2023-11-07 22:20 Temps de lecture : 9 min
Technologie

Qu’est-ce qu’une tactique sans police dans les escroqueries par hameçonnage par courrier électronique ?

Points essentiels à retenir

  • La technique du texte invisible utilise des caractères illisibles pour déjouer les filtres anti-spam et induire en erreur les systèmes de messagerie. Elle permet de contourner les dispositifs de sécurité et de tromper les destinataires.
  • Elle peut fausser la détection du spam en incorporant du texte superflu pour perturber les analyses. Les fraudeurs peuvent usurper l'identité d'entités légitimes sans déclencher d'alertes.
  • Un texte avec une taille de police nulle peut générer de faux résultats d'analyse antivirus dans les aperçus d'e-mails, procurant ainsi un sentiment de sécurité trompeur. Il est crucial de rester vigilant et de se méfier des courriels suspects.

Bien que les fournisseurs de messagerie renforcent leurs mesures de cybersécurité pour bloquer les courriels malveillants, les acteurs malintentionnés redoublent d'efforts pour contourner ces protections. C'est le cas de la technique du texte invisible, qui utilise une manipulation astucieuse de la police d'un courriel afin de le faire passer à travers les filtres anti-spam et d'atteindre votre boîte de réception.

Examinons plus en détail cette tactique, ses implications et les moyens de se protéger.

Qu'est-ce que la technique du texte invisible dans les courriels de phishing?

La technique du texte invisible est une ruse utilisée par certains acteurs malveillants pour augmenter leurs chances que votre fournisseur de messagerie ne classe pas leurs courriels comme spam. Pour ce faire, ils ajoutent du texte dans le message et en définissent la taille de la police à 0.

Lorsqu'une police est définie sur une taille nulle, elle devient invisible à l'œil nu. Cela signifie que les lecteurs d'un courriel utilisant cette technique ne remarqueront même pas la présence de ces mots.

Cependant, ce texte est toujours présent dans le code HTML qui constitue l'e-mail. Étant donné que votre fournisseur de messagerie utilise ce code pour afficher l'e-mail, le service que vous utilisez peut parfaitement "lire" ce texte, même s'il vous est invisible.

Pourquoi utiliser du texte invisible dans les courriels?

Il peut sembler étrange que des personnes malveillantes ajoutent du texte à des courriels que vous ne pouvez pas voir. Cependant, ce texte est principalement destiné à être "lu" par le logiciel de messagerie, plutôt que par vous.

Les acteurs malveillants utilisent le texte invisible de deux manières principales pour vous inciter à cliquer sur des liens dans leurs courriels : échapper à la détection du spam et créer de faux résultats d'analyse antivirus.

1. Comment le texte invisible déjoue la détection de spam par courrier électronique

Vous êtes-vous déjà demandé comment votre fournisseur de messagerie détermine quels courriels sont légitimes et lesquels sont du spam ? Ce processus fait appel à une combinaison de techniques sophistiquées, mais l'une des méthodes les plus simples consiste à identifier le texte du courriel et à le bloquer s'il contient des éléments illégaux ou trompeurs.

La technique du texte invisible permet de contourner ces analyses en ajoutant du texte « inutile » dans le courriel, ce qui perturbe l'analyse. Un exemple notoire en 2018 a utilisé cette méthode pour contourner la sécurité d'Office 365, comme le rapporte Avanan.

Dans ce cas, l'acteur malveillant souhaitait usurper l'identité de Microsoft. Cependant, il savait que s'il se contentait de signer des courriels comme émanant de Microsoft, les systèmes de détection d'escroqueries se déclencheraient. Pour éviter cela, il a inséré de nombreux textes aléatoires et invisibles entre les mots clés.

Par exemple, lorsque l'escroc a prétendu appartenir à "Microsoft Corporation", il a divisé les mots "Microsoft" et "Corporation" par une grande quantité de texte inutile avec une taille de police nulle.

Ainsi, lorsque le fournisseur de messagerie a analysé le code HTML du courriel, il n'a pas détecté les mots "Microsoft Corporation". Il a plutôt vu une série de lettres qui n'avaient aucune signification. Ce n'est que lorsque le fournisseur de messagerie a rendu le texte invisible pour le lecteur que le texte inutile a disparu, révélant les mots "Microsoft Corporation" à la victime.

2. Comment le texte invisible crée de faux résultats d'analyse antivirus

L'autre méthode consiste à utiliser du texte invisible pour insérer des mots dans l'aperçu du texte de l'e-mail. Lorsque vous consultez votre logiciel de messagerie ou son site web, vous remarquez que les courriels dans votre boîte de réception affichent généralement trois informations : l'expéditeur, l'objet et un aperçu du début du message, afin que vous puissiez vous faire une idée de son contenu.

Étant donné que cet aperçu est généré à partir du code HTML, les pirates peuvent insérer du texte invisible au début du courriel, qui apparaîtra dans l'aperçu. Cependant, une fois que la victime clique sur le message, ce texte devient invisible.

Une utilisation particulièrement insidieuse de cette technique a été signalée par le SANS Internet Storm Center. Dans cet exemple, l'escroc a écrit un faux résultat d'analyse antivirus et l'a ajouté au début du message en utilisant du texte invisible.

Lorsque le courriel est arrivé dans la boîte de réception de la victime, l'aperçu affichait le faux résultat d'analyse, donnant à la victime un faux sentiment de sécurité : les liens contenus dans le message avaient été analysés et ne contenaient pas de virus. Lorsque la victime a ensuite ouvert le courriel, le texte invisible a disparu, ne laissant que la publicité de l'escroc.

Comment éviter les attaques par texte invisible

Heureusement, même si les attaques par texte invisible peuvent sembler alarmantes sur le papier, elles ne servent qu'à tromper les filtres anti-spam et les utilisateurs. Par conséquent, la meilleure façon de se protéger est d'adopter de bonnes pratiques de cybersécurité lors de la lecture des courriels.

Gardez toujours à l'esprit les principaux signaux d'une tentative d'hameçonnage. Familiarisez-vous avec quelques exemples de courriels de fraude et de phishing, et n'oubliez pas que ce n'est pas parce qu'un message se trouve dans votre boîte de réception et prétend avoir été analysé contre les virus que vous pouvez cliquer en toute sécurité. En gardant ces éléments à l'esprit, vous pouvez identifier un courriel frauduleux dans votre boîte de réception et éviter de tomber dans ses pièges.

Restez à l'abri des tactiques de texte invisible

Bien que les tactiques de texte invisible soient sournoises, la meilleure façon d'éviter d'en être victime reste la même que pour tout courriel frauduleux. Soyez vigilant et ne croyez pas tout ce que vous voyez.

Auteur
Julien Bernard
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2026-05-15
Découvrez la montre connectée légère HUAWEI WATCH FIT 5 Pro, votre alliée au quotidien  
Dans un monde où l'innovation ne cesse d'évoluer, la HUAWEI WATCH FIT 5 Pro se présente comme une option incontournable pour les amateurs d…
2026-05-05
Énergie solaire en Europe : comment bien préparer une installation photovoltaïque professionnelle ?
L’énergie solaire n’est plus seulement une solution réservée aux passionnés d’écologie ou aux grands projets industriels. Elle devient, pro…
2026-03-31
Comment économiser sur un vélo électrique : conseils pratiques pour payer moins cher en Europe
Acheter un vélo électrique représente souvent un investissement important. Entre le prix du modèle, les accessoires, la livraison et l’entr…
2026-03-11
Optimisez vos performances : Pourquoi la huawei watch gt runner est l'alliée incontournable des marathoniens en 2026 ? 
Si vous avez déjà pris le départ du Marathon de Paris ou couru le long des quais de Bordeaux, vous savez que chaque détail compte dès que l…
Article précédent
Comment utiliser Spotify Connect pour contrôler la lecture à distance
Article suivant
L'écran de l'Apple Watch est cassé ? Voici comment y remédier