Pretexting

01 — DéfinitionQu'est-ce que le pretexting ?

Le pretexting (ou prétextage) est une technique d'ingénierie sociale qui consiste à construire un contexte fictif mais crédible pour manipuler une cible. L'attaquant incarne un rôle (collègue, fournisseur, autorité, support technique) et déroule un scénario soigneusement préparé pour obtenir ce qu'il cherche : une information sensible, un virement, un accès, un mot de passe, l'exécution d'une action précise.

Le terme vient de l'anglais pretext (prétexte) et a été popularisé dans le milieu de la sécurité informatique à partir des années 2000. Il désigne moins un type d'attaque spécifique qu'une méthode transversale utilisée dans de nombreuses catégories d'attaques :

• Spear-phishing personnalisé reposant sur un prétexte crédible pour la victime.
• BEC où l'attaquant imite la communication interne d'un dirigeant.
• Fraude au président avec scénario d'opération confidentielle.
• Vishing au faux conseiller bancaire ou faux support technique.
• Impersonation physique (fausse identité dans les locaux).
• Attaques ciblées des équipes RH (fausses candidatures), des équipes achats (faux fournisseurs), des équipes IT (faux incident à résoudre).

La force du pretexting tient à sa cohérence interne. Un bon prétexte n'est pas détecté comme suspect parce qu'il correspond à une situation plausible, à un interlocuteur reconnaissable, à un canal attendu. Il tire parti du fait que les cerveaux humains accordent leur confiance rapidement à ce qui semble cohérent.

Le phishing généraliste se reconnaît à ses incohérences. Le pretexting bien fait, au contraire, ne présente aucune incohérence visible — sa détection repose sur des procédures, pas sur l'intuition.

02 — MécanismesPourquoi ça fonctionne

Le pretexting exploite des biais cognitifs profonds et stables. Comprendre ces mécanismes aide à les reconnaître.

Principe d'autorité

Nous sommes naturellement enclins à obéir à quelqu'un qui présente une position d'autorité : dirigeant, autorité publique (police, fisc, CNIL), expert technique, partenaire important. L'attaquant s'approprie ce rôle par le vocabulaire, le ton, les détails qu'il connaît. Les expériences de Milgram ont montré que ce biais est universel et très puissant.

Principe de réciprocité

Rendre un service, même mineur, déclenche l'envie de rendre la pareille. L'attaquant peut commencer par fournir une information apparemment utile (« je vous préviens, il y a un problème sur votre compte ») pour ensuite demander une action en retour (« pouvez-vous me confirmer votre identifiant ? »).

Principe de rareté et d'urgence

Un délai court ou une opportunité limitée réduit la capacité de réflexion. « Il faut agir avant 15h », « c'est la dernière chance de régulariser », « votre compte sera bloqué ce soir ». L'urgence pousse à court-circuiter les vérifications habituelles.

Preuve sociale

Évoquer que « d'autres l'ont déjà fait », que c'est « la procédure normale », que « vos collègues du service untel ont validé » rassure. La cible pense être dans le cadre d'un processus légitime connu des autres.

Sympathie et rapport

Un attaquant chaleureux, qui fait preuve d'empathie, qui mentionne des connaissances communes, qui se souvient d'un détail personnel, construit rapidement une connexion émotionnelle. Les SOCial engineers aguerris investissent dans cette phase de construction de relation avant l'attaque réelle.

Engagement et cohérence

Une fois qu'une cible a commencé à coopérer (même sur un détail anodin), elle tend à poursuivre pour rester cohérente avec elle-même. Le pretexting commence souvent par des demandes mineures (« pouvez-vous confirmer votre nom ? ») qui ouvrent la porte à des demandes plus lourdes.

Charge cognitive et fatigue

Une personne fatiguée, stressée, ou submergée par plusieurs tâches simultanées est beaucoup plus vulnérable. L'attaquant choisit son timing : fin de journée, vendredi, veille de congés, période de forte charge. Les appels de pretexting arrivent typiquement à 16h30 un vendredi, avec une « urgence » qui empêche la vérification.

03 — TechniquesLes scénarios classiques

Le faux support technique

L'attaquant se présente comme le support IT interne ou un prestataire informatique officiel. Scénario type : « nous avons détecté une anomalie sur votre poste, nous devons faire une vérification urgente ». Demande : installation d'un logiciel de prise en main à distance, communication d'un mot de passe, exécution d'une commande. Ciblage courant : utilisateurs non techniques.

Le faux conseiller bancaire

Scénario dominant du vishing français. « Je suis votre conseiller fraude de la banque X, nous avons détecté une opération suspecte sur votre compte. » Le pretexte comprend souvent des détails crédibles (date de la transaction, montant proche d'un vrai achat, numéro qui affiche le logo de la banque par spoofing). Cible : particuliers, mais aussi professionnels pour le détournement de virements.

Le faux dirigeant

Variante de la fraude au président. L'attaquant se fait passer pour le PDG, DAF ou autre cadre dirigeant, par email ou téléphone. Scénario : opération stratégique confidentielle qui nécessite un virement urgent, un paiement de fournisseur prioritaire, une confidentialité stricte. Exploite l'autorité et l'urgence.

Le faux fournisseur ou partenaire

L'attaquant se fait passer pour un fournisseur existant avec une « information importante » : changement de coordonnées bancaires, nouveau contact, facture à régler. Peut cibler le service comptabilité ou achats. Variante en ligne : faux email de Microsoft, Google, Cisco, demandant une authentification ou une mise à jour.

Le faux candidat à l'embauche

Scénario subtil ciblant les RH et les managers techniques. L'attaquant postule à un vrai poste, envoie un CV, demande des échanges. Le pretexte vise à obtenir : informations sur l'organisation, cartographie des équipes, parfois exécution de pièce jointe malveillante (faux portfolio, faux projet à examiner). Tendance en forte croissance chez les équipes tech.

Le faux journaliste ou chercheur

Cible les dirigeants et experts. « Je prépare un article sur votre secteur, pouvez-vous me confirmer certains éléments ? » La flatterie facilite la divulgation d'informations sensibles (chiffres, projets, contacts internes). Parfois utilisé en reconnaissance pour des attaques ciblées ultérieures.

L'accès physique prétendu

L'attaquant se présente physiquement dans les locaux avec une couverture : technicien fibre, livreur, prestataire de maintenance, nouveau stagiaire qui ne trouve pas son chemin. Un simple gilet haute visibilité ou un ordre de mission falsifié suffit souvent à franchir les premières barrières physiques. Scénario documenté dans de nombreux tests d'intrusion.

La fausse autorité publique

Faux contrôle fiscal, faux huissier, fausse CNIL, faux ANSSI, faux Cert-FR. Le scénario s'appuie sur la crainte d'une sanction ou d'un contrôle. Demande : accès aux systèmes, communication de documents, parfois virement d'une « amende » pour éviter l'aggravation.

04 — ExemplesCas réels documentés

Twitter, juillet 2020

Un attaquant de 17 ans et ses complices ont appelé plusieurs employés Twitter en se faisant passer pour l'équipe IT interne. Le pretexte : résoudre un problème d'accès VPN. Les employés ont fourni leurs identifiants sur un faux portail imitant l'interface interne. Résultat : accès aux outils administrateurs, prise de contrôle de comptes de Barack Obama, Joe Biden, Elon Musk, Bill Gates, Apple pour une arnaque à la cryptomonnaie. Environ 120 000 $ dérobés, mais surtout démonstration de la vulnérabilité d'une grande plateforme à un pretexting téléphonique.

Uber, septembre 2022

Un attaquant de 18 ans a compromis les systèmes d'Uber par pretexting : il a acheté des identifiants d'un sous-traitant sur le dark web, puis a bombardé un employé de notifications MFA (MFA fatigue). Pour couronner, il a contacté l'employé sur WhatsApp en se faisant passer pour l'équipe IT d'Uber : « approuvez la notification MFA pour qu'elle s'arrête ». L'employé a cédé. Accès complet obtenu à Slack, AWS, Google Workspace, GitHub d'Uber. Communication interne publique par l'attaquant pour humilier l'entreprise.

Arup, février 2024

Cas emblématique de la nouvelle génération. Un employé de la filiale hongkongaise du groupe d'ingénierie britannique Arup a participé à une visioconférence avec son « CFO » et plusieurs collègues. Tous étaient en réalité des deepfakes générés par IA, reconstitués à partir de vidéos publiques du dirigeant. Le pretexte : une opération confidentielle demandant des virements urgents vers des comptes à Hong Kong. Résultat : 200 millions de dollars hongkongais détournés, soit environ 25 millions de dollars américains. Première grande fraude documentée combinant pretexting classique et deepfake vidéo en temps réel.

Kevin Mitnick — référence historique

Kevin Mitnick (1963-2023), hacker reconverti consultant, considéré comme le plus grand praticien historique du pretexting. Ses livres (« L'Art de la supercherie », « L'Art de l'intrusion ») décrivent des dizaines de cas où il a obtenu des accès critiques uniquement par téléphone, avec des scénarios soigneusement préparés. Ses techniques ont fondé la discipline moderne du social engineering.

MGM Resorts, septembre 2023

Le groupe Scattered Spider a déclenché une paralysie complète du groupe hôtelier MGM Resorts par un appel téléphonique de 10 minutes. L'attaquant a appelé le support IT d'MGM en se faisant passer pour un employé qui avait perdu son accès, avec quelques informations glanées sur LinkedIn (nom, poste, manager). Le support a réinitialisé les identifiants et la MFA. Résultat : accès complet aux systèmes, ransomware déployé, 100 millions de dollars de pertes d'exploitation pour MGM.

Retail Ventures / DSW, 2005

Un cas historique souvent cité en formation. Des attaquants ont obtenu 1,4 million de numéros de cartes bancaires de DSW en se faisant passer pour un auditeur mandaté. Le scénario comprenait une fausse lettre officielle, des rappels téléphoniques, un vocabulaire juridique précis. Les employés ont fourni des accès systèmes sans vérifier indépendamment la mission. Le cas a fondé la jurisprudence américaine sur le pretexting financier.

05 — IAL'amplification par l'IA générative

Depuis 2023-2024, l'IA générative a fondamentalement transformé la pratique du pretexting en la rendant plus rapide, plus crédible et accessible à des attaquants peu qualifiés.

Rédaction parfaite en n'importe quelle langue

Les attaques en français contenaient historiquement des fautes de grammaire ou des tournures anglicisées qui constituaient un signal de détection. ChatGPT, Claude, Gemini et leurs équivalents permettent désormais de rédiger des messages irréprochables en français, y compris avec des formules administratives correctes (propre à l'administration française, au secteur bancaire, à la terminologie juridique). Le filtre linguistique historique ne fonctionne plus.

Personnalisation à grande échelle

Auparavant, le pretexting ciblé demandait des heures de recherche manuelle par cible. Aujourd'hui, des scripts combinés à l'IA peuvent :

• Scraper automatiquement LinkedIn, sites web d'entreprises, réseaux sociaux.
• Synthétiser un profil riche par cible (responsabilités, centres d'intérêt, connexions).
• Générer un scénario personnalisé adapté à chaque cible.
• Adapter le message en fonction des réponses reçues en quasi-temps réel.

Ce qui demandait des heures peut désormais se faire en quelques minutes à l'échelle de milliers de cibles.

Deepfakes audio et vidéo

Les capacités de deepfake audio ont atteint un niveau tel qu'une minute d'extrait public d'une voix suffit pour en générer une version synthétique crédible en conversation. Des outils commerciaux (ElevenLabs, Resemble AI, puis leurs équivalents criminels) rendent cela accessible. Les deepfakes vidéo temps réel, encore balbutiants en 2023, sont devenus suffisamment crédibles en 2024-2025 pour permettre le cas Arup.

Cloning de style d'écriture

Avec quelques échantillons d'emails publics d'un dirigeant, l'IA peut imiter son style (longueur des phrases, expressions récurrentes, ton), ce qui rend les attaques BEC beaucoup plus difficiles à détecter par analyse linguistique.

Génération de preuves fabriquées

L'IA facilite la création de documents crédibles pour étayer un prétexte : faux emails antérieurs de la direction, faux documents légaux, faux contrats, fausses captures d'écran de systèmes internes. Ces éléments rendent le scénario plus convaincant lors d'une vérification rapide.

Conséquences opérationnelles

Les indicateurs historiques de détection ne fonctionnent plus seuls :

• La qualité linguistique n'est plus un marqueur fiable.
• Une voix familière au téléphone n'est plus une garantie.
• Une vidéo en direct n'est plus une preuve.
• Les preuves fournies peuvent être intégralement fabriquées.

La défense repose désormais principalement sur les procédures (vérification croisée par canal indépendant) plutôt que sur l'intuition humaine.

06 — ProtectionComment se défendre

07 — LégalCadre juridique et tests autorisés

Infractions en droit français

Le pretexting malveillant relève de plusieurs qualifications pénales en France :

• Escroquerie (article 313-1 du Code pénal) : emploi de manœuvres frauduleuses pour obtenir un bien ou un service. 5 ans d'emprisonnement et 375 000 € d'amende. Peines aggravées en bande organisée (7 ans, 750 000 €).
• Accès frauduleux à un système de traitement automatisé de données (article 323-1) : 3 ans et 100 000 €, jusqu'à 5 ans avec circonstance aggravante de modification ou suppression de données.
• Usurpation d'identité (article 226-4-1) : 1 an d'emprisonnement et 15 000 €.
• Collecte frauduleuse de données personnelles (article 226-18) : 5 ans et 300 000 €.
• Faux et usage de faux (article 441-1) : jusqu'à 3 ans et 45 000 €.

Cadre international

Aux États-Unis, le Gramm-Leach-Bliley Act (1999) interdit explicitement le pretexting à l'égard des institutions financières depuis 1999, avec amendes civiles et pénales. Le Computer Fraud and Abuse Act couvre les accès non autorisés par ingénierie sociale. Au Royaume-Uni, le Fraud Act 2006 et le Computer Misuse Act 1990 sanctionnent ces comportements.

Tests d'intrusion sociaux légitimes

Le pretexting est une technique utilisée légitimement par les auditeurs en sécurité, dans le cadre de tests d'intrusion sociaux autorisés. Les conditions strictes :

• Mandat écrit et précis du donneur d'ordre avant toute action.
• Périmètre clairement défini (quelles populations, quels canaux, quels objectifs).
• Règles d'engagement détaillées (limites à ne pas franchir, ce qui est autorisé et interdit).
• Confidentialité renforcée (les personnes testées ne doivent pas être informées à l'avance, mais la direction de l'organisation et le service juridique doivent l'être).
• Rapport détaillé post-test avec recommandations, sans divulgation individuelle stigmatisante.
• Respect du RGPD pour les données collectées pendant le test.

Ces tests sont proposés par les cabinets de pentest spécialisés (Synacktiv, Wavestone, Sekoia, Intrinsec, Orange Cyberdefense, HackerOne, Bishop Fox, Kroll…). Un bon test de pretexting autorisé n'est jamais punitif pour les personnes testées — il cible les procédures et la formation.

Cas limites

Certaines pratiques commerciales frôlent la limite du pretexting : prospection commerciale avec identité trompeuse, enquêtes de satisfaction avec fausse identité, journalistes d'investigation sous couverture. Le cadre juridique varie selon la finalité, la proportionnalité et l'absence d'appropriation frauduleuse. En cas de doute, une validation juridique préalable est indispensable.

08 — FAQQuestions fréquentes

Le pretexting concerne-t-il aussi les particuliers ?

Oui, massivement. Les arnaques à la carte bancaire, au faux agent du service des impôts, au faux support Microsoft, au faux neveu en difficulté reposent toutes sur du pretexting. Les seniors sont particulièrement ciblés. La sensibilisation familiale est aussi importante que celle en entreprise.

Comment repérer un appel de pretexting ?

Quelques signaux récurrents : urgence soudaine et disproportionnée, pression à ne pas parler à d'autres (« c'est confidentiel », « ne raccrochez pas sinon vous perdez l'accès »), demande d'actions inhabituelles (transférer de l'argent, installer un logiciel, donner un code), informations personnelles partiellement correctes qui servent à créer la confiance. Règle : si un appel vous pousse à agir vite sans réfléchir, c'est un drapeau rouge.

Une entreprise peut-elle tester ses employés sans les prévenir ?

Oui, sous conditions. Les simulations de phishing sont devenues standard et la CNIL les considère comme légitimes quand elles respectent certains principes : information préalable en termes généraux (les collaborateurs savent qu'il y a périodiquement des simulations, sans connaître les dates), respect de la vie privée (pas de ciblage personnel stigmatisant), suivi pédagogique (pas de sanction disciplinaire pour un clic), limitation des données collectées. Un cadre avec le CSE et le service juridique est recommandé.

Les attaques de pretexting sont-elles couvertes par la cyber-assurance ?

Partiellement, selon les polices. Les pertes financières consécutives à une fraude au président ou un BEC peuvent être couvertes par les extensions « fraude informatique » ou « social engineering » des polices cyber-assurance. Des exclusions s'appliquent souvent en cas de négligence manifeste (pas de procédure de double validation, pas de formation, plafonds non conformes à l'état de l'art). La lecture précise du contrat est déterminante.

Quel est le coût moyen d'une attaque de pretexting réussie ?

Très variable. Les fraudes au président les plus courantes se chiffrent entre 50 000 et plusieurs millions d'euros. Les rapports du FBI IC3 estiment les pertes mondiales liées au BEC à environ 2,7 milliards de dollars par an. Pour une compromission initiale de type MGM Resorts, les conséquences ont dépassé 100 millions en pertes d'exploitation directes, sans compter la réputation.