Cybersécurité

Whaling : comprendre, détecter et éviter cette cyberattaque

Julien Fournari
Par 
Julien Fournari
SEO & Growth Manager
Dernière mise à jour le 
4
 
July
 
2024
Vous débutez en Cyber ? Maîtrisez les fondamentaux en quelques heures !
Débuter en Cyber
Whaling : comprendre, détecter et éviter cette cyberattaque
Sommaire
Sélectionnez un chapitre

Les pirates maritimes traquent les gros poissons et pillent des trésors. Les pirates informatiques, eux, utilisent l’hameçonnage ciblé pour piéger les dirigeants et cadres d’entreprise et détourner des millions. Le nom de cette technique ? Le whaling (ou whale phishing).

Dans cet article, vous découvrirez comment fonctionne cette fraude d’ingénierie sociale sophistiquée, comment détecter les tentatives de whaling, et surtout quelles précautions prendre pour ne pas tomber dans le piège.

Mais si vous défendre contre le whaling, c’est bien, apprendre à protéger votre organisation des autres dangers du cybercrime, c’est encore mieux. Pour cela, découvrez sans attendre notre formation en cybersécurité éligible au CPF.

Vous débutez en Cyber ? Maîtrisez les fondamentaux en quelques heures !
Débuter en Cyber
Formation
Apprenez les bases de la Cybersécurité en quelques heures
Formation Cybersécurité pour débutant Formation Cybersécurité pour débutant

Qu’est-ce que le Whaling ?

Le whaling (ou whale phishing) est un type de cyberattaque par hameçonnage qui cible les cadres dirigeants comme les PDG, les directeurs financiers ou encore les autres décideurs.

Le but ? Leur extorquer des fonds ou obtenir des informations sensibles sans qu’ils ne s’en rendent compte. Basé sur l’ingénierie sociale, le whaling utilise ainsi des techniques poussées de manipulation psychologique, et doit être méticuleusement préparé pour réussir à convaincre les dirigeants d’agir sans réfléchir.

Contrairement au spear phishing qui cible des personnes précises sans prendre en compte leur catégorie socioprofessionnelle, le whaling s’intéresse aux gros poissons. Cela explique d’ailleurs l’utilisation de ce terme, whaling pouvant se traduire par « chasse à la baleine » en français.

Pour illustrer, prenons l’exemple d’un capitaine pirate. Dans l’océan, il ne jette jamais l’ancre au hasard, il ne le fait que s’il a flairé un trésor. Avec le whaling, c’est la même chose, sauf que le pirate maritime est remplacé par un hacker, l’océan par le web, et le trésor par un gros poisson comme PDG.

Qui sont les cibles du Whaling ?

Plus vous avez de pouvoirs ou de responsabilités (notamment financières) au sein de votre entreprise, plus vous êtes exposé au whaling. Les profils les plus ciblés par ce type d’hameçonnage sont ainsi :

  • Les PDG et directeurs généraux.
  • Les directeurs financiers, qui ont un accès direct aux comptes bancaires et ont donc le pouvoir de faire ou de valider un transfert.
  • Les responsables de la comptabilité et du contrôle de gestion, qui ont un œil sur les factures, mais également sur les transferts d’argent.
  • Les assistants de direction, qui ont accès aux correspondances internes et aux agendas des dirigeants.
  • Les responsables des ressources humaines, qui ont accès aux données sensibles des employés.

Quelles sont les conséquences d’une attaque par Whaling ?

Le whaling n’est pas juste une arnaque de phishing classique, qui au pire, conduirait à une infection par un logiciel malveillant.  C'est une vraie menace pour les entreprises, qui peut les couler avec un seul transfert frauduleux ! Ses conséquences peuvent ainsi être particulièrement désastreuses :

  • Pertes financières massives, l’objectif principal d’une attaque par whaling étant le plus souvent de voler de l’argent. Les cybercriminels peuvent ainsi extorquer des millions d’euros, et leurs victimes mettre des mois (et même parfois des années !) à s’en rendre compte.
  • Atteinte à la réputation si l’affaire s’ébruite, voire pire, se retrouve dans les journaux.
  • Sanctions légales et réglementaires, notamment si des données protégées par le RGPD sont volées à cause de l’hameçonnage.
  • Exploitation des données volées à des fins malveillantes (elles peuvent servir à préparer une autre cyberattaque d’ampleur, être revendues sur le dark net, ou utilisées par un concurrent qui souhaiterait prendre un avantage sur vous).

Whaling vs Fraude au Président : quelles différences concrètes ?

Bien que souvent confondus, le whaling et la fraude au président présentent une différence subtile :

  • Le whaling cherche exclusivement à piéger les hauts responsables.
  • La fraude au président cherche à piéger tous types d’employés, en usurpant l’identité d’un haut responsable.

Comment fonctionne une attaque par Whale Phishing ?

Pour avoir les résultats escomptés, le whale phishing doit être soigneusement préparé et suivre un processus précis.

Pour que vous puissiez bien comprendre son fonctionnement, nous allons prendre l’exemple d’Edana Corp, une entreprise (fictive) spécialisée dans la fabrication d’équipements hippiques, et dont plusieurs milliers d’euros détournés à cause d’une attaque de baleine.

1. Repérage et collecte d’informations

L’attaquant commence par se renseigner sur sa cible, notamment grâce à l’OSINT. Il explore ainsi :

  • Le site web de l’entreprise, où il trouve l’organigramme de la société avec le nom des principaux dirigeants.
  • Des rapports confidentiels, mais dont les permissions n’étaient pas restreintes, qui présentent les nouveaux produits qu’Edana Corp prévoit de sortir, et qu’il a pu trouver en utilisant les Google Dorks.
  • Les bases de données piratées disponibles sur le dark net, grâce auxquelles il récupère d’anciennes factures.

2. Élaboration de la stratégie

  1. Dans les rapports confidentiels, il apprend qu’Edana Corp prévoit de sortir des nouveaux produits.  
  2. Grâce aux factures volées, il découvre que l’entreprise a l’habitude de travailler avec plusieurs fournisseurs pour diversifier ses approvisionnements.  
  3. Il remarque enfin que depuis 3 ans, plus aucune facture n’a été émise au nom de l’un de ces fournisseurs : Pierre Leatherworks.

Grâce à tous ces éléments, l’attaquant peut mettre au point sa stratégie : il décide de se faire passer pour Pierre Leatherworks et d’envoyer une fausse facture à Edana Corp. Ce plan a des chances de fonctionner car :

  • Le fournisseur a déjà travaillé avec Edana Corp, donc son nom est familier et ne semblera pas suspect.  
  • Avec l’absence de relations commerciales ces 3 dernières années, il est peu probable qu’il soit impliqué dans le projet actuel, limitant le risque de factures en doublon.

3. Création d’un faux message convaincant

L’attaquant prépare soigneusement son email :

  • Usurpation d’adresse mail : [email protected] (l’adresse réelle de Pierre Leatherworks) devient [email protected].  
  • Objet crédible : « Facture en attente de règlement »  
  • Tonalité professionnelle et rassurante : il adopte le ton des anciens échanges de Pierre Leatherworks avec Edana Corp, et utilise du jargon comptable.  
  • Facture falsifiée : l’attaquant envoie un document reprenant le format exact des anciennes factures, avec le logo, les références des produits, et des détails bancaires modifiés.

4. Manipulation et fraude

Le facteur humain est la clé du succès du whaling. Pour éviter les soupçons, l’attaquant joue sur la confiance :

  • Il utilise un ton professionnel et emploie du jargon comptable.  
  • Quelques jours après son premier mail, s’il n’a pas reçu de réponse, il envoie une relance polie et professionnelle pour demander si la facture a bien été réceptionnée.  
  • Si des doutes persistent ou que la facture n’est pas réglée rapidement, l’attaquant peut coupler son mail et sa relance à un appel de vishing.

Pourquoi ça fonctionne ?

  • Le service comptable reconnaît le fournisseur.  
  • La sortie d’un nouveau produitjustifie l’achat, et l’entreprise a justement l’habitude d’assurer ses approvisionnements auprès de plusieurs fournisseurs.  
  • La facture ne semble pas inhabituelle, car elle est cohérente avec les montants et les modalités de paiement passés.  
  • Le ton adopté est conforme à celui employé par ce fournisseur dans ses précédents échanges.

Ne voyant rien d’anormal à ces mails, le service comptable d’Edana Corp finit par procéder au paiement sans effectuer de vérifications supplémentaires. En bref, ici le whaling fonctionne parce qu’il paraît anodin, et c’est justement ce qui le rend si dangereux.

5. Vol de fonds ou d’informations sensibles

Une fois le virement d’Edana Corp reçu, l’argent est transféré sur un compte offshore anonyme difficile à tracer et contrôlé par les attaquants.

Et le pire, c’est certainement que ce genre d’arnaque peut durer des mois sans que personne ne s’en rende compte. Vous ne nous croyez pas ? Pourtant, entre 2013 et 2015, Google et Facebook en ont fait les frais. Pendant près de 2 ans, un escroc lituanien du nom d’Evaldas Rimasauskas a usurpé l’identité d’un de leurs anciens fournisseurs pour leur envoyer de fausses factures, que les géants du web réglaient sans se poser de question. Au total, il a ainsi réussi à détourner près de 100 millions de dollars.

Pourquoi le Whaling est-il en forte croissance ?

Selon GreatHorn, une société spécialisée dans la sécurité des emails, au 1er trimestre 2021, les cyberattaques par whaling avaient connu une croissance de 131 % en un an. Près de 59 % des organisations auraient par ailleurs été ciblées par le harponnage, et 46 % des cadres visés seraient même tombés dans le piège… Mais ce n’est pas étonnant, quand on sait que ces mêmes cadres reçoivent en moyenne un nouveau courrier de harponnage hautement personnalisé tous les 24 jours.

Mais qu’est-ce qui explique cette explosion du whale phishing ? Principalement 3 facteurs :

  • La digitalisation croissante et l’essor du télétravail : avec le travail à distance, les moyens de vérifications mis en place peuvent avoir tendance à devenir moins stricts ; de plus, face à une demande urgente, en cas de doute, il peut être plus difficile d’obtenir une confirmation rapide d’un collègue.
  • Des techniques de plus en plus sophistiquées : grâce à l’intelligence artificielle et à l’évolution des techniques d’analyse des comportements, les cybercriminels ont de nombreuses ressources à disposition pour personnaliser leurs attaques ; résultat, le whaling est devenu presque indétectable pour une personne non formée.
  • La rentabilité pour les attaquants : contrairement aux attaques de phishing de masse qui, en général, rapportent tout au plus quelques centaines d’euros par victime, le whaling peut permettre d’engranger des millions en une seule opération.

Comment reconnaître une tentative de Whaling ?

Plusieurs signaux d’alertes devraient vous mettre la puce à l’oreille et vous aider à reconnaître dans une tentative de whaling. Vous les retrouverez dans cette check-list :

  • Email ou message semblant venir d’un cadre supérieur, et demandant un transfert urgent.
  • Demande qui sort des processus habituels de votre entreprise.
  • Adresse mail légèrement modifiée ([email protected] au lieu de [email protected] par exemple).
  • Ton insistant concernant la confidentialité et l’urgence de la demande.
  • Impossibilité de joindre votre expéditeur, qui prétend par exemple être en voyage ou en réunion.
  • Demande de transfert vers un nouveau compte, sur lequel vous n’avez jamais effectué de virement jusqu’à présent.

Si vous êtes en présence ne serait-ce que d’un seul de ces signes, prenez du recul face à cet email. Un simple appel interne pour vérifier la légitimité de la demande pourrait vous éviter de sauter à pieds joints dans un traquenard.

Comment se protéger contre le Whaling Phishing ?

La meilleure manière de vous protéger du whaling phishing, c’est d’associer les bons outils de cybersécurité à la vigilance humaine. Pour cela, il y a 4 mesures clés que vous pouvez mettre en place dès aujourd’hui :

  • Instaurer une culture du « stop & Check » : si une demande paraît anormale, vous devez prendre l’habitude de la vérifier avant de l’exécuter.
  • Mettre en place un processus de double vérification obligatoire avant de faire le moindre virement, surtout lorsque celui-ci est important, et exiger cette confirmation via un autre canal (à l’oral ou via un canal interne sécurisé par exemple).
  • Former vos collaborateurs à repérer les signes d’alerte en éduquant vos dirigeants, mais aussi en simulant régulièrement des attaques de whaling pour les entraîner à les reconnaître.
  • Utiliser des outils de filtrage avancé (comme les protocoles de sécurité SPF, DKIM et DMARC) pour détecter et bloquer les emails frauduleux et limiter les risques d’usurpation d’identité.

Comment devenir un expert en cybersécurité ?

Savoir reconnaître le whale phishing est essentiel, mais si vous voulez vraiment protéger votre organisation des dangers numériques, il faut aller plus loin. La cybercriminalité ne cesse de croître, faisant peser une menace constante sur les entreprises qui peinent à trouver des experts qualifiés pour les en protéger. Si vous souhaitez vous reconvertir, aujourd’hui plus que jamais la cybersécurité est donc un secteur des plus porteurs.

Et chez Jedha, nous sommes justement là pour vous aider à monter en compétences ! Pour ce faire :

  1. Inscrivez-vous sur JULIE, notre plateforme pédagogique, et commencez à vous former gratuitement aux bases de la cybersécurité.
  2. Découvrez en détail notre parcours de formation en cybersécurité dans notre syllabus.
  3. Venez nous poser vos questions lors de notre prochaine Soirée Portes Ouvertes en ligne.
  4. Discutez de votre projet professionnel et de vos opportunités de financement en prenant rendez-vous avec notre équipe pédagogique.

Questions fréquentes à propos du Whaling

Quelles sont les différences entre le Whaling, le Spear phishing et le Phishing ?

  • Phishing : le phishing est un terme général, utilisé pour désigner les tentatives d’hameçonnage, qui ont généralement lieu par mail, mais qui peuvent utiliser d’autres vecteurs (phishing par QR code, par SMS…).
  • Spear phishing : le spear phishing est une attaque de phishing ciblé qui cherche à prendre au piège un individu précis ; elle repose pour cela sur la personnalisation grâce à des informations qui ont été collectées en amont.
  • Whaling : variante du spear phishing, le whaling s’intéresse spécifiquement aux cadres dirigeants et décideurs ; le niveau de personnalisation est généralement très élevé, et les enjeux financiers sont plus importants.

Quels sont les exemples les plus connus d’attaques de Whaling ?

  • Google & Facebook (2013-2015) : pendant 2 ans, Evaldas Rimasauskas a réussi à se faire passer pour un fournisseur de ces géants de la tech et à leur extorquer près de 100 millions de dollars grâce à des factures frauduleuses.
  • Pathé (2018) : le directeur financier de la filiale néerlandaise du groupe de cinéma a été piégé par des cybercriminels qui se faisaient passer pour la direction du siège français ; il leur a transféré plus de 19 millions d’euros.
  • Toyota Boshoku Corporation (2019) : ce fabricant japonais de pièces automobiles a été victime d'une attaque de baleine ; les attaquants ont réussi à convaincre un membre du département financier de changer le compte destinataire d’un virement de près de 37 millions de dollars.

Une entreprise peut-elle être légalement responsable après une attaque de Whaling ?

Oui, une entreprise peut être tenue responsable après une attaque de whaling si elle n’a pas mis en place des mesures de sécurité suffisantes pour protéger ses données et sécuriser ses transactions financières.

Si l’attaque entraîne une violation de données personnelles, l’entreprise peut être sanctionnée par le RGPD ou les autres régulations locales en vigueur. En cas de négligence avérée au RGPD par exemple, l’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus important étant retenu.

Après une attaque entraînant de lourdes répercussions financières, certaines entreprises peuvent également faire face à des poursuites engagées par leurs partenaires commerciaux, notamment leurs investisseurs.

Soirée Portes Ouvertes Jedha BootcampSoirée Portes Ouvertes Jedha Bootcamp
Julien Fournari
Julien Fournari
SEO & Growth Manager
Julien occupe le poste de SEO & Growth Manager chez Jedha depuis Mexico. Sa mission est de créer et d'orchestrer du contenu pour la communauté Jedha, de simplifier les processus et de dénicher de nouvelles opportunités, tant pour Jedha que pour ses étudiants, en exploitant sa maîtrise du digital.

Articles recommandés

Cybersecurite

Tout savoir sur le Quishing : l’arnaque aux QR codes piégés

Apprenez à vous protéger du quishing (ou arnaque au faux QR code), une variante du phishing utilisée pour voler vos données ou infecter votre appareil.

Cybersecurite

Stalkerware : protégez votre téléphone contre l’espionnage

Vous pensez être victime d'un stalkerware ? Apprenez à détecter et à bien réagir face à ces logiciels espions qui peuvent être utilisés pour vous traquer.

Cybersecurite

Les 10 attaques par cheval de Troie les plus destructrices

Découvrez les 10 chevaux de Troie (Trojans) les plus destructeurs, et apprenez à repérer ces malwares qui se font passer pour des fichiers légitimes.

Cybersecurite

Threat Intelligence : définition, types et certifications

Découvrez la Cyber Threat Intelligence (CTI), une technique de renseignement utilisée en cybersécurité pour anticiper les menaces et mieux s'en protéger.

Cybersecurite

Formation gratuite en cybersécurité

Vous voulez vous former gratuitement en Cybersécurité ? Découvrez les meilleures ressources gratuites sur la sécurité informatiques : chaînes Youtube, cours en ligne et channels Discord !

Cybersecurite

Adware : définition, infection et méthodes pour l’identifier

Apprenez à vous protéger face à un adware, un logiciel publicitaire qui vous inonde de pubs indésirables, et qui peut vous exposer à d'importants dangers.

Tous les articles
Vos préférences sur les cookies

Nous utilisons des cookies sur notre site. Certains, essentiels et fonctionnels, sont nécessaires à son bon fonctionnement et ne peuvent pas être refusés. D’autres sont utilisés pour mesurer notre audience, entretenir notre relation avec vous et vous adresser de temps à autre du contenu qualitatif ainsi que de la publicité, personnalisée ou non.
Vous pouvez sélectionner ci-dessous ceux que vous acceptez et les mettre à jour à tout moment via notre politique cookies.

Tout accepter
Tout refuser
Gérer mes préférences
Gestion de vos préférences sur les cookies

Nous et nos partenaires utilisons des cookies et des traceurs pour :

- Fournir une assistance grâce à notre bot
- Générer des idées pour améliorer nos interfaces, les contenus et fonctionnalités du site
- Mesurer l'efficacité de nos campagnes de marketing et proposer des mises à jour régulières de nos contenus

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Soirée Portes Ouvertes en ligne : découvrez nos formations
Thursday
 
13
 
Mar
 à 
18:00
En ligne

Découvrez nos programmes de formation accélérée en Data et Cybersécurité, et posez toutes vos questions à notre équipe d'admissions et à nos alumni.

S'inscrire