© 2025 Virginie Lechene - Tous droits réservés
Reproduction ou diffusion interdite sans autorisation. Usage strictement pédagogique.
📸 Image protégée - Propriété exclusive
- Introduction
- Bonnes pratiques anti-phishing + outils de vérification
- Analyse d'un en-tête d'e-mail (headers)
- Pour aller plus loin
- Sécurité des macros – Pourquoi un fichier ne suffit pas
- Ce que cela signifie concrètement
- 🛑 Attention aux fichiers PDF
- 🔍 Exemple d'utilisation
- À propos de l’usage
- Droits sur les visuels
Le phishing (ou hameçonnage) est une technique très répandue chez les cybercriminels. Elle vise à tromper la victime afin de lui faire divulguer des informations sensibles : mots de passe, coordonnées bancaires, identifiants, etc.
Ce projet a pour objectif de sensibiliser et de fournir de bonnes pratiques concrètes, accompagnées de liens d’analyse (email, pièces jointes, etc.).
-
Vérifier l’adresse réelle de l’expéditeur 🔗 MailHeader Analyzer (Google) 🔗 MXToolbox Email Header Analyzer
-
Survoler les liens avec la souris avant de cliquer 🔗 VirusTotal - Scanner d'URL 🔗 URLScan.io
-
Analyser les pièces jointes avant de les ouvrir 🔗 VirusTotal – Analyse de fichier
-
Afficher et lire les en-têtes d’un e-mail (headers) À examiner :
From,Reply-To,Return-Path,Received,SPF,DKIM -
Vérifier si un site est signalé comme dangereux 🔗 Google Safe Browsing 🔗 PhishTank
-
Rechercher à qui appartient un domaine (whois) 🔗 Who.is 🔗 SecurityTrails
Les outils et ressources externes mentionnés dans ce projet (ex. : VirusTotal, Google Header Analyzer, PhishTank…) sont tous publics, légaux et utilisés dans un but exclusivement pédagogique.
Aucune de ces plateformes n’est modifiée ou utilisée de manière détournée. Les liens sont fournis uniquement pour sensibiliser aux bonnes pratiques en matière de cybersécurité (analyse d’e-mails, de liens, de fichiers…).
Ce projet n’encourage en aucun cas l’usage de techniques offensives sans autorisation légale préalable.
Pour plus d'informations sur l'utilisation de liens à des fins pédagogiques :
- Legifrance – Code de la propriété intellectuelle, Article L122-5
- CNIL – Sensibilisation à la cybersécurité
-
Mettre à jour son antivirus et activer les protections antiphishing ✅ Activer SmartScreen (Windows) ✅ Activer les protections Gmail / Outlook
-
Ne jamais cliquer sur un lien inconnu dans un e-mail ✍️ Tapez l’URL directement dans votre navigateur.
Analyse d'un en-tête d'e-mail (headers)
| Élément | Ce qu’il faut analyser |
|---|---|
| From | Est-ce l’adresse attendue ? (ex. : support@banque.fr) |
| Reply-To | Est-elle identique à l’adresse "From" ? Si c’est une autre adresse (ex. : offre-banque@protonmail.com), cela peut être suspect. |
| Return-Path | Adresse réelle de retour. Peut différer du "From" en cas de spoofing, et doit être vérifiée. |
| Received | Liste des serveurs par lesquels est passé l’e-mail. Une origine inhabituelle (ex. : serveur basé à l’étranger, VPN, etc.) est un signal d’alerte. |
| DKIM / SPF / DMARC | Signatures utilisées pour vérifier que le domaine de l’expéditeur est autorisé à envoyer l’e-mail. Si elles sont absentes ou échouées, cela indique un danger. |
🔗 Cybermalveillance.gouv.fr - Hameçonnage 🔗 CNIL – Reconnaître un e-mail frauduleux
Depuis 2022, Microsoft Office (Excel, Word) désactive les macros par défaut pour tout fichier téléchargé depuis Internet ou reçu par e-mail.
Ce que cela signifie concrètement
- Tant que l’utilisateur n’active pas les macros, aucun code malveillant ne s’exécute.
- C’est uniquement après avoir cliqué sur "Activer le contenu" que la macro se lance.
- Ensuite, le fichier peut :
- Se connecter à un serveur distant
- Télécharger un payload (virus)
- L’exécuter discrètement
💡 Cette méthode est couramment utilisée dans les attaques de type phishing par macro VBA.
Exemple de simulation d'attaque macro :
Private Sub Workbook_Open() MsgBox "Étape 1 - Réception d’un e-mail piégé" MsgBox "Étape 2 - Ouverture du fichier Excel, clic sur 'Activer le contenu'" MsgBox "Étape 3 - Exécution de la macro" Shell "notepad.exe", vbNormalFocus MsgBox "Étape 4 - Propagation et chiffrement" End Sud
💡 Ce fichier Excel simule visuellement une attaque par macro, sans aucun danger réel. Il ne contient aucun code malveillant, ne chiffre rien et ne contacte aucun serveur. Il s’agit d’un exemple éducatif 100 % local.
- Les macros sont encore utilisées dans certains environnements insuffisamment sécurisés.
- Depuis 2022, Microsoft bloque par défaut les macros dans les fichiers téléchargés depuis Internet (
Office 2022+, Microsoft365). - Les attaquants contournent ces protections en :
- hébergeant les fichiers sur des serveurs internes compromis,
- utilisant des documents Word (
.docm) ou PowerPoint avec macros, - demandant à l’utilisateur de désactiver manuellement les protections.
Cette méthode reste redoutablement efficace si l’utilisateur est piégé et active manuellement le contenu malveillant.
Les fichiers PDF peuvent également contenir des menaces :
- Ils peuvent intégrer des scripts malveillants ou des liens piégés.
- Certains PDF déclenchent une demande d’activation de contenu dynamique (JavaScript).
- Ils peuvent inciter à cliquer sur un lien de phishing déguisé (ex. : bouton "Voir la facture").
- Ne pas ouvrir directement les fichiers PDF suspects, même dans un navigateur.
- Analyser les fichiers PDF avec un antivirus ou un service comme VirusTotal – Analyse de fichier.
- Ne jamais cliquer sur un lien ou un bouton intégré à un PDF d’origine inconnue.
✅ À propos du script
Ce script Python a été développé dans un but strictement pédagogique pour aider à analyser des e-mails suspects (au format .eml) et détecter des signes de phishing.
🛡️ Il permet notamment d’extraire automatiquement des informations clés comme :
- l’expéditeur réel (
From,Reply-To,Return-Path), - les serveurs traversés (
Received), - la présence ou non d’authentifications (
SPF,DKIM,DMARC), - les liens contenus dans le message.
📌 Le script est testé automatiquement via GitHub Actions et validé ✅ (badge vert) à chaque modification.
Exécution par un utilisateur
Si vous souhaitez exécuter ce script :
Cloner le dépôt GitHub
- git clone https://github.com/virg736/phishing.git && cd phishing
- Rendre le script exécutable
- chmod +x phishing_script.py
- Lancer l’analyse sur un e-mail .eml
- ./phishing_script.py samples/email_suspect.eml
📄 Licence : Ce projet est distribué sous licence MIT, permettant l’usage, la modification et la redistribution à condition de respecter les mentions d’origine.
🔒 Important : Ce script ne collecte aucune donnée et ne communique avec aucun serveur externe. Il peut être utilisé en local et hors ligne, dans le cadre :
- d’une formation en cybersécurité,
- d’un audit légal,
- ou d’un atelier de sensibilisation pédagogique.
L’auteure ne cautionne ni n’autorise l’utilisation de ce script en dehors d’un cadre légal strictement défini. Toute utilisation non conforme est interdite et relève uniquement de la responsabilité de l’utilisateur.
Les visuels, illustrations ou captures présents dans ce dépôt sont la propriété exclusive de l’auteure. Toute reproduction ou réutilisation sans autorisation préalable est interdite.
© 2025 Virginie Lechene - Tous droits réservés.