Skip to content
Glossaire

Pretexting

Le pretexting est une technique d'ingénierie sociale dans laquelle l'attaquant invente un scénario crédible (le prétexte) pour obtenir des informations sensibles ou pousser la victime à effectuer une action. Contrairement au phishing de masse, le pretexting repose sur la construction d'une identité fictive et d'une histoire cohérente qui justifie la demande.

8 min de lecture Thomas Ferreira

Comment fonctionne le pretexting

Le pretexting repose sur une mécanique précise : si l’histoire est crédible, la demande passe. L’attaquant ne pirate pas un système informatique. Il pirate la confiance d’une personne en fabriquant un contexte dans lequel sa demande paraît légitime.

Le Verizon Data Breach Investigations Report 2024 classe le pretexting comme vecteur dans 24 % des incidents d’ingénierie sociale. Là où le phishing de masse mise sur le volume, le pretexting mise sur la précision. Un seul message, une seule cible, un scénario sur mesure.

Phase 1 — La recherche (OSINT). L’attaquant collecte tout ce qui est publiquement disponible : organigramme LinkedIn, noms des dirigeants et prestataires, registres publics (Societe.com, BODACC, Infogreffe), réseaux sociaux personnels. Plus l’attaquant en sait, plus le prétexte sera convaincant.

Phase 2 — La construction de l’identité. L’attaquant fabrique un personnage : technicien IT du prestataire connu, fournisseur habituel, auditeur externe. Il prépare un domaine email proche de l’original, un numéro avec le bon indicatif, un vocabulaire technique adapté au rôle.

Phase 3 — L’engagement. Le premier contact est rarement la demande elle-même. L’attaquant peut échanger plusieurs emails ou appels pour installer la confiance avant de formuler sa vraie demande. C’est ce qui sépare le pretexting du phishing classique.

Phase 4 — L’exploitation. La demande arrive naturellement dans le contexte construit : un identifiant pour “résoudre le problème signalé”, un virement pour “finaliser le contrat discuté”. La victime agit parce que le rôle, le contexte et la demande sont cohérents.

Les techniques de pretexting les plus courantes

L’usurpation d’identité (impersonation)

Le faux support informatique — L’attaquant appelle un employé en se présentant comme le helpdesk :

“Bonjour, ici le support technique de [nom du vrai prestataire]. On a détecté une activité anormale sur votre poste. J’ai besoin que vous me confirmiez votre identifiant.”

L’autorité technique combinée à l’urgence et au rôle d’aide forme un cocktail efficace. Ce scénario est un classique du vishing.

Le faux fournisseur — L’attaquant contacte la comptabilité pour demander un changement de RIB. Le rapport de la police judiciaire sur la cybercriminalité (2023) classe cette arnaque parmi les trois fraudes les plus signalées par les entreprises françaises.

Le faux auditeur — Prétexte d’un audit NIS2 ou ISO 27001 pour demander l’accès aux comptes administrateurs. Le vocabulaire technique crédible et le nom d’un vrai DSI récupéré sur LinkedIn suffisent souvent.

Tailgating et piggybacking

Le pretexting physique : suivre un employé à travers une porte sécurisée sans badge. Faux livreur avec un carton, faux technicien de maintenance avec un gilet orange, faux candidat en entretien. La politesse naturelle empêche la plupart des gens de demander “Vous êtes qui ?” à quelqu’un qui semble avoir une raison légitime d’être là.

Baiting (piège physique)

L’attaquant abandonne une clé USB étiquetée “Salaires 2026” ou “Confidentiel” dans un espace commun. Une étude de l’Université de l’Illinois a montré que 48 % des clés USB déposées dans des espaces publics sont branchées par la personne qui les trouve. Le malware s’installe dès la connexion au poste.

Quid pro quo (faux helpdesk)

L’attaquant propose de résoudre un problème technique en échange d’identifiants ou de l’installation d’un logiciel d’accès à distance. Il exploite le biais de réciprocité : après avoir “aidé”, la demande en retour est difficile à refuser.

Exploitation de l’autorité

Le pretexting invoquant une autorité hiérarchique ou institutionnelle : le “PDG” qui demande un virement, le “cabinet d’avocats” qui menace d’une action, l‘“inspecteur CNIL” qui exige des données. Remettre en question un supérieur ou une institution est socialement coûteux — l’attaquant exploite cette pression.

Pretexting et fraude au président

La fraude au président (BEC) est la forme de pretexting la plus coûteuse. Le FBI estime les pertes mondiales liées au BEC à 55 milliards de dollars entre 2013 et 2023.

Chaque fraude au président suit le même schéma : un rôle d’autorité (PDG, DAF, avocat), un contexte crédible (acquisition confidentielle, litige sensible), une urgence fabriquée (“le virement doit partir aujourd’hui”), et un isolement de la cible (“c’est confidentiel, n’en parlez à personne”). Ce dernier point est caractéristique : la confidentialité coupe la cible de ses circuits de vérification normaux.

Le whaling utilise les mêmes mécanismes, mais cible les dirigeants eux-mêmes avec des prétextes adaptés à leur niveau — fausse assignation juridique, demande d’un régulateur, message d’un pair.

Exemples concrets en France

Pathé — 19,2 millions d’euros (2018). Le cas le plus documenté en France. Des attaquants se sont fait passer pour le PDG et ont convaincu le directeur de la filiale néerlandaise d’effectuer plusieurs virements pour une “acquisition confidentielle”. Urgence, secret absolu, autorité du PDG.

Le schéma KPMG (2016). Un faux email du “managing partner” demandant un virement au département financier. La tentative a été détectée grâce aux procédures de double vérification en place — preuve que les processus fonctionnent quand ils existent.

PME de Loire-Atlantique — 480 000 euros (2023). Un DAF a viré 480 000 euros après des emails et un appel téléphonique du “PDG”. L’attaque combinait vishing et BEC. L’entreprise n’avait pas de procédure de double validation pour les virements exceptionnels.

Signalements ANSSI — Faux support technique. L’ANSSI signale chaque année une augmentation des attaques par pretexting visant les PME via le faux support technique : appel prétendant provenir du prestataire IT, demande d’installer un logiciel d’accès à distance “pour une mise à jour urgente”.

Le pretexting par téléphone (vishing)

Le vishing est le pretexting appliqué au canal vocal. Le téléphone donne à l’attaquant un avantage que l’email n’offre pas : la pression en temps réel. La victime ne peut pas relire le message ou prendre du recul.

Le spoofing de numéro

Le caller ID spoofing permet à l’attaquant d’afficher le numéro officiel de la banque ou du prestataire sur le téléphone de la victime. En France, l’ARCEP a déployé le MCA (Mécanisme de Coupure des Appels) en 2023 pour bloquer les appels usurpés, mais le dispositif reste incomplet pour les mobiles.

La recherche de cibles via LinkedIn

LinkedIn est la mine d’or des attaquants qui préparent du pretexting téléphonique. Un profil révèle la fonction exacte, les collègues directs, les prestataires (recommandations), les projets en cours et les déplacements récents. Un attaquant peut construire en une heure un prétexte qui cite le bon prestataire, le bon collègue et un projet réel. Les publications “Ravi de participer au salon X la semaine prochaine” ou “Merci à [prestataire] pour cette migration réussie” sont directement exploitables.

Les scripts de pretexting

Les attaquants préparent leurs appels comme des scripts : accroche technique (“on surveille un incident sur votre réseau”), création d’urgence (“votre poste est touché, on doit intervenir maintenant”), puis demande (“installez notre outil de prise en main” ou “confirmez votre mot de passe”).

Comment protéger votre entreprise

Procédures de vérification par callback

Le pretexting échoue quand la cible vérifie par un canal indépendant. La règle du callback : pour toute demande sensible, rappeler le demandeur sur un numéro déjà enregistré dans l’annuaire interne — jamais sur un numéro fourni dans l’email ou pendant l’appel.

Protocoles concrets :

  • Modification de RIB fournisseur → appeler le contact habituel sur le numéro du CRM
  • Virement exceptionnel → double validation obligatoire par deux signataires
  • Accès système demandé par un tiers → validation par le responsable IT
  • Visiteur non attendu → vérification auprès du donneur d’ordre avant tout accès

Ces procédures doivent être formalisées par écrit. Le pretexting exploite l’hésitation à “déranger” un supérieur — si la procédure est officielle, vérifier n’est pas un affront.

Double autorisation pour les actions sensibles

Aucune action sensible ne devrait reposer sur une seule personne : double signature pour les virements au-dessus d’un seuil, validation croisée pour les changements de coordonnées bancaires, approbation écrite pour la transmission de documents confidentiels.

Formation par des simulations réalistes

Un module e-learning annuel ne prépare pas au pretexting. Ce qui fonctionne : des simulations de phishing avec des prétextes adaptés à l’entreprise (pas un email générique, mais un message utilisant le vrai nom du prestataire IT), des exercices de vishing, et un retour contextuel immédiat quand un employé tombe dans la simulation. Les simulations régulières réduisent le taux de clic de 30 % à moins de 5 % en 12 mois.

Hygiène informationnelle

Limiter ce qui est publiquement accessible : ne pas publier l’organigramme complet avec emails directs, sensibiliser les profils exposés sur ce qu’ils partagent sur LinkedIn, éviter les réponses automatiques d’absence trop détaillées (“Je suis à Singapour du 14 au 21, contactez Sophie” = prétexte prêt à l’emploi pour l’attaquant).

Culture de vérification

Si le PDG dit “quand je vous demande un virement par email, appelez-moi pour confirmer, même si j’ai l’air pressé”, le protocole de vérification devient légitime. L’employé qui rappelle pour vérifier applique la consigne, pas un affront. Le Verizon DBIR 2024 rappelle que l’élément humain est impliqué dans 68 % des fuites de données. La réponse n’est pas de blâmer — c’est de construire des processus qui résistent au pretexting.

L’IA générative amplifie le pretexting (messages parfaits, deepfake vocal, scénarios multicanaux avec du spear phishing suivi d’un appel en voix clonée), mais la contre-mesure reste la même : un protocole de vérification par canal indépendant. Peu importe la qualité du prétexte — si la procédure impose de rappeler sur un numéro connu, l’attaque échoue. Le credential stuffing fournit aussi aux attaquants des comptes compromis pour envoyer du pretexting depuis de vraies adresses, contournant SPF, DKIM et DMARC — raison de plus pour ne jamais se fier au seul canal email.

Testez la résistance de vos équipes au pretexting. Vérifiez votre configuration email pour vous assurer que SPF, DKIM et DMARC empêchent l’usurpation de votre domaine, puis lancez un programme de simulation de phishing avec des prétextes réalistes adaptés à votre entreprise.

Questions fréquentes

Qu'est-ce que le pretexting en cybersécurité ?

Le pretexting est une attaque d'ingénierie sociale où l'attaquant se crée une fausse identité et un scénario crédible pour manipuler sa cible. Il peut se faire passer pour un technicien IT, un fournisseur, un auditeur ou un dirigeant. Le prétexte sert à justifier une demande qui paraîtrait suspecte sans contexte : accès à un système, partage d'identifiants, virement urgent, envoi de documents confidentiels.

Quelle est la différence entre pretexting et phishing ?

Le phishing utilise un appât générique envoyé à grande échelle (faux email Chronopost, faux remboursement). Le pretexting est ciblé et repose sur un scénario personnalisé : l'attaquant connaît le nom de la victime, son poste, ses collègues, et construit une histoire sur mesure. Le phishing mise sur le volume, le pretexting mise sur la crédibilité.

Comment reconnaître une tentative de pretexting ?

Trois signaux d'alerte : une demande inhabituelle justifiée par une urgence ou une autorité hiérarchique, un interlocuteur que vous ne pouvez pas vérifier par un canal indépendant, et une pression à agir vite sans suivre la procédure habituelle. Le pretexting exploite la confiance et la hiérarchie — si quelqu'un vous demande de contourner une procédure, vérifiez par un autre canal.

Le pretexting est-il utilisé dans la fraude au président ?

Oui. La fraude au président (BEC) est un cas classique de pretexting. L'attaquant se fait passer pour le PDG ou un dirigeant et invente un prétexte (acquisition confidentielle, audit en cours, urgence comptable) pour demander un virement. Le scénario est construit pour paraître légitime et pour empêcher la victime de vérifier par les canaux habituels.

Comment former mes équipes contre le pretexting ?

Les exercices de simulation sont la méthode la plus efficace. Reproduisez des scénarios de pretexting réalistes : appels téléphoniques d'un faux prestataire, emails d'un faux auditeur, messages d'un faux collègue. L'objectif est d'entraîner le réflexe de vérification : avant d'agir sur une demande inhabituelle, vérifier l'identité de l'interlocuteur par un canal indépendant.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire