21 mai 2026 • Cybersécurité
Le « baiting » est l’une des techniques d’ingénierie sociale les plus anciennes et les plus efficaces en matière de cybersécurité, mais aussi l’une des moins évoquées. Alors que le phishing joue sur l’urgence et que le vishing exploite la confiance, le baiting mise sur quelque chose d’encore plus fondamental : la curiosité. Un attaquant place un élément attrayant sur le chemin d'une victime potentielle et attend que la nature humaine fasse le reste. Comprendre ce qu'est le baiting, comment il fonctionne en ligne et dans la vie réelle, et pourquoi il continue de fonctionner malgré une large sensibilisation aux cybermenaces, constitue la première étape pour protéger votre organisation contre ce type d'attaque.
Qu'est-ce que l'appâtage ?
Le « baiting » est une attaque d'ingénierie sociale dans laquelle un pirate utilise un appât séduisant ou suscitant la curiosité, le « bait », pour inciter une cible à effectuer une action qui compromet sa sécurité ou celle de son organisation. L'appât peut être numérique ou physique, et l'objectif est toujours le même : amener la cible à faire quelque chose qu'elle ne ferait pas en temps normal.
Ce terme s'inspire de la pêche : il s'agit d'accrocher un appât à un hameçon et d'attendre. En cybersécurité, l'hameçon correspond à un logiciel malveillant, à une page destinée à récupérer des identifiants ou à un point d'entrée dans un réseau. L'appât, quant à lui, est tout ce que l'attaquant estime irrésistible pour sa cible : un logiciel gratuit, une clé USB trouvée, un lien de téléchargement « exclusif », une notification de gain.
Ce qui distingue le « baiting » des autres attaques d'ingénierie sociale, c'est qu'il ne nécessite pas de contact direct entre l'attaquant et la cible. L'attaquant tend le piège et attend. Cela rend cette technique évolutive : un seul appât bien placé peut toucher des centaines de personnes, et elle est plus difficile à attribuer qu'une attaque de phishing ou de vishing.
Le « bait » sur Internet : comment fonctionne cette technique
Les pièges sur Internet prennent de nombreuses formes. Leur point commun est qu’ils proposent à la victime ce qu’elle désire, mais lui fournissent en réalité quelque chose qu’elle n’a pas demandé. Parmi les formes courantes de pièges sur Internet, on peut citer :
- Téléchargements gratuits de logiciels ou de fichiers multimédias. Un site web propose une version gratuite d'un logiciel payant, d'un film, d'un jeu ou d'un outil. Le fichier téléchargé contient un logiciel malveillant intégré au contenu promis ou à la place de celui-ci. La victime l'installe de son plein gré.
- Notifications de prix ou de récompenses. Des fenêtres contextuelles ou des e-mails indiquent à l'utilisateur qu'il a gagné un prix, qu'il a droit à un remboursement ou qu'il est le millième visiteur. En cliquant sur ces notifications, l'utilisateur est redirigé vers une page visant à récupérer ses identifiants ou déclenche le téléchargement d'un logiciel malveillant.
- Fausses offres d'emploi ou opportunités professionnelles. Destinées aux professionnels, notamment via LinkedIn ou par e-mail, ces leurres promettent des opportunités en échange d'un simple clic sur un lien, de l'ouverture d'une pièce jointe ou du remplissage d'un formulaire, ce qui permet de récupérer des identifiants personnels ou d'entreprise.
- Les liens qui jouent sur la curiosité. Un lien partagé par e-mail, par messagerie instantanée ou sur les réseaux sociaux qui promet quelque chose de provocateur, d'exclusif ou de pertinent pour le destinataire. « Votre photo a été partagée », « Découvrez qui a consulté votre profil », « Document divulgué concernant [votre entreprise] ». La cible clique parce que la curiosité l'emporte sur la prudence.
- Fausses alertes de sécurité. Une fenêtre contextuelle avertit l'utilisateur que son appareil est infecté et lui demande de télécharger un « outil de réparation ». Cet outil n'est autre qu'un logiciel malveillant.
Le « baiting » sur Internet fonctionne parce qu'il va à la rencontre de la cible là où elle se trouve déjà – en train de naviguer, de faire défiler des pages ou de télécharger – et lui propose quelque chose qui ressemble à une récompense, et non à un risque.
Le piégeage physique : le « USB drop » et au-delà
Les leurres ne se trouvent pas tous en ligne. Le leurre physique, qui consiste à laisser des appareils ou des supports infectés à des endroits où les cibles sont susceptibles de les trouver, est une technique d'attaque bien documentée et qui s'avère toujours efficace. La forme la plus courante est le « USB drop ».
Un pirate laisse une ou plusieurs clés USB à un endroit où les employés de l'organisation ciblée sont susceptibles de les trouver : un parking, un comptoir d'accueil, une salle de réunion, des toilettes. La clé est souvent étiquetée de manière à attiser la curiosité : « Données salariales T3 », « Confidentiel », « Photos de la fête ». Un employé la trouve, la branche sur un appareil professionnel pour voir ce qu'elle contient, et exécute la charge utile du pirate.
Des études ont montré à maintes reprises qu’une proportion importante de personnes qui trouvent une clé USB inconnue la branchent. L’étiquette renforce encore cette probabilité. Les leurres physiques sont efficaces précisément parce qu’ils contournent tous les dispositifs de sécurité des e-mails, de filtrage Web et de contrôle des terminaux dans lesquels une organisation a investi, et reposent uniquement sur le fait qu’une personne réagisse comme n’importe qui le ferait en trouvant quelque chose qui pourrait l’intéresser.
Le « baiting », le « phishing » et les autres techniques d'ingénierie sociale : principales différences
| Technique | Déclencheur principal | Contact obligatoire | Chaîne |
|---|---|---|---|
| Appâtage | Curiosité, cupidité, intérêt personnel | Non, l'attaquant tend un piège et attend | En ligne (téléchargement, lien) ou sur support physique (clé USB) |
| Phishing | Urgence, peur, autorité | Indirect (e-mail envoyé au destinataire) | Courrier électronique, messagerie |
| Vishing | Confiance, autorité, urgence | Oui, un appel téléphonique en direct | Voix / téléphone |
| Prétextage | La confiance dans une identité fictive | Oui, une interaction directe | Par e-mail, par téléphone ou en personne |
| Don pour don | Réciprocité : un échange de bons procédés | Oui, l'attaquant lance une offre | Téléphone, e-mail |
Pour un aperçu des différents types d'attaques par hameçonnage, consultez la section « Différents types d'attaques par hameçonnage ».
Comment protéger votre organisation contre le harcèlement
Les mesures techniques sont utiles : désactiver l'exécution automatique des clés USB, bloquer les sources de téléchargement non fiables, filtrer le contenu Web... mais elles ne résolvent qu'une partie du problème. Le cœur du problème réside dans une décision humaine : prendre l'objet, cliquer dessus, le brancher. La seule protection fiable contre cette décision, c'est un employé qui prend le temps de réfléchir avant d'agir.
Cette pause est un réflexe acquis. Une formation à la sensibilisation à la sécurité abordant des scénarios de leurres permet aux employés d'acquérir les repères nécessaires pour reconnaître un leurre, qu'il soit en ligne ou physique, et de le remettre en question plutôt que d'agir sous le coup de l'impulsion. Habitudes clés à adopter :
- Ne branchez jamais un périphérique USB inconnu, peu importe où vous l'avez trouvé ou ce qui y est inscrit. Remettez-le au service informatique.
- Méfiez-vous des offres en ligne qui semblent « trop belles pour être vraies ». Les logiciels gratuits, les notifications de gains inattendus et les téléchargements exclusifs sont des signaux d'alerte fiables.
- Vérifiez avant de télécharger. Les employés qui vérifient la provenance d'un téléchargement par rapport à une liste de sources fiables sont nettement moins susceptibles d'installer des logiciels malveillants par le biais d'une technique d'hameçonnage.
- Signalez-le, ne l'ignorez pas. Une clé USB trouvée ou une invite de téléchargement suspecte mérite d'être signalée. En normalisant ce type de signalement, on permet aux équipes de sécurité d'être alertées rapidement.
Le « baiting » tire parti de ce qui rend les gens efficaces dans d'autres contextes : la curiosité, l'ouverture d'esprit et l'esprit d'entraide. La formation à la vigilance ne cherche pas à éliminer ces traits de caractère. Elle apprend aux gens à faire preuve d'un peu plus de scepticisme avant d'agir sous leur influence.
Former les employés à repérer les leurres
Avant que la curiosité ne devienne une faille.