Phishing Red Team Autorise : Modeles, GoPhish et Garde-fous Ethiques

Un client a signe les Rules of Engagement vendredi, et lundi matin 1 847 collaborateurs ont recu un mail clonant le portail de pointage. En 38 minutes : 312 clics, 89 identifiants recoltes, zero alerte SIEM. C'est le genre d'operation qui separe un phishing autorise d'une fraude criminelle : contrat a en-tete, fenetre d'execution, et un numero de CISO capable de tout arreter en 30 secondes si quelque chose derape. Le phishing red team ne consiste pas a piegier des humains, mais a mesurer la surface humaine avec la meme rigueur que la surface reseau dans Nmap Avance: Scripts NSE pour Recon Interne dans un Lab Corporatif Simule.

Avant tout envoi, le document d'autorisation doit lister : domaines autorises, plages d'IP source, horaires d'envoi, criteres d'exclusion (cadres C-level, RH en contentieux, stagiaires mineurs), et le devenir des identifiants collectes. Sans cela, l'operation devient l'affaire Coalfire-Iowa de 2019, ou deux pentesters ont ete arretes en plein contrat parce que le perimetre ecrit ne couvrait pas l'intrusion physique. Une vraie equipe red team ecrit son OPSEC personnel avant l'OPSEC operationnel, et la matiere de OPSEC pour Chercheurs en Securite: Modele de Menace Personnel s'applique directement car l'operateur emporte des secrets clients.

GoPhish a explose en 2016 et reste le couteau suisse de la simulation parce qu'il livre API REST, pixel de tracking, landings clonables et rapports CSV dans un binaire Go de 25 Mo. Architecture type : VPS dedie avec IP jamais utilisee, domaine enregistre depuis au moins 30 jours (idealement un typosquat du domaine client, genre rnicrosoft-login.com), SPF/DKIM/DMARC configures via Postfix ou SendGrid, et certificat Let's Encrypt sur la landing. Sans warm-up d'IP, votre campagne meurt dans Microsoft Defender avant la boite de reception. Traitez l'infra comme une prod, avec la rigueur de Construire une Infra C2 avec Sliver en Lab Isole pour la Recherche Defensive.

Les modeles qui marchent en 2026 ne sont plus le prince nigerian. Le top 3 du dernier rapport Proofpoint : notification de signature DocuSign expirant dans 24h, alerte de colis DHL bloque en douane avec frais de 4,99 EUR, et invitation Microsoft Teams d'un directeur reel (recupere sur LinkedIn) convoquant une reunion urgente. Chaque modele doit s'afficher identique dans Outlook 2021, Gmail Web et iOS Mail, ce qui impose tableaux inline, CSS embarque et images sur un CDN repute. Le vecteur initial reste souvent une piece jointe, et les arbitrages macro, LNK, ISO sont decortiques dans Initial Access Simule: Macros, LNK et ISO dans un Lab Windows 11 Isole.

La landing page est le point ou 70% des equipes echouent. Capturer un mot de passe en clair dans un formulaire HTTP releve de l'amateurisme et viole le RGPD meme en cadre autorise. Le pattern ethique : hash cote client avec SHA-256 plus un sel propre a l'engagement, ne stocker que les huit premiers caracteres du hash pour confirmer la collecte, et rediriger immediatement vers un ecran de sensibilisation expliquant la simulation. Journaliser user-agent, IP, horodatage et delai clic-submit, mais jamais le credential complet. Ces donnees alimentent la boucle decrite dans Purple Team en Pratique: Construire une Boucle de Feedback Red vs Blue, ou le blue team transforme chaque clic en regle de detection.

Le sujet dont personne ne parle en conference : l'impact psychologique. Dans une campagne reelle de 2024 sur 4 200 cibles, 11 salaries ont pris un arret pour crise d'anxiete apres avoir appris qu'ils s'etaient fait 'avoir', et deux ont attaque l'employeur. Le debrief post-campagne exige donc un psychologue du travail mobilisable, une communication CEO le jour meme, et la metrique de succes ne peut pas etre le taux de clic brut. Elle doit etre une reduction trimestre apres trimestre. L'operateur doit aussi proteger son identite pendant le mandat, comme detaille dans Compartimentation Numerique: Identites Separees sans Fuiter de Metadonnees.

Pour les equipes qui debutent, la voie honnete : monter le lab interne d'abord (GoPhish plus Mailhog plus cinq comptes de test), valider les modeles contre votre propre Outlook, faire un dry-run avec l'equipe securite du client en direct, et seulement ensuite tirer en production. Cablez un kill switch qui purge la campagne en 60 secondes via l'API. Documentez chaque decision dans un changelog signe, car six mois plus tard un auditeur demandera pourquoi vous avez ecrit a telle personne. Takeaway : le phishing autorise est 20% technique, 30% paperasse, 50% empathie pour qui clique. Sans les trois, n'envoyez rien.