Le terme « phishing » est bien connu depuis quelques années. Il est d’abord devenu courant dans la communauté des produits de sécurité, puis il est rapidement devenu un mot normal employé sans aucune autre explication dans les articles des journaux ordinaires et autres médias.

Une forme spécialisée de phishing a émergé récemment - le terme employé pour la désigner est « spear phishing ».

Les tentatives de « phishing normal » ciblent, plus ou moins au hasard, un certain nombre d’individus en espérant que quelques-uns d’entre eux accompliront une action spécifique qui mettra en danger leurs informations personnelles. Le spear phishing, pour sa part, ne vise pas, en principe, les individus au hasard.

Le spear phishing cible des sociétés en particulier. Il peut se traduire par une tentative de phishing d’une société contre un concurrent (plus couramment, de l’espionnage industriel), d’un service de renseignements contre une société suspecte, ou de criminels contre des organismes de maintien de l’ordre.

Les gens ont, pour la plupart, reçu de nombreuses mises en garde contre les tentatives de phishing dont le but est de les inciter à révéler leurs noms d’utilisateur/mots de passe aux banques, etc. On peut présumer que seules quelques personnes continuent à croire qu’une banque peut envoyer, dans un courrier électronique, une demande de confirmation de nom d’utilisateur, de mot de passe ou des informations relatives à une carte de crédit.
Pour en venir au spear phishing : Le malfaiteur peut personnaliser un faux courrier électronique extrêmement convaincant, par exemple, semblant être expédié par le responsable du service informatique. Le courrier peut être personnalisé davantage de telle sorte qu’il devient évident qu’il ne se réfère qu’à un seul organisme en particulier. Dans tout scénario de phishing, ce sont les compétences de l’attaquant en matière de manipulation des structures sociales qui détermineront le succès de la tentative d’escroquerie. Toutefois, dans une attaque de spear phishing, les chances de succès sont plus élevées.

La personne qui élabore l’attaque de spear phishing dispose de plusieurs outils différents qu’elle peut utiliser lorsque l’un des employés des sociétés visées est « atteint ». Elle peut installer une porte dérobée sur l’ordinateur frappé et, ainsi, accéder à l’ordinateur ou au réseau pour obtenir des informations confidentielles. Elle peut installer des mouchards (keyloggers) qui transmettront la frappe des noms d’utilisateurs et des mots de passe à l’attaquant. Elle peut installer des virus qui enverront à l’attaquant tous les fichiers d’un type particulier auxquels l’ordinateur touché a accès, etc.

Contrairement aux tentatives de phishing courantes, il est plus difficile de se défendre contre les attaques de spear phishing. Il y a, au moins, deux raisons pour cela :

• les attaques visent un nombre réduit de personnes, il est donc difficile pour la communauté d’en être avertie, de fournir des protections et émettre des alertes ;
• comme les attaques visent le personnel d’un organisme en particulier, les techniques de manipulation des structures sociales peuvent être très adaptées spécifiquement à ses seuls employés.