Ces 5 techniques que les hackers utilisent pour voler votre identité (et comment vous protéger)

Faux conseillers, pages clonées, infostealers planqués dans une mise à jour bidon… Les techniques de tentatives d’usurpation d’identité se multiplient, et les pirates ont plus d’un tour dans leurs scripts. Le plus sinistre ? La plupart du temps, vous ne voyez rien venir.

Adresses mail, comptes en ligne, documents administratifs ou profils sociaux : aujourd’hui, l’usurpation d’identité ne nécessite ni piratage sophistiqué, ni intrusion spectaculaire. Il suffit d’une faille, d’un moment d’inattention ou d’un mot de passe réutilisé pour que tout s’enchaîne. Et les méthodes employées sont souvent plus variées – et subtiles – qu’on ne l’imagine. Phishing, clones de sites, malwares ou exploitation de données publiques… Voici un tour d’horizon des techniques les plus courantes, et des moyens de s’en prémunir.

Technique #1 – Le bon vieux phishing

Fausse alerte de sécurité, message WhatsApp d’un ami en détresse, SMS Chronopost ou colis bloqué… Rien de bien nouveau, mais les variantes se renouvellent sans cesse et continuent de faire mouche. Pour preuve, en 2024, le phishing est resté l’arme n°1 des cybercriminels en France, avec 1,9 million de consultations sur Cybermalveillance.gouv.fr et 64 000 demandes d’assistance rien que pour ce type d’attaque.

Longtemps moqués pour leurs fautes d’orthographe et leurs visuels approximatifs, les messages frauduleux d’aujourd’hui n’ont plus grand-chose à voir avec ceux d’hier. Souvent générés ou optimisés par IA, ils reprennent les codes graphiques et comportementaux des marques, des services publics… ou de vos proches. Et ça passe.

Parmi les campagnes récentes, on pourrait citer l’attaque ayant visé les abonnés potentiels de 1Password avec une fausse alerte de sécurité, poussant à réinitialiser ses identifiants via un site frauduleux imitant parfaitement l’interface du service. Autre exemple local, lors de la panne massive chez Nickel, de faux conseillers ont profité de la confusion générale pour contacter les clients directement sur les réseaux sociaux.

Dans tous les cas, le principe de base reste le même : jouer sur l’urgence, la peur ou la confiance pour provoquer un clic. Mais les points d’entrée se multiplient. L’attaque arrive parfois par mail, parfois par SMS, et de plus en plus souvent directement dans les messageries chiffrées ou sur les réseaux sociaux. Certaines campagnes sont ultra ciblées, d’autres frappent large en espérant toucher le plus de monde possible.

Et contrairement aux idées reçues, ce ne sont pas forcément les moins aguerris qui tombent dans le piège. Ces attaques s’immiscent dans des situations familières, souvent en lien avec l’actualité ou les petits tracas du quotidien. Un retard de livraison, un compte supposément compromis, une promesse de remboursement… Et l’internaute baisse la garde, même en pensant faire attention.

Technique #2 – Les environnements familiers factices

Certaines tentatives de vol d’identité ne s’embarrassent même plus de messages frauduleux. Elles visent directement les interfaces que vous utilisez tous les jours, en imitant à la perfection un environnement familier. C’est le niveau 2 de l’ingénierie sociale.

Les clones de sites restent un grand classique. Copies conformes de services officiels, les pages de connexion factices détournent vos identifiants sans éveiller le moindre soupçon. Le logo est le bon, le design aussi, l’URL presque parfaite. On entre ses informations, on valide… et elles filent tout droit sur un serveur distant.

D’autres campagnes poussent encore plus loin la manipulation. C’est le cas des attaques de ClickFix, mécanisme insidieux en nette progression depuis l’été dernier. Il repose sur de faux CAPTCHA ou de fausses alertes système, incitant les internautes à cliquer sur un bouton standard – « Je ne suis pas un robot », « Vérifiez votre navigateur », « Installez la mise à jour » – pour finalement exécuter un script malveillant à leur insu.

Même mécanique du côté des moteurs de recherche. Avec l’empoisonnement SEO, il arrive que des sites frauduleux soient artificiellement boostés pour apparaître en tête des résultats. Une faute de frappe, une requête mal formulée, et vous tombez sur un faux portail d’assistance, un faux formulaire administratif ou une version vérolée d’un logiciel.

Parfois, les pirates ne se contentent même plus de manipuler l’algorithme. Ils achètent des espaces publicitaires sur Google Ads, usurpent le nom d’un service reconnu, et placent leur lien piégé tout en haut de la page. Simple et efficace.

Bref. Qu’importe la méthode, dans tous les cas, l’attaque repose sur la confiance visuelle. On ne vous demande rien de bizarre. On vous laisse cliquer. Le piège est là, c’est juste que vous ne le voyez pas.

Technique #3 – Les malwares, encore les malwares, toujours les malwares

Tous les liens piégés ne mènent pas à une fausse page de connexion. Dans bon nombre de cas, ils déclenchent simplement le téléchargement d’un fichier. Derrière un programme d’installation, un document, un plugin ou un fichier ZIP, c’est en fait un infostealer qui s’invite sur la machine.

Une fois actif, il siphonne tout ce qui lui passe sous la main : identifiants enregistrés, cookies de session, historiques, documents stockés localement, données copiées dans le presse-papiers, accès aux portefeuilles crypto ou aux messageries. L’ensemble est exfiltré automatiquement, en continu, et bien souvent, on n’y voit que du feu.

D’autres malwares injectent des keyloggers, qui enregistrent tout ce qui est saisi au clavier, ou déploient des chevaux de Troie capables d’ouvrir des backdoors persistantes pour des attaques différées. Certains ciblent même directement les tokens d’authentification, pour contourner les systèmes de double vérification sans avoir à casser de mot de passe.

Technique #4 – Les fuites de données massives

Parfois, il n’est même pas nécessaire de piéger un internaute pour mettre la main sur ses identifiants – ou sur des données bien plus personnelles. Il suffit d’attendre qu’une base de données fuite. Et ces derniers mois, elles fuitent souvent. Violations chez France Travail, Viamedis-Almerys, Free, Boulanger, Paris 1 Panthéon-Sorbonne… et même Picard. La moindre intrusion suivie d’une exfiltration alimente des marchés parallèles, où les informations s’achètent et se revendent par millions.

Dans ces fichiers, on retrouve des noms, des adresses, des numéros de sécurité sociale, mais aussi – et surtout – des identifiants de connexion. Même partiels, ces éléments suffisent à lancer des attaques automatisées, comme le credential stuffing : on teste des combinaisons mail/mot de passe à grande échelle, en misant sur le fait que les mêmes identifiants ont été réutilisés ailleurs.

Et ça suffit largement. Car malgré les campagnes de sensibilisation, beaucoup utilisent encore le même mot de passe partout, ou une variante trop simple à deviner. À partir d’une seule fuite, les pirates peuvent accéder à d’autres comptes, se faire passer pour vous, intercepter des messages, ou engager des démarches à votre nom.

Technique #5 – Pas besoin de pirater ce qui est déjà public

Une identité peut se reconstruire avec des données publiques disséminées en ligne depuis des années. Et c’est souvent ce qu’on oublie en premier.

C’est ce qu’on appelle l’OSINT – pour Open Source Intelligence. Généralement associée au renseignement, cette méthode est loin d’être étrangère à la cybercriminalité. Elle s’est largement démocratisée avec l’explosion des données accessibles sur les réseaux sociaux, les moteurs de recherche, les forums ou les plateformes d’annonces. Un prénom, un pseudo, une photo, des avis Google, des métadonnées d’images, une date de naissance, une ancienne adresse ou un nom d’entreprise peuvent suffire à composer un profil convaincant… ou à répondre aux questions de sécurité d’un compte resté sans double authentification.

Certains outils permettent d’automatiser ces recherches pour recouper les traces laissées sur différents services : publications publiques, commentaires, fuites de bases de données précédentes, documents partagés ou résultats de concours. D’autres vont fouiller les registres d’entreprises, les pages d’administration de sites mal sécurisés, ou encore les PDF indexés par Google.

Et une fois la matière collectée, le scénario peut se construire à l’envers pour affiner une attaque : usurpation ciblée, phishing personnalisé, arnaque à la livraison ou à l’assurance. Sans exploitation de faille, sans virus, sans intrusion. Juste à partir de données qu’on a soi-même divulguée au fil des années.

Comment se protéger contre l’usurpation d’identité

Il n’existe pas de remède unique contre l’usurpation d’identité, simplement parce qu’il n’existe pas une seule méthode pour y parvenir. Mais certaines habitudes permettent de limiter les risques, ou d’augmenter le coût d’une attaque.

Ne pas cliquer trop vite ne suffit pas. Il faut surtout apprendre à douter des évidences, même quand tout paraît crédible. Un message bien rédigé, une URL propre, un contact familier… peuvent n’être que des leurres.

Le plus efficace reste souvent le plus simple : activer l’authentification à deux facteurs dès que possible. Elle n’empêche pas les fuites, mais bloque une grande partie des tentatives de prise de contrôle de compte. À condition d’éviter les SMS, trop faciles à intercepter, et de préférer une application dédiée, voire une clé physique.

Un gestionnaire de mots de passe permet d’éviter la réutilisation d’identifiants, de créer des combinaisons solides, d’être alerté en cas de compromission connue, et de bloquer automatiquement les sites factices qui n’ont pas exactement l’URL d’origine. En tandem avec l’A2F, c’est une parade solide contre les accès frauduleux.

Un antivirus solide peut encore jouer son rôle, notamment face aux infostealers, chevaux de Troie et keyloggers qui s’installent silencieusement via des fichiers piégés. Il ne bloquera pas toutes les attaques, mais il repèrera les comportements suspects et les tentatives d’exfiltration.

Autre réflexe utile : segmenter ses usages. Ne pas utiliser la même adresse mail pour ses comptes personnels, professionnels, et les inscriptions ponctuelles. Ne pas recycler les mots de passe. Et surtout, éviter d’enregistrer des données sensibles dans les navigateurs, qui restent des cibles faciles.

Enfin, rester attentif à ce qu’on laisse traîner. Une photo publique, un commentaire sous un post, un ancien CV hébergé sur un site inactif peuvent contenir bien plus d’informations qu’on ne le pense. Et comme l’attaque ne commence pas toujours par un virus, mais parfois par une simple recherche Google, mieux vaut garder un œil sur sa propre exposition avant que quelqu’un d’autre ne le fasse.

Et côté VPN, lesquels valent vraiment le coup contre le vol d’identité ?

Dans certains contextes, un VPN peut compléter l’ensemble. Il ne protège pas contre l’usurpation en soi, mais il contribue à réduire la surface d’attaque. En masquant votre adresse IP, en chiffrant vos connexions, et en sécurisant l’accès aux réseaux publics, il limite les fuites accidentelles de données, les risques d’interception et les tentatives de recoupement des métadonnées. Chez Clubic, nous testons des dizaines de VPN chaque année, avec un œil critique sur la sécurité, la transparence et l’ergonomie. Voici ceux que nous vous recommandons.

CyberGhost : une couverture large et des fonctions bien intégrées

Avec plus de 11 000 serveurs répartis dans 100 pays, CyberGhost offre une infrastructure dense. Il embarque en standard des protections contre les malwares, les publicités et les traqueurs, ainsi que des serveurs NoSpy renforcés pour les profils sensibles. Sur Windows, une suite antivirus est proposée en option. Le tout repose sur le protocole WireGuard avec chiffrement AES-256, dans une interface claire, sans surcharge inutile.

Proton VPN : une approche élargie de la confidentialité

Proton VPN mise sur la sécurité dès la base : relais Secure Core, serveurs Tor, chiffrement AES-256, et un filtre NetShield pour bloquer contenus indésirables et malveillants. Mais la version premium pousse plus loin avec des outils complémentaires : gestionnaire de mots de passe, alias mail et surveillance du dark web. Avec plus de 12 000 serveurs dans 117 pays, c’est aussi l’un des réseaux les plus étendus.

ExpressVPN : vitesse, discrétion et anticipation

ExpressVPN s’appuie sur une architecture plus compacte (3 000 serveurs dans 105 pays), mais sur un protocole maison, Lightway, optimisé pour la rapidité et déjà compatible avec les standards post-quantiques. À cela s’ajoutent un chiffrement robuste (AES-256 ou ChaCha20), un bloqueur de contenus malveillants et un gestionnaire de mots de passe intégré. Un outil de détection des fuites d’identifiants est en test aux États-Unis.

NordVPN : au-delà du VPN classique

Avec 7 500 serveurs dans 118 pays, NordVPN combine un réseau étendu avec plusieurs couches de sécurité : accès via Tor, protocole NordLynx (dérivé de WireGuard), et protections intégrées contre les malwares, les publicités et le phishing. L’écosystème s’enrichit de NordPass (gestionnaire de mots de passe), d’un scanner de vulnérabilités et d’une veille sur les fuites du dark web. Un environnement pensé pour les usages critiques.