Ce devrait être le nouveau «cheval de troie» des pirates informatiques en 2021. Le whaling (pêche à la baleine) entend ferrer les gros poissons au sein des entreprises qui dématérialisent leur process de travail en raison de la crise sanitaire.
Un contexte qui va faire exploser ce type de cyberattaques qui peuvent s'avérer catastrophiques pour une société, prédit HP qui annonce que les pirates vont davantage cibler les entreprises dont la sécurité est déjà fragilisée.
Reposant sur le principe du phishing (l'hameçonnage), qui suppose d'envoyer des e-mails au hasard basés sur de faux comptes pour obtenir des identifiants ou des données bancaires, voire personnelles, le Whaling vise quant à lui les chefs d'entreprises, les décideurs et les responsables. En clair, lorsque le phishing s'adresse au banc de poissons en tentant de toucher au hasard un maximum de personnes, le whaling vise spécifiquement les gros et très gros poissons.
Une usurpation d'identité très soignée
Pour les cybercriminels, il s'agit de viser une proie importante en se faisant passer la plupart du temps pour leur supérieur hiérarchique ou un employé important de la société visée (cadre supérieur, directeur financier...). Un courriel usurpant son identité va être adressé à un ou plusieurs employés. Souvent, les cybercriminels se sont préalablement renseignés sur le profil de la personne dont il vont usurper l'identité, par le biais des réseaux sociaux ou d'informations partagées sur les moteurs de recherche. Le cybercriminel va d'ailleurs accorder un grand soin à la rédaction de cette e-mail pour le rendre le plus crédible possible.
L'idée étant de piéger le lecteur du mail afin de pouvoir mettre la main sur des données sensibles, de l'argent par le biais d'un virement ou encore demander à un collaborateur de faire une démarche a priori anodine mais qui peut permettre à un pirate d'exploiter une faille pour accéder à des informations confidentielles. «Le whaling, aussi appelé fraude au président, ajoute un élément supplémentaire de piratage informatique, le personnel hésitant bien sûr à refuser une demande faite par un supérieur», explique-t-on chez Kaspersky, société experte en cybersécurité.
Une vague de whaling en 2021
En 2021, les attaques de type whaling «vont s’intensifier car les cybercriminels peuvent utiliser les informations personnelles partagées en ligne pour créer des leurres très convaincants et infecter les e-mails professionnels», avance Robert Masse, associé chez Deloitte qui s'exprimait dans le cadre d'une note remise par HP sur la question. Un document qui rappelle que les cybercriminels vont «continuer à exploiter le climat anxiogène actuel. En effet, la peur peut inciter les personnes à ouvrir des e-mails malveillants, traitant par exemple des vaccins contre le Covid-19, de la détresse financière relative à la crise sanitaire ou encore d’une éventuelle instabilité politique», analyse Julia Voo, directrice générale du pôle cybersécurité et tech chez HP.
Pour les experts en cybersécurité, il reste donc important de former le personnel des entreprises et les hauts-responsables à cette menace, la méfiance devant rester de le maître-mot des échanges à distance. Quitte à appeler directement l'interlocuteur ou sa hiérarchie par téléphone afin de s'assurer que l'émetteur du courriel est bien la même personne.