L'hameçonnage de données d'identification est un type particulier d'hameçonnage de données d'identification. hameçonnage cyberattaque visant à inciter les utilisateurs à partager leurs informations d'identification (généralement des noms d'utilisateur et des mots de passe) afin que l'attaquant puisse les voler et les utiliser pour obtenir un accès non autorisé à des comptes de messagerie, à des systèmes d'entreprise et à d'autres ressources sécurisées. Ce type de vol d'informations d'identification est un sous-ensemble du phishing en général, qui tente plus largement de voler divers types d'informations sensibles, notamment les détails des cartes de crédit ou des comptes bancaires, les numéros de sécurité sociale et des informations organisationnelles précieuses, telles que les données des clients ou la propriété intellectuelle.
L'hameçonnage de données d'identification est un problème croissant, et c'est un euphémisme : une étude a fait état d'un taux d'hameçonnage de 1,5 % par an. 703% Augmentation de l'hameçonnage d'informations d'identification au cours du second semestre 2024, contre une augmentation de seulement 202% de l'ensemble des menaces d'hameçonnage par courrier électronique. (On sait qu'il y a un gros problème lorsqu'une augmentation de 202% peut être considérée comme relativement faible). Cette augmentation considérable est attribuable à une combinaison de facteurs :
- Attaques d'hameçonnage basées sur l'IA permettent aux cybercriminels de générer plus facilement que jamais des messages convaincants destinés à inciter les utilisateurs à accepter de fausses demandes d'informations d'identification.
- Ingénierie sociale, qui s'est avéré très efficace pour inciter les utilisateurs à cliquer sur des liens dans des messages d'hameçonnage, joue un rôle de plus en plus important dans l'hameçonnage d'informations d'identification.
- Multi-canal l'hameçonnage d'informations d'identification, c'est-à-dire l'utilisation non seulement du courrier électronique, mais aussi des SMS, des médias sociaux et des plates-formes de collaboration, accroît la portée des attaquants.
Tous ces événements s'inscrivent dans un contexte où le vol de données d'identification a longtemps été, et continue d'être, un problème de santé publique. peu d'efforts, beaucoup de récompenses type d'attaque.
La bonne nouvelle ? Alors que les attaques par hameçonnage d'informations d'identification augmentent, les efforts de sécurité des organisations pour prévenir l'hameçonnage augmentent également, allant de authentification sans mot de passe et l'authentification multifactorielle (AMF) aux outils de défense alimentés par l'IA. Lisez la suite pour en savoir plus sur l'évolution du credential phishing au fil du temps, sur les tactiques les plus courantes utilisées dans ce type d'attaques et sur les outils et stratégies disponibles pour lutter contre le credential phishing.
Milieu des années 1990 : Les l'hameçonnage d'informations d'identification le plus précoce semble avoir eu lieu au milieu des années 1990, lorsque des fraudeurs se sont fait passer pour des employés d'AOL afin d'inciter les utilisateurs à révéler leurs identifiants de connexion. Bien qu'il semble que leur but était simplement d'éviter de payer pour l'accès à l'internet, leurs activités ont ouvert la voie à des escroqueries plus sophistiquées, plus destructrices et plus coûteuses à l'avenir.
Début des années 2000 : Au début des années 2000, l'hameçonnage d'informations d'identification était encore relativement peu sophistiqué et s'appuyait souvent sur des messages simplistes produits en masse pour inciter les gens à partager leurs informations d'identification. L'année 2003 a marqué le début d'un changement dans ce schéma, lorsque les attaquants ont commencé à créer des versions presque identiques de sites légitimes tels qu'eBay et PayPal afin d'inciter les utilisateurs à saisir leurs informations d'identification.
2010-2020: Le spear phishing est apparu dans les années 2010 pour transformer le vol de données d'identification, en particulier au niveau de l'organisation. Il fonctionne en ciblant habilement des personnes spécifiques avec des messages bien conçus qui prétendent souvent provenir de départements critiques tels que les ressources humaines, la facturation ou le support informatique. Compromission des courriels d'entreprise (BEC) est un type d'attaque d'ingénierie sociale qui utilise l'hameçonnage sous la forme d'imitations d'e-mails extrêmement sophistiquées (telles que de fausses demandes émanant de cadres de haut niveau) pour cibler les destinataires, qui sont trompés en pensant qu'ils répondent à quelqu'un de leur organisation.
2020-aujourd'hui : Aujourd'hui, l'hameçonnage d'identité est de plus en plus susceptible d'être piloté par l'IA, L'IA générative permet aux attaquants de générer des courriels de phishing grammaticalement irréprochables, parfaitement contextuels et plus authentiques que jamais. L'IA générative rend également incroyablement rapide et facile la création de ces nouveaux messages plus convaincants. IBM, Les escrocs qui utilisent l'IA générative peuvent élaborer des messages efficaces en seulement cinq minutes (au lieu des heures nécessaires pour le faire manuellement).
Dans ce cas, le pirate se fait généralement passer pour une source fiable (comme l'employeur d'un utilisateur, sa banque ou un site web qu'il utilise fréquemment) et envoie à l'utilisateur un courriel, un texte ou un autre type de message visant à l'inciter à effectuer une action qui compromettra ses informations d'identification. Dans ce cadre général, un attaquant peut utiliser un certain nombre de tactiques différentes pour mener des attaques d'hameçonnage d'informations d'identification :
Courriels trompeurs
Les courriels trompeurs sont le point d'entrée typique de nombreuses attaques d'hameçonnage d'informations d'identification. Ces types de courriels sont souvent utilisés avec succès pour l'hameçonnage d'informations d'identification parce qu'ils semblent provenir de sources auxquelles le destinataire fait confiance et ne sont donc pas susceptibles d'éveiller ses soupçons. Plus un message électronique semble authentique, plus l'expéditeur est susceptible de réussir à exploiter cette confiance.
Les caractéristiques d'une attaque par hameçonnage d'informations d'identification qui utilise des communications trompeuses sont les suivantes :
- L'usurpation d'identité : La communication semble provenir d'une source légitime déjà connue du destinataire.
- Persuasion : La ligne d'objet et/ou les premiers mots sont rédigés de manière à susciter une réaction telle que l'urgence, la peur ou même simplement la curiosité. Les cybercriminels se nourrissent de l'urgence, car elle tend à pousser les utilisateurs à réagir rapidement plutôt qu'à prendre le temps de réfléchir à l'opportunité d'agir.
- Tromperie : Le message met l'accent sur un besoin inexistant d'action extrêmement urgente.
- Possibilité d'action : Les courriels de phishing ont tendance à inclure un lien ou une pièce jointe qui permet de passer facilement à l'étape suivante.
- Encore plus de tromperie : L'action du destinataire mène à une fausse page de connexion où les informations d'identification sont saisies.
Fausses pages de connexion
Les fausses pages de connexion sont l'un des outils les plus couramment utilisés dans les attaques d'hameçonnage d'informations d'identification au sein des organisations. Elles sont extrêmement efficaces dans les organisations qui ne disposent pas d'un système d'authentification multifonctionnel résistant à l'hameçonnage.
Les attaques utilisant de fausses pages de connexion commencent par une reconnaissance de la part de l'attaquant qui cherche à savoir quels services ou plateformes une organisation utilise couramment (Microsoft 365 ou Google Workspace, par exemple) et quels sont les formats de courrier électronique et l'image de marque de l'organisation. À partir de là, l'attaquant peut concevoir un courriel d'hameçonnage d'informations d'identification qui semble provenir d'un service interne ou d'un fournisseur connu et qui comprend un objet destiné à susciter un sentiment d'urgence ("Le mot de passe expire - action immédiate requise" ou "Votre facture est prête - visualisez-la en toute sécurité") ainsi qu'un lien proéminent vers une fausse page de connexion.
Une fois qu'un employé a cliqué sur le lien et saisi ses informations d'identification sur la page de connexion supposée, les informations d'identification sont transmises au pirate, qui peut alors les utiliser pour se connecter aux systèmes de l'organisation et se déplacer latéralement dans le réseau - en infiltrant des données, en implantant des logiciels malveillants, en lançant d'autres attaques BEC ou en pratiquant l'hameçonnage à partir d'un compte compromis.
Tactiques multicanaux
Le courrier électronique n'est pas le seul moyen de hameçonner des informations d'identification, et comme les utilisateurs sont de plus en plus conscients et habiles à se défendre contre le hameçonnage d'informations d'identification par courrier électronique, les attaquants se tournent vers d'autres moyens d'attaque, y compris le courrier électronique :
- Smishing (hameçonnage par SMS) peut être utilisé pour envoyer par SMS de fausses alertes de connexion, des avis de suivi de colis ou des invites d'authentification à deux facteurs afin d'inciter les utilisateurs à cliquer sur un lien.
- Vishing (hameçonnage vocal) consiste en des appels prétendant provenir du service d'assistance ou de l'équipe de support informatique et dirigeant les utilisateurs vers un site web d'hameçonnage.
- Hameçonnage des plateformes de collaboration utilise des messages sur Slack, Teams, LinkedIn ou d'autres plateformes pour inciter les utilisateurs à cliquer sur de faux liens ou à télécharger des pièces jointes qui semblent être du contenu lié au travail.
- Hameçonnage par code QR consiste à envoyer des courriels de phishing contenant des codes QR qui renvoient à des sites de collecte d'informations d'identification ; l'utilisation de codes QR permet de contourner les filtres traditionnels d'analyse des liens.
Remplissage de documents d'identité
Le "credential stuffing", qui consiste pour les cybercriminels à utiliser un grand nombre d'informations d'identification volées pour tenter de se connecter sur plusieurs sites, est une tactique qui fonctionne en tandem avec le "credential phishing" pour maximiser les dommages causés par ce dernier. Les deux peuvent être utilisés ensemble dans des attaques en couches dans lesquelles les informations d'identification sont récoltées par le biais du phishing d'informations d'identification et ensuite appliquées à toutes les cibles.
Par exemple, un pirate peut hameçonner les identifiants de connexion d'un compte Microsoft 365, puis utiliser le credential stuffing pour essayer les identifiants Microsoft sur une variété d'autres sites ou services - par exemple, Salesforce, Google (mail, docs, gestionnaire de mots de passe). L'attaquant parie en fait sur le fait que quelqu'un utilise les mêmes informations d'identification sur plusieurs sites.
Pulvérisation du mot de passe
Comme le credential stuffing, le password spraying est utilisé en conjonction avec le credential phishing pour maximiser la portée et le succès de l'attaque de phishing, en particulier dans les environnements organisationnels. Dans ce type de stratagème, l'attaquant :
- Collecte d'une liste de noms d'utilisateurs par hameçonnage d'informations d'identification.
- Combine un nom d'utilisateur avec un mot de passe facile à deviner (comme password123 ou welcome123) pour tenter d'accéder à plusieurs comptes.
La raison la plus évidente pour laquelle la pulvérisation de mots de passe fonctionne est qu'elle exploite la faiblesse de l'hygiène des mots de passe ; si les gens n'utilisaient pas de mots de passe faciles à deviner, la tactique n'irait pas loin. Elle est également difficile à détecter à grande échelle sans outils de surveillance avancés.
Validation précise de l'hameçonnage
L'hameçonnage de précision est apparu en 2025 comme un moyen pour les attaquants de s'assurer que les informations d'identification qu'ils volent par hameçonnage sont en fait associées à des comptes en ligne valides. Il utilise une API intégrée ou un JavaScript pour confirmer l'adresse électronique en temps réel, avant que la tentative d'hameçonnage ne se produise. Le phishing validé par Prevision peut rendre l'hameçonnage d'informations d'identification beaucoup plus efficace et précis, avec peu d'efforts ou d'énergie gaspillés à essayer d'utiliser des informations d'identification inexactes.
L'hameçonnage d'informations d'identification peut causer de graves dommages à une organisation. L'hameçonnage d'informations d'identification peut causer beaucoup de dégâts à une organisation. Rapport d'IBM sur le coût d'une violation de données a révélé que le phishing était l'une des causes les plus fréquentes et les plus coûteuses des violations de données, coûtant en moyenne $4,88 millions et nécessitant en moyenne 261 jours pour être maîtrisées.
Mais la prévention de l'hameçonnage de références peut contribuer à garantir que les tentatives d'hameçonnage de références n'aillent jamais loin. RSA propose une large gamme de produits et de services dans des domaines clés liés à la prévention du hameçonnage d'informations d'identification.
Authentification sans mot de passe
Cela peut sembler évident, mais cela vaut la peine d'insister sur ce point : La cybercriminalité qui repose sur le vol d'informations d'identification ne fonctionne pas s'il n'y a pas d'informations d'identification à voler. C'est ce qui fait que authentification sans mot de passe si précieux pour lutter contre l'hameçonnage d'informations d'identification.
En tant que membre de la Alliance FIDO, RSA se consacre à la construction d'un monde avec moins de mots de passe et moins de problèmes de sécurité liés aux mots de passe. L'authentification sans mot de passe de RSA protège l'accès là où c'est le plus important : aux points du cycle de vie de l'identité qui sont particulièrement vulnérables aux attaques basées sur les informations d'identification. RSA fournit une authentification sans mot de passe avec une disponibilité de 99,99%, y compris un service d'authentification sans mot de passe de 99,99%. basculement hybride qui permet l'authentification même sans connexion au réseau, et qui fournit un large éventail d'options sans mot de passe:
- les mots de passe à usage unique (OTP)
- les passe-partout, y compris les passe-partout mobiles
- des options basées sur l'application, comme le "push to approve" (pousser pour approuver)
- biométrie
Une AMF résistante à l'hameçonnage
Tout comme l'authentification sans mot de passe supprime les informations d'identification que le phishing tente de voler, l'AMF résistante au phishing supprime le mécanisme par lequel elles sont volées : le phishing.
La série d'authentificateurs RSA iShield Key 2 est spécialement conçu pour protéger contre les attaques basées sur les informations d'identification, en offrant un MFA matériel résistant au phishing et en intégrant un module cryptographique certifié FIPS 140-3 niveau 3 et une authentification matérielle AAL3. Les avantages de la série RSA iShield sont les suivants :
- Conformité aux normes fédérales les plus récentes en matière de sécurité cryptographique
- Capacités de sécurité de l'identité qui font progresser l'architecture de confiance zéro
- Certification FIDO2 pour un voyage sans mot de passe sécurisé et sans friction
- Déploiement et gestion flexibles des passe-partout
Signature unique avec les fournisseurs d'identité
L'utilisation du service d'authentification centralisé d'un fournisseur d'identité pour se connecter à plusieurs sites et services signifie que les points d'entrée potentiels des attaquants sont considérablement réduits, passant de centaines à un seul - et un seul point d'entrée est beaucoup plus facile à sécuriser et à surveiller que des douzaines de connexions différentes.
RSA Ma page est la solution SSO hébergée dans le nuage qui permet aux utilisateurs de gérer rapidement et en toute sécurité l'accès aux applications critiques et à d'autres ressources par le biais d'un portail unique et pratique :
- Accès rapide des utilisateurs à plusieurs applications à l'aide d'un seul jeu d'identifiants
- Auto-enregistrement de l'authentificateur et auto-gestion des informations d'identification pratiques
- Réduction de la charge et des coûts pour le personnel du service d'assistance et les administrateurs informatiques
- Des temps d'attente plus courts lorsque le besoin d'assistance du service d'assistance est légitime
Passkeys
Les Passkeys permettent aux utilisateurs de se connecter à des sites web et à des applications sans jamais avoir à saisir de mot de passe, ce qui rend le processus de connexion à la fois plus sûr (pas de mot de passe à voler) et plus pratique (pas de mot de passe à retenir). Les passkeys sont bien plus sûrs que les mots de passe, car ils ne sont jamais réutilisés comme le sont les mots de passe et parce qu'ils sont résistants au phishing (puisqu'ils éliminent tout risque que quelqu'un soit amené à se connecter sur un faux site web).
Clés d'accès dans l'application RSA Authenticator fournissent une authentification sans mot de passe et résistante à l'hameçonnage, directement sur les appareils mobiles des utilisateurs. Cette capacité d'authentification par mot de passe :
- Favorise la confiance zéro en s'attaquant à l'ingénierie sociale et à l'hameçonnage des informations d'identification.
- Aide les organisations à se conformer aux exigences réglementaires en matière de MFA résistant à l'hameçonnage
- S'intègre facilement dans tout environnement informatique existant
- Il est lié à l'appareil, de sorte qu'il ne quitte jamais l'appareil, ce qui garantit la plus grande sécurité possible.
Confiance zéro
Zero Trust lutte contre le phishing car elle crée un environnement dans lequel les organisations vérifient en permanence la fiabilité des personnes qui tentent d'accéder à leurs ressources. Les organisations qui fonctionnent selon la Principes de la confiance zéro rendent les choses beaucoup plus difficiles pour les acteurs malveillants qui veulent hameçonner des informations d'identification pour trouver un moyen d'entrer, ou pour aller au-delà de ces informations d'identification et élever leurs privilèges.
RSA soutient Zero Trust en fournissant les composants de la gestion des identités et des accès (IAM) qui sont fondamentaux pour travailler dans le cadre de la confiance zéro du NIST. Il s'agit notamment de
- MFA
- Gouvernance et administration des identités (IGA)
- Analyse basée sur le risque
- Accès basé sur les rôles
- Accès basé sur les attributs
AI
Si l'IA est une aubaine pour les cybercriminels qui mènent des attaques d'hameçonnage de données d'identification, elle est aussi extrêmement précieuse pour ceux qui, de l'autre côté, luttent contre l'hameçonnage de données d'identification. Selon le 2025 Rapport RSA ID IQ, En effet, 78% des organisations interrogées ont déclaré avoir des plans immédiats pour mettre en œuvre l'automatisation, l'apprentissage automatique ou une autre forme d'IA dans leur pile de cybersécurité.
RSA a développé des capacités basées sur l'IA dans le domaine de l'authentification et de la gestion des accès afin d'aider les organisations à détecter, répondre et prévenir les attaques par hameçonnage des informations d'identification :
- RSA Risk AI utilise l'analyse comportementale et l'apprentissage automatique pour détecter les tentatives de prise de contrôle de compte basées sur le phishing, afin que les équipes informatiques puissent les traiter avant qu'elles ne causent des dommages.
Gouvernance et cycle de vie de l'ASR utilise l'IA pour détecter les anomalies dans les demandes d'accès, fournissant aux administrateurs les informations dont ils ont besoin pour empêcher l'octroi d'un accès potentiellement risqué.
À l'avenir, l'hameçonnage d'informations d'identification fera probablement appel à l'IA, à la technologie "deepfake" et à l'ingénierie sociale avancée, selon un spécialiste de l'hameçonnage d'informations d'identification. rapport récent. Cela n'est pas surprenant, étant donné le succès remporté par les cybercriminels grâce à ces tactiques et à d'autres tactiques fondées sur les technologies avancées et émergentes.
Mais la bonne nouvelle, c'est qu'ils se retrouveront de plus en plus souvent face à des organisations tout aussi déterminées à appliquer l'IA et d'autres technologies dans leurs efforts pour repousser les attaques.
Aujourd'hui, les victimes potentielles de l'hameçonnage d'informations d'identification ripostent en adoptant des solutions MFA et sans mot de passe résistantes à l'hameçonnage, en travaillant sur la confiance zéro, en combattant l'IA par l'IA et en prenant d'autres mesures pour se défendre. Les 2025 Rapport RSA ID IQ a révélé que 80% des personnes interrogées pensent que l'IA aidera les organisations en matière de cybersécurité au cours des cinq prochaines années, alors que seulement un cinquième d'entre elles pensent que l'IA fera plus pour permettre aux acteurs de la menace au cours de cette période.
Alors que votre organisation continue de lutter contre l'hameçonnage des informations d'identification, comptez sur RSA pour vous aider, avec des capacités telles que authentification sans mot de passe (y compris les clés d'accès) et une AMF résistante au phishing, assistée par l'IA, le tout déployé dans un environnement utilisateur axé sur la sécurité qui inclut le SSO, et intégré dans un engagement global en faveur des principes de confiance zéro qui sont essentiels à la cyberdéfense aujourd'hui et qui le resteront à l'avenir.
