Le faux livreur qui passe les portiques

Aux Arcades, le centre commercial qui sert de fil rouge à cette série, le PC sécurité a tout prévu. Caméras, vigiles à l'entrée, badges pour le personnel, rideaux de fer par boutique. La technique tient debout. Et pourtant, un matin, un homme en gilet de chantier traverse la galerie un colis sous le bras, salue le vigile d'un signe de tête, et accède sans badge à la réserve d'une enseigne.

Personne ne l'a arrêté. Il n'a forcé aucune porte. Il a porté le bon gilet, adopté le bon ton, et joué sur un réflexe humain : on ne soupçonne pas quelqu'un qui a l'air d'avoir le droit d'être là.

C'est le scénario que les contrôles techniques ne couvrent jamais complètement. On parle parfois de layer 8, la couche humaine au-dessus des sept couches du modèle OSI. Les sept premières, on les durcit avec des pare-feu, du chiffrement, de l'authentification. La huitième, elle, se manipule avec un gilet, un ton de voix et un peu de psychologie.

Le maillon le plus souvent attaqué n'est pas un serveur mal patché. C'est une personne pressée à qui on a donné une bonne raison de cliquer.

Ce billet déroule trois choses. D'abord, les grandes familles d'attaques qui ciblent l'humain : phishing, spear-phishing, vishing, BEC. Ensuite, les leviers psychologiques qui les font fonctionner. Enfin, la double parade : authentifier l'expéditeur d'un email avec SPF, DKIM et DMARC, et outiller les personnes pour qu'elles repèrent et signalent.


Phishing et sa famille : une attaque, plusieurs portes

Aux Arcades, le faux livreur a un cousin : le faux agent d'entretien qui suit un employé à travers une porte sécurisée parce que ses mains sont prises (du talonnage, ou tailgating). Et un autre cousin encore : la voix au téléphone qui se présente comme le service maintenance et demande au gardien de désactiver une alarme dix minutes. Même principe, vecteurs différents.

Le hameçonnage, ou phishing, est l'envoi massif de messages frauduleux qui imitent un expéditeur de confiance pour pousser la victime à cliquer, saisir des identifiants ou ouvrir une pièce jointe. C'est l'arrosage : peu ciblé, mais à grande échelle.

À partir de cette base, plusieurs variantes se spécialisent.

  • Le spear-phishing vise une personne précise avec un message taillé sur mesure. L'attaquant a fait ses devoirs : il connaît ton nom, ton poste, le nom de ton manager. Le message est crédible parce qu'il est personnalisé.
  • Le whaling est un spear-phishing dont la cible est un dirigeant, un « gros poisson ». L'enjeu est plus élevé : un PDG peut autoriser un virement, un DAF peut valider une facture.
  • Le vishing (voice phishing) passe par la voix, au téléphone. C'est l'équivalent du faux service maintenance qui appelle le gardien. Souvent couplé à du pretexting, l'invention d'un scénario crédible (« je suis du support informatique, votre compte est bloqué »).
  • Le smishing fait la même chose par SMS : un lien court, un faux avis de livraison, une fausse alerte bancaire.
  • Le BEC (Business Email Compromise) cible la fraude au paiement. L'attaquant usurpe l'identité d'un dirigeant ou d'un fournisseur réel et demande un virement ou un changement de coordonnées bancaires.

Le tableau suivant relie chaque technique à sa cible et au signe qui doit alerter.

Technique Vecteur et cible Signe révélateur
Phishing Email de masse, n'importe qui Expéditeur incohérent, lien qui ne pointe pas vers le vrai domaine
Spear-phishing Email ciblé, personne identifiée Message très personnalisé mais demande inhabituelle
Whaling Email ciblé, dirigeant Pression hiérarchique, demande de virement urgente
Vishing Appel téléphonique Interlocuteur qui crée l'urgence et refuse d'être rappelé
Smishing SMS Lien raccourci, prétexte de livraison ou de banque
BEC Email usurpant un dirigeant ou un fournisseur Changement de RIB, facture inattendue, ton pressant

Le point commun saute aux yeux : aucune de ces attaques ne casse un chiffrement. Toutes demandent à un humain de faire, de son plein gré, ce que l'attaquant veut.

Le phishing n'exploite pas une faille logicielle, il exploite une faille de confiance. Le correctif ne se déploie pas, il s'apprend.

Les leviers psychologiques : pourquoi ça marche

Si le faux livreur passe, ce n'est pas par hasard. Il actionne des ressorts qui sont câblés en nous bien avant l'informatique. L'ingénierie sociale n'invente rien : elle emprunte aux mécanismes d'influence que tout vendeur, tout escroc, tout négociateur connaît.

Le premier levier est l'autorité. Un uniforme, une signature de dirigeant, un logo officiel suffisent à désactiver l'esprit critique. Aux Arcades, le gilet de chantier fait autorité. Dans une boîte mail, c'est l'adresse qui ressemble à celle du PDG, ou la mention « Direction des achats » en signature.

Le deuxième est l'urgence. « Le virement doit partir avant 17h », « votre compte sera suspendu dans l'heure ». L'urgence court-circuite la vérification : on n'a pas le temps de réfléchir, donc on agit. C'est exactement le rôle du faux service maintenance qui exige une décision immédiate au téléphone et refuse qu'on le rappelle.

Le troisième est la confiance et la preuve sociale. Un message qui cite une conversation réelle, un projet en cours, un collègue par son prénom, paraît légitime parce qu'il s'inscrit dans un contexte familier. L'attaquant a fait sa reconnaissance, souvent par OSINT sur les réseaux sociaux, et rejoue ce qu'il a appris.

S'ajoute souvent la rareté ou la peur de manquer : une offre limitée, un dernier rappel, un document « à valider avant clôture ». Le cerveau déteste perdre une opportunité encore plus qu'il n'aime en gagner une.

Ces leviers ne sont pas une recette à cocher. Ils se combinent. Un bon spear-phishing mélange l'autorité (le nom du dirigeant), l'urgence (le délai) et la confiance (un détail interne vérifiable). Plus la combinaison est fine, moins la victime a de raisons de douter.

L'ingénierie sociale ne pirate pas un système, elle emprunte une émotion : l'urgence qui empêche de vérifier, l'autorité qui dissuade de questionner.

La parade technique côté email : SPF, DKIM, DMARC

Aux Arcades, comment démasque-t-on le faux livreur ? On vérifie deux choses. Le bon de livraison correspond-il à une commande réelle ? Et le prestataire est-il bien celui qu'il prétend être, mandaté par une enseigne connue ? Si l'un des deux cloche, on bloque à l'entrée.

Côté email, ces deux vérifications portent des noms : authentifier le domaine émetteur et garantir l'intégrité du message. Trois standards s'en chargent, et ils se complètent.

SPF (Sender Policy Framework) répond à la question : « ce serveur a-t-il le droit d'envoyer du courrier pour ce domaine ? ». Le propriétaire du domaine publie, dans son DNS, la liste des serveurs autorisés. Le serveur destinataire compare l'adresse IP émettrice à cette liste. C'est l'équivalent de la liste des transporteurs agréés à l'entrée des Arcades. Le standard est décrit par la RFC 7208.

example.com.  IN  TXT  "v=spf1 ip4:203.0.113.10 include:_spf.google.com -all"

DKIM (DomainKeys Identified Mail) répond à : « le message a-t-il été modifié en route, et provient-il bien du domaine annoncé ? ». L'expéditeur signe le message avec une clé privée. Le destinataire vérifie la signature avec la clé publique, elle aussi publiée dans le DNS. Si le contenu a été altéré, la signature ne colle plus. C'est le tampon et le sceau sur le bon de livraison, infalsifiable sans la clé. Le standard est la RFC 6376.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le chef d'orchestre. Il répond à : « que fait-on quand SPF ou DKIM échoue, et qui prévient-on ? ». Le propriétaire du domaine publie une politique (none, quarantine ou reject) et une adresse pour recevoir des rapports. DMARC ajoute aussi une exigence d'alignement : le domaine vérifié par SPF ou DKIM doit correspondre à celui que l'utilisateur voit dans le champ « De ». Le standard est la RFC 7489.

_dmarc.example.com.  IN  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=s; aspf=s"

Voici comment ces trois contrôles s'enchaînent à la réception d'un message.

flowchart TD in["Email entrant
champ 'De' : pdg@example.com"] spf{"SPF : l'IP émettrice
est-elle autorisée ?"} dkim{"DKIM : la signature
est-elle valide ?"} align{"DMARC : le domaine
est-il aligné ?"} policy["Appliquer la politique DMARC
(none / quarantine / reject)"] deliver["Remise en boîte
de réception"] reject["Rejet ou quarantaine
+ rapport à l'expéditeur"] in --> spf spf -->|"oui"| dkim spf -->|"non"| align dkim -->|"oui"| align dkim -->|"non"| align align -->|"aligné"| deliver align -->|"non aligné"| policy policy --> reject classDef src fill:#8a4d16,stroke:#5f5e5a,color:#f5f2ec classDef check fill:#b5651d,stroke:#5f5e5a,color:#f5f2ec classDef warn fill:#a0413e,stroke:#5f5e5a,color:#f5f2ec classDef ok fill:#ede9e1,stroke:#b5651d,color:#1a1a1a class in src class spf,dkim,align check class policy,reject warn class deliver ok

Une limite à garder en tête : ces trois standards authentifient un domaine, pas une intention. Ils repèrent l'usurpation directe d'un domaine légitime. Mais si l'attaquant enregistre un domaine voisin (exampl-e.com au lieu de example.com) et le configure correctement, SPF, DKIM et DMARC passeront au vert sur ce faux domaine. La technique ferme la porte principale, pas toutes les fenêtres.

SPF, DKIM et DMARC ne lisent pas le message, ils vérifient l'expéditeur. Ils répondent à « qui parle ? », jamais à « ce qu'il demande est-il légitime ? ».

Scénario B : la fraude au paiement contre Google et Facebook

La théorie du BEC reste abstraite tant qu'on ne lui colle pas un montant. Un cas judiciaire, particulièrement documenté, fournit ce montant.

Entre 2013 et 2015, un ressortissant lituanien, Evaldas Rimasauskas, a monté une fraude au paiement contre deux géants de la tech, désignés dans la procédure comme deux grandes entreprises américaines (identifiées par la presse comme Google et Facebook). Sa méthode n'avait rien de sophistiqué techniquement, et c'est tout l'intérêt.

Il a enregistré une société portant le même nom qu'un fabricant de matériel asiatique réel, fournisseur des deux victimes. Puis il a envoyé des fausses factures correspondant à des biens et services que ces fournisseurs livraient effectivement, accompagnées d'emails, de contrats et de lettres usurpant l'identité de dirigeants. Les services comptables, voyant des factures plausibles d'un fournisseur connu, ont payé. Les fonds ont été redirigés vers des comptes contrôlés par l'attaquant, puis dispersés dans plusieurs pays.

Le département de la Justice américain (DOJ) a documenté le préjudice à plus de 100 millions de dollars détournés des deux entreprises. Rimasauskas a plaidé coupable en mars 2019, puis a été condamné à cinq ans de prison ferme la même année. Les faits sont consignés dans le communiqué du DOJ sur le plaidoyer de culpabilité (copie archivée) et repris par la couverture de CNBC.

Ce cas illustre exactement pourquoi l'authentification d'email compte, et où sont ses limites. Les emails frauduleux usurpaient des identités : un DMARC bien configuré côté victimes aurait pu intercepter une partie des messages usurpant directement les domaines légitimes. Mais l'attaquant s'est aussi appuyé sur un domaine et une société qu'il contrôlait réellement, ce qui rappelle qu'aucun contrôle technique ne remplace une vérification humaine du « est-ce une dépense légitime ? ». Un simple rappel téléphonique sur un numéro connu, hors du fil de l'email, aurait suffi à casser la fraude.

Cent millions de dollars détournés sans une seule faille logicielle. Le BEC ne pirate pas l'informatique, il pirate le circuit de validation des paiements.

La parade humaine : sensibiliser, simuler, signaler

Aux Arcades, on ne se contente pas de caméras. On forme les vigiles à reconnaître les comportements suspects, on leur apprend à vérifier un bon de livraison, et surtout on leur dit clairement : en cas de doute, vous appelez le PC sécurité, et personne ne vous reprochera une fausse alerte. C'est cette dernière phrase qui change tout.

Côté SI, la parade humaine repose sur trois piliers qui se renforcent.

La sensibilisation d'abord. Pas une présentation annuelle vite oubliée, mais un message répété et concret : à quoi ressemble un email frauduleux, quels sont les signaux d'urgence et d'autorité, pourquoi un changement de RIB demandé par email se vérifie toujours par un autre canal. L'objectif n'est pas de transformer chacun en analyste, mais d'installer le réflexe du doute au bon moment.

La simulation ensuite. Des campagnes de phishing internes, envoyées par l'équipe sécurité, mesurent le taux de clic réel et donnent à chacun une occasion d'apprendre sans conséquence. Le but n'est pas de piéger ni de punir, mais de mesurer un risque et de cibler la formation là où elle manque. Une simulation qui sert à humilier détruit la confiance, et donc le signalement.

Le signalement enfin, le pilier le plus négligé. Un email suspect repéré et signalé en deux clics vaut de l'or : il permet au SOC de bloquer l'expéditeur, de chercher qui d'autre l'a reçu, et de réagir avant qu'un collègue ne morde à l'hameçon. Encore faut-il que le bouton existe, que le circuit soit connu, et que signaler à tort ne soit jamais reproché.

C'est là que la couche humaine rejoint la machine. Un signalement alimente le SOC, le SIEM et le SOAR : l'humain devient un capteur de détection, au même titre qu'une sonde réseau. Et quand un compte a malgré tout été compromis, c'est l'authentification forte (MFA) qui limite les dégâts, en empêchant qu'un mot de passe volé suffise à ouvrir la porte.

Une personne formée n'est pas le maillon faible, c'est un capteur. Le bon réflexe à installer n'est pas « ne te fais pas avoir », c'est « dans le doute, signale ».

Points clés

  • Le layer 8, la couche humaine, est souvent la cible la plus rentable : phishing, spear-phishing, vishing, smishing et BEC demandent à une personne d'agir, sans casser un seul chiffrement.
  • L'ingénierie sociale actionne des leviers connus : autorité, urgence, confiance, rareté. Ils se combinent pour désactiver la vérification.
  • SPF, DKIM et DMARC authentifient le domaine émetteur et l'intégrité du message ; ils répondent à « qui parle ? », pas à « la demande est-elle légitime ? ».
  • Ces contrôles ferment la porte de l'usurpation directe de domaine, mais ne couvrent pas les domaines voisins (lookalike) ni les fournisseurs réellement contrôlés par l'attaquant, comme l'a montré la fraude à plus de 100 millions de dollars contre Google et Facebook.
  • La parade humaine se joue sur trois piliers : sensibiliser, simuler sans punir, et surtout cultiver le signalement, qui transforme chaque personne en capteur pour le SOC.

Dans la série

Palier 3 : Tenir la galerie. Domaine : Gouvernance & conformité.

Pour aller plus loin