Accueil Cybercriminalité Faux recrutements : quand l’arnaque au candidat vise les accès de l’entreprise

Faux recrutements : quand l’arnaque au candidat vise les accès de l’entreprise

De fausses pages de recrutement imitent de grandes marques pour piéger les candidats au moment de l’authentification. Interrogé par Solutions Numériques & Cybersécurité, Luis Corrons, Security Evangelist chez Norton, estime que cette évolution dépasse l’arnaque à l’emploi : elle vise aussi des identifiants professionnels, susceptibles d’ouvrir une porte vers les environnements internes des entreprises.

Logo officiel, faux profil de recruteur, prise de rendez-vous, connexion depuis Google ou Facebook… Les arnaques à l’emploi changent de registre. Elles ne se contentent plus d’attirer un candidat vers une fausse annonce. Elles reconstituent désormais un parcours de recrutement crédible, étape par étape, jusqu’au moment où la victime est invitée à s’authentifier.

Norton alerte sur une vague de faux sites de recrutement utilisant l’identité de grandes marques internationales. Les chercheurs de l’éditeur ont identifié des pages frauduleuses imitant notamment Aquent, Coca-Cola, Delta, Hays, Heineken, Hilton, Netflix, PepsiCo ou encore Spotify. L’image de la FIFA a également été exploitée à l’approche de la Coupe du monde 2026.

Le but des attaquants n’est pas seulement de voler des informations personnelles. Certaines variantes cherchent explicitement à récupérer des identifiants professionnels, beaucoup plus précieux pour les cybercriminels.

Un recrutement crédible de bout en bout

Pour Luis Corrons, Security Evangelist chez Norton, l’évolution tient d’abord au réalisme du scénario. « Ce qui marque une véritable évolution, c’est que les cybercriminels ne cherchent plus simplement à attirer leurs victimes vers un faux site web. Ils recréent désormais un parcours de recrutement crédible de bout en bout. Nous avons identifié des pages qui reproduisent toutes les étapes d’un processus d’embauche légitime : identité visuelle de l’entreprise, profils de recruteurs, planification d’entretiens, ou encore options de connexion via Google ou Facebook. »

Ce choix n’est pas anodin. Un candidat en recherche active multiplie naturellement les interactions en ligne : offres d’emploi, échanges avec des recruteurs, formulaires, plateformes de rendez-vous, services tiers. Ces étapes ne paraissent pas suspectes, précisément parce qu’elles appartiennent déjà au quotidien du recrutement. Les attaquants n’ont donc pas besoin de forcer la confiance. Ils s’insèrent dans un parcours attendu.

L’ingénierie sociale joue ici un rôle central. Les fausses pages reprennent les codes visuels des entreprises ciblées et peuvent aller jusqu’à utiliser le nom ou la photo de véritables recruteurs repérés sur LinkedIn. Le candidat a alors l’impression d’avancer dans un processus classique, avec une marque connue, un interlocuteur identifiable et une suite logique d’actions.

« Elle est absolument essentielle. Dans ce type de campagne, la réussite ne repose pas uniquement sur la technique, mais surtout sur la capacité des attaquants à instaurer un climat de confiance », résume Luis Corrons.

Le piège du faux bouton Google

Le moment critique intervient lors de l’authentification. Les victimes sont invitées à se connecter avec Google ou Facebook, un réflexe devenu banal sur de nombreux services en ligne. Mais la fenêtre affichée est fausse. « L’élément clé de cette attaque est que la fenêtre de connexion Google est entièrement falsifiée. Même si elle ressemble en tout point à une page d’authentification légitime, elle est en réalité intégrée au site frauduleux. L’utilisateur ne quitte jamais la page contrôlée par les cybercriminels et les identifiants qu’il saisit leur sont transmis directement. »

C’est un détail important, puisque dans un parcours légitime, l’utilisateur doit être redirigé vers le domaine officiel du fournisseur d’identité. Si la fenêtre reste intégrée à la page de recrutement, si certains éléments ne répondent pas normalement ou si l’URL ne correspond pas au service attendu, la procédure doit être interrompue.

Cette mécanique fonctionne d’autant mieux que les boutons « Continuer avec Google » ou « Continuer avec Facebook » sont désormais associés à une forme de simplicité et de confiance. Les attaquants exploitent ce réflexe d’usage, au lieu de chercher à contourner une barrière technique complexe.

Des identifiants professionnels plus précieux

Le point le plus sensible concerne les comptes utilisés. Norton indique que certaines fausses pages refusent les adresses personnelles et poussent les candidats à se connecter avec leur compte professionnel. « Ces identifiants ont une valeur bien supérieure pour les cybercriminels. Ils peuvent permettre d’accéder à des environnements d’entreprise, à des documents internes ou encore servir de point d’entrée pour compromettre d’autres comptes et cibler d’autres collaborateurs. »

L’arnaque au recrutement bascule alors dans un scénario de compromission d’entreprise. Un compte professionnel volé peut donner accès à des ressources internes, permettre de consulter des informations sensibles, faciliter de nouvelles campagnes de phishing ou servir de relais pour viser d’autres salariés.

Luis Corrons y voit un changement de perspective : « Cela montre que l’objectif ne se limite plus au vol de données personnelles : les attaquants cherchent désormais à obtenir des accès qu’ils pourront exploiter ultérieurement dans le cadre d’attaques plus larges contre une organisation. »

Le candidat reste la première victime, mais il devient aussi, malgré lui, un point d’entrée potentiel vers son employeur. Le risque n’est donc plus seulement individuel. Il concerne également les directions RH, les équipes IT et les responsables cybersécurité.

Des réflexes simples, mais à systématiser

Le premier réflexe consiste à vérifier le domaine du site consulté. Une page de recrutement peut sembler parfaitement professionnelle tout en étant hébergée sur un domaine récemment créé ou sans lien avec l’entreprise imitée. Les noms associant une marque à des termes comme « jobs », « carrière », « recrutement », « talent » ou « opportunités » doivent être examinés avec prudence.

Norton recommande de privilégier la page Carrières officielle de l’entreprise ou les plateformes d’emploi reconnues, plutôt que de cliquer sur un lien reçu par e-mail, depuis les réseaux sociaux, une publicité ou un résultat de recherche. Côté entreprises, l’enjeu est aussi de rendre les canaux officiels de recrutement plus faciles à identifier et à vérifier, afin de réduire la marge de manœuvre des fraudeurs.

En cas de saisie d’identifiants professionnels sur une page suspecte, l’action doit être immédiate : changement du mot de passe, activation de l’authentification multifacteur si elle ne l’est pas déjà, et signalement rapide à l’équipe IT ou cybersécurité de l’entreprise.

Car ces campagnes disent quelque chose de l’évolution du phishing. Les attaques les plus efficaces ne sont pas toujours les plus spectaculaires. Elles reprennent des usages ordinaires, des interfaces familières et des moments où l’utilisateur est déjà engagé dans une démarche légitime. Luis Corrons le résume ainsi : « Le principal enseignement est que les internautes ne peuvent plus se fier uniquement à l’apparence d’un site ou à la présence d’une marque reconnue. Aujourd’hui, les attaques les plus efficaces sont souvent celles qui paraissent les plus ordinaires. »