance

Étape 12 — Formation anti-phishing

Mois 1: sensibilisation générale 15 min
Mois 2: simulation Gophish réaliste
Mois 3: formation ciblée cliqueurs
Mois 4-12: simulation mensuelle

Mesurer:
- Taux clic (< 5%)
- Taux signalement (> 50%)
- Temps moyen signalement (< 10 min)

Checklist

✓ SPF/DKIM/DMARC strict
✓ Email security gateway
✓ FIDO2 pour admins
✓ Règles transfert surveillées
✓ Runbook compromission écrit
✓ Simulations mensuelles
✓ Code secret virements
✓ Notification CDP sous 72h si incident
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires