OK, assieds-toi. Je vais te raconter un truc. L’histoire de comment je vais te piquer tes données. Tranquille. Et le pire ? Tu vas RIEN voir venir.
Tu penses être à l’abri ? Tu sais repérer les fautes d’orthographe, les liens bizarres… C’est mignon. Mais ça, c’est le phishing de papa. Ça fait longtemps que ça marche plus. Enfin, si, sur les grands-parents. Mais pas sur toi. Mon jeu est bien plus subtil aujourd’hui.
Je suis pas là pour t’expliquer comment éviter le « Prince Nigérian ». T’es plus malin que ça, tu lis des blogs tech. Je suis là pour toi. Toi qui penses « ça n’arrive qu’aux autres ». Je vais te montrer les vraies méthodes. Celles qui cartonnent. Maintenant.
Étape 1 : La préparation. C’est ton histoire.
Oublie l’e-mail de masse envoyé à des millions de gens. Fini, ça. On est dans l’artisanal.
Le « Scraping » malin : Avant même de te parler, je fais mes devoirs. Je sais qui t’es. Je ne me contente plus de ton nom. Je traîne sur ton profil LinkedIn. Tiens, marrant… t’as « liké » un post sur l’IA de Microsoft la semaine dernière. QUELLE COÏNCIDENCE. Tu vas justement recevoir un e-mail de « Microsoft Security ». Une invit’ pour un webinaire exclusif sur l’IA. Avec un joli lien d’inscription… Tu vois le truc ? Je n’invente plus une histoire. Je prends ta propre histoire et je l’utilise contre toi.
L’attaque par QR Code (le « Quishing ») : Je sais. T’as appris à te méfier des liens. Tu passes la souris dessus pour vérifier l’URL… c’est bien. Mais un QR Code ? Je t’envoie un e-mail. La copie parfaite de ton transporteur : « Colis bloqué en douane. Scannez ce QR Code pour le libérer ». Ton PC est un bunker ? Peut-être. Mais ton téléphone… c’est une porte de saloon. Tu scannes. C’est un réflexe, tu penses même plus. Et BIM. Tu atterris sur ma page piège. Sur ton mobile. Là où t’es toujours moins vigilant.
Étape 2 : L’appât. Le piège invisible.
Mon e-mail sera parfait. Vraiment. Zéro faute. Je vais faire un éffort. Le design est nickel. Le piège n’est plus dans ce que tu vois. Il est dans ce que tu ne peux pas voir.
L’attaque par homographe (Unicode) : Ah, celle-là… c’est ma préférée. Un pur bijou de vice. Regarde bien ces deux liens :
https://www.apple.com https://www.аpple.com
Identiques ? Regarde MIEUX. Dans le second, le « a » n’est pas notre « a » latin. C’est le caractère cyrillique « а ». Pour toi et ton navigateur, c’est la même chose. Impossible à voir. Mais pour le système DNS, ce sont deux sites différents. Je peux donc acheter un nom de domaine qui a l’air 100% légal, choper un certificat SSL (le petit cadenas vert qui te rassure tant)… et tu n’y vois que du feu. Ton vieux réflexe de « survoler le lien » ? TOTALEMENT INUTILE. L’URL qui s’affiche est la mienne. Et elle te semble parfaite.
La « Contrebande HTML » : Les filtres anti-spam de ta boîte mail sont chiants. Ils bloquent mes URL. Pas grave. Au lieu de t’envoyer un lien vers mon piège, je t’envoie le piège lui-même. Dissimulé dans une pièce jointe qui a l’air clean (un .html, un PDF…). Tu cliques. Et là, magie. La page de connexion se construit en direct, sur ton ordi. Pas depuis Internet. Pour ta sécurité, il ne s’est rien passé. Le loup est déjà dans le salon.
Étape 3 : Le clou du spectacle. Fumer ton 2FA en direct.
C’est ici que le show commence. Mon objectif, ce n’est plus de voler ton mot de passe. C’est de voler ta SESSION de connexion. Pour ça, j’utilise des outils qui agissent comme un proxy, un « homme du milieu », entre toi et le vrai site.
Voilà le script, seconde par seconde :
- Tu cliques sur mon lien (le faux
apple.com). - T’arrives sur ma page. Elle te montre le vrai formulaire de connexion de Microsoft (ou Google, peu importe). Comment ? C’est juste une fenêtre. Elle te montre le vrai site à travers elle.
- Tu entres ton e-mail, ton mot de passe. Tu ne me les envoies pas à moi. Tu les envoies, à travers moi, au vrai site.
- Le vrai site (qui a reçu les bons logs) t’envoie une demande 2FA. La notif’ sur ton app, le code SMS…
- Cette demande… elle passe aussi par ma « fenêtre ». Elle s’affiche sur ton écran.
- Toi, en confiance, tu valides sur ton téléphone.
- Microsoft, content, renvoie un « ticket d’entrée » (le cookie de session).
- … ET LÀ, JE FRAPPE. J’intercepte ce cookie avant qu’il n’arrive chez toi.
C’est fini. J’ai ton cookie. J’ai plus besoin de ton mot de passe. J’ai plus besoin de ton 2FA. Je l’importe dans mon navigateur et… c’est bon. Je suis toi. Je lis tes e-mails. J’accède à tes fichiers. TOUT. Le 2FA ne t’as servi à rien. Tu m’as pas donné le code ; t’as juste autorisé une session que j’ai volée.
Étape 4 : Rester au chaud (Le piège après le piège)
Mon but n’est pas de faire un « one-shot ». Je veux rester. Sur ma page piège, tu vas voir un petit pop-up. Tu sais, ce truc hyper relou : « login-microsoft.io souhaite afficher des notifications ». On est tellement habitués qu’on clique sur « Autoriser » par pure fatigue, juste pour que la fenêtre dégage. ERREUR FATALE.
Tu viens de me filer les clés. Des semaines plus tard, bien après que tu aies tout oublié, je t’enverrais une notif’ qui ressemblera à une alerte système de ton ordi. « Alerte de sécurité critique : virus détecté ». Cette fois, tu cliqueras. Forcément. L’alerte vient de ton bureau. Et le jeu recommence.
Bon, allez… comment tu peux VRAIMENT me pourrir la journée ?
Alors, comment tu te défends contre ça ?
- Le survol du lien, t’as compris, ça suffit plus. La SEULE règle d’or : ne JAMAIS suivre un lien de connexion reçu par e-mail ou SMS. Jamais. T’ouvres un nouvel onglet. Tu tapes l’adresse du site (
outlook.com) TOI-MÊME à la main. C’est tout. - Tu scannes jamais un QR Code venu d’un e-mail que t’attendais pas. C’est non. Direct poubelle.
- Tu REFUSES. SYSTÉMATIQUEMENT. Les demandes de notification de la part de sites web, à moins d’avoir une raison en béton armé de le faire. (Et 99% du temps, t’en as pas).
- Utilise un gestionnaire de mots de passe. Un vrai. S’il te propose pas de remplir le mot de passe sur mon
аррlе.com(avec le ‘a’ bizarre), c’est que t’es pas sur le vrai site. C’est un des rares outils qui peut déjoué le truc.
Le jeu a changé. Je suis plus un amateur qui bricole. Je suis un pro. J’exploite tes habitudes et les limites de ta perception.
Maintenant, tu sais. À toi de jouer. jouer.