Simulation de Phishing : Anatomie d'une attaque
Démonstration complète Purple Team : simulation d'une attaque par spearphishing (T1566.002), détection automatique via SIEM/Suricata et réponse à l'incident structurée. Chaque étape est documentée avec les artefacts réels produits en lab.
Déroulement de l'attaque
L'attaquant crée un email usurpant l'identité du service IT, avec un lien vers une page de connexion clonée.
Email envoyé à 24 cibles. L'objet : "[URGENT] Réinitialisation de votre mot de passe VPN".
Suricata déclenche la règle ET_PHISHING sur le domaine frauduleux. Alert loggée dans ELK.
Kibana corrèle : 3 utilisateurs ont cliqué. Ticket d'incident créé automatiquement.
Blocage du domaine frauduleux au proxy, quarantaine des emails, notification aux utilisateurs.
Artefacts de la simulation
Email brut (headers + body)
From: it-support@companyname-helpdesk.com
To: john.martin@target-company.com
Subject: [URGENT] Réinitialisation obligatoire — Accès VPN expiré
Date: Sat, 04 Apr 2026 08:42:11 +0200
X-Mailer: GoPhish
MIME-Version: 1.0
Bonjour John,
Votre accès VPN arrive à expiration dans les 24 heures.
Pour maintenir votre accès, cliquez sur le lien ci-dessous :
→ https://company-it-portal.auth-vpn.net/reset?token=a8f3c2
Ce lien expire dans 2 heures.
Cordialement,
Support IT — Sécurité des accèsIndicators of Compromise (IOCs)
company-it-portal.auth-vpn.net
185.220.101.47
/reset?token=a8f3c2
X-Mailer: GoPhish
MITRE ATT&CK T1566.002 — Spearphishing Link : lien vers une landing page clonée pour capturer des credentials.
Intéressé par ce type de compétence ?
Je peux reproduire ce scénario sur votre infrastructure, écrire des règles de détection adaptées à votre SIEM, ou former vos équipes à la sensibilisation.