1 Introduction
Le spoofing (usurpation d'identité numérique) consiste à se faire passer pour quelqu'un ou quelque chose d'autre sur un réseau. C'est le déguisement du monde numérique : l'attaquant porte un masque pour vous faire croire qu'il est quelqu'un de confiance.
Imaginez quelqu'un qui se présente à votre porte en uniforme de facteur, avec un faux badge et un faux colis. Vous lui faites confiance parce qu'il ressemble à un facteur. Sur Internet, le spoofing fonctionne de la même façon : l'attaquant falsifie son identité (adresse email, numéro de téléphone, adresse IP, nom de domaine) pour gagner votre confiance.
Les quatre grandes familles de spoofing
Email Spoofing
Falsifier l'expéditeur d'un email
Caller ID Spoofing
Falsifier le numéro de téléphone affiché
Domain Spoofing
Imiter un nom de domaine légitime
ARP Spoofing
Intercepter le trafic sur un réseau local
2 Comment ça marche
Email Spoofing : falsifier l'expéditeur
Le protocole email (SMTP) a été créé dans les années 1980, à une époque où la confiance était la norme sur Internet. Il n'intègre aucune vérification d'identité par défaut. C'est comme le courrier postal : n'importe qui peut écrire n'importe quelle adresse de retour sur une enveloppe.
// L'attaquant se connecte à un serveur SMTP et écrit :
MAIL FROM: <[email protected]>
RCPT TO: <[email protected]>
DATA
From: Directeur Général <[email protected]>
Subject: Virement urgent - confidentiel
Bonjour, merci d'effectuer un virement de 45 000 EUR...
Protection : Les mécanismes SPF, DKIM et DMARC ont été inventés pour combler cette faille. Ils permettent au domaine de déclarer quels serveurs sont autorisés à envoyer en son nom.
Caller ID Spoofing : falsifier le numéro de téléphone
Quand quelqu'un vous appelle, le numéro affiché sur votre téléphone peut être falsifié. L'attaquant utilise des services VoIP (téléphonie par Internet) pour choisir le numéro qui s'affichera. Il peut même afficher le vrai numéro de votre banque.
Scénario classique
Vous recevez un appel affichant le numéro de votre banque. L'interlocuteur se présente comme un conseiller et vous alerte d'une fraude sur votre compte. Il vous demande vos codes pour "sécuriser" votre compte. En réalité, c'est un escroc qui utilise vos codes pour vider votre compte.
Protection
Raccrochez et rappelez vous-même le numéro officiel de votre banque (celui inscrit sur votre carte). Ne communiquez jamais de codes par téléphone. Votre banque ne vous les demandera jamais.
Domain Spoofing : imiter un site web
L'attaquant crée un domaine qui ressemble visuellement au vrai. Il copie ensuite le design du site officiel pour créer une réplique parfaite. La victime croit être sur le vrai site et entre ses identifiants.
ARP Spoofing : espionner le réseau local
L'ARP (Address Resolution Protocol) est le système qui permet aux appareils d'un réseau local de se trouver. C'est comme un registre qui associe chaque appareil à son adresse physique.
Avec l'ARP spoofing, l'attaquant se fait passer pour le routeur (la "box") auprès des autres appareils. Tout le trafic passe alors par sa machine avant d'aller sur Internet. Il peut ainsi lire les données non chiffrées, modifier des pages web en transit, ou rediriger le trafic. C'est comme si quelqu'un se faisait passer pour le facteur et lisait tout votre courrier avant de le remettre dans votre boîte.
Protection : Utilisez toujours HTTPS, un VPN sur les réseaux publics, et méfiez-vous du Wi-Fi gratuit dans les cafés ou aéroports.
3 Analyse détaillée
L'arnaque au président : le spoofing en action
L'une des attaques les plus coûteuses utilisant le spoofing est l'arnaque au président (ou BEC - Business Email Compromise). Voici comment elle fonctionne :
Reconnaissance : L'attaquant étudie l'entreprise sur LinkedIn, les réseaux sociaux et le site web pour identifier le directeur et le service comptabilité.
Spoofing : Il envoie un email en usurpant l'adresse du directeur, avec un ton urgent et confidentiel.
Manipulation : Il demande un virement "confidentiel" vers un compte à l'étranger, en insistant sur l'urgence et le secret.
Extraction : L'argent est transféré et disparaît en quelques heures dans un réseau de comptes internationaux.
Cette arnaque coûte des milliards d'euros chaque année dans le monde. En France, plusieurs entreprises ont perdu des millions avec cette technique.
Tableau comparatif des techniques de spoofing
| Type | Ce qui est falsifié | Difficulté | Protection |
|---|---|---|---|
| Adresse expéditeur | Facile | SPF/DKIM/DMARC | |
| Caller ID | Numéro de téléphone | Facile | Rappeler soi-même |
| Domaine | Nom de domaine | Moyen | Vérifier l'URL exacte |
| ARP | Adresse MAC | Moyen | VPN, HTTPS |
Essayez sur mlab.sh
Analysez les en-tetes d'un email pour verifier son authenticite. L'outil verifie les mecanismes SPF, DKIM et DMARC et vous indique si l'expediteur est bien celui qu'il pretend etre.
Vérifier l'authenticité d'un email4 Red Flags
Voici les signaux d'alerte qui indiquent une tentative de spoofing :
Urgence et confidentialité
"C'est urgent, ne parlez de ceci à personne." L'urgence est l'arme principale des attaquants pour vous empêcher de vérifier et de réfléchir.
Demande de contourner les procédures
"Pour cette fois, pas besoin de double validation." Tout message demandant de court-circuiter les processus habituels est suspect.
Appel inattendu de votre "banque"
Votre banque ne vous appellera jamais pour vous demander vos codes. Si quelqu'un le fait, raccrochez et rappelez le numéro officiel vous-même.
Changement soudain de coordonnées
"Notre RIB a changé, veuillez utiliser ces nouvelles coordonnées." Les changements de coordonnées bancaires doivent toujours être vérifiés par un autre canal.
Ton inhabituel dans un email professionnel
Votre directeur écrit soudainement avec un style différent, fait des fautes inhabituelles ou utilise des formulations étrangères. Le spoofing copie l'adresse mais rarement le style.
Wi-Fi public avec comportements étranges
Des alertes de certificat HTTPS, des pages web qui chargent bizarrement ou des déconnexions répétées sur un Wi-Fi public peuvent indiquer un ARP spoofing.
Modules connexes
Analyser un email suspect
Décortiquer les en-têtes d'email pour identifier les tentatives de phishing et de spoofing.
Reconnaître un lien de phishing
Les techniques pour détecter les URLs frauduleuses qui imitent des sites légitimes.
Les grandes familles de menaces
APT, hacktivistes, cybercriminels, insiders : cartographie des acteurs de la menace cyber.
Source : mlab Academy — Plateforme de sensibilisation à la cybersécurité
URL : https://academy.mlab.sh/fr-FR/page/techniques-spoofing
Module : Les techniques de spoofing — Phishing & Ingénierie sociale
Avertissement : Ce contenu est à des fins de sensibilisation uniquement.