Le catfishing n'est plus l'apanage des applications de rencontres. Cette technique de manipulation, qui consiste à endosser une fausse identité en ligne, a trouvé un terrain de jeu particulièrement lucratif : le monde du travail. Faux recruteurs sur les sites d'emploi, usurpateurs d'identité de dirigeants, profils factices de partenaires commerciaux... Les professionnels et les entreprises deviennent des cibles privilégiées. Décryptage.

Catfishing : définition

En cybersécurité, le terme catfishing désigne la création délibérée d'une fausse identité en ligne dans le but de tromper, manipuler ou escroquer une victime. Le catfisher, celui qui pratique cette technique, fabrique un personnage de toutes pièces : photos volées, carrière inventée, parcours professionnel fictif. L'objectif ? Gagner la confiance de sa cible pour mieux l'exploiter.

Le mot trouve son origine dans le documentaire " Catfish " sorti en 2010, qui racontait l'histoire d'un homme dupé par une fausse identité en ligne. Le terme fait référence à une vieille technique de pêche : on plaçait des poissons-chats avec les morues pendant le transport pour les maintenir actives et alertes. Métaphore parfaite pour ces imposteurs qui maintiennent leurs victimes en haleine dans des relations factices.

Comment fonctionne le catfishing ?

Le mode opératoire du catfishing suit généralement le même schéma. D'abord, la construction d'une identité crédible : le fraudeur choisit une plateforme (LinkedIn, Indeed, réseaux sociaux professionnels) et y crée un profil détaillé. Photos volées d'un vrai professionnel, expériences professionnelles cohérentes, recommandations parfois même copiées d'autres profils... Tout est fait pour inspirer confiance.

Vient ensuite la phase d'approche ciblée. Le catfisher identifie ses victimes potentielles et personnalise son discours : offre d'emploi correspondant exactement à votre profil, opportunité de partenariat commercial dans votre secteur, demande de collaboration sur un projet qui semble taillé pour vous. Cette personnalisation n'a rien de magique, elle résulte d'une analyse minutieuse de vos informations publiques en ligne.

La troisième étape consiste à tisser une relation de confiance sur plusieurs semaines, voire plusieurs mois. Pour cela, l'imposteur utilise des techniques d'ingénierie sociale pour vous mettre à l'aise : flatterie, mise en avant de points communs, création d'un sentiment d'urgence ou d'exclusivité.

Une fois la victime en confiance, il la pousse à partager des informations, des accès ou, dans certains cas, une somme d'argent.

Quels sont les risques du catfishing ?

Dans le monde professionnel, les conséquences du catfishing peuvent être désastreuses pour les victimes comme pour leurs entreprises.

Perte financière

Les escroqueries constituent la motivation première des catfishers. En 2021, le FBI estimait les pertes à plus d'un milliard de dollars rien qu'aux États-Unis.

Dans le monde du travail, les scénarios sont variés : faux recruteur exigeant des frais de dossier, " client " réclamant un échantillon payant pour une commande fictive, ou fraude au président où un usurpateur se fait passer pour un dirigeant afin d'obtenir un virement urgent.

Ces attaques ciblent souvent les services comptables et les assistants de direction. Aux pertes directes s'ajoutent des coûts indirects : heures de travail perdues, interventions juridiques, mobilisation des équipes IT pour sécuriser les systèmes, etc.

Usurpation d'identité

Le catfishing sert fréquemment de point d'entrée vers des usurpations d'identité plus larges. Les données collectées (adresses mail, fonctions, contacts clients, informations organisationnelles) permettent au fraudeur d'incarner un collaborateur et de mener d'autres attaques ciblées auprès de partenaires ou de clients.

Il peut également créer de nouveaux faux profils au nom de la victime, multipliant ainsi les tentatives d'escroquerie. L'impact dépasse alors la personne ciblée : c'est toute la chaîne de confiance de l'entreprise qui peut être compromise.

Atteinte à la réputation

La réputation professionnelle, qu'elle soit individuelle ou collective, peut s'effondrer en quelques heures. 

Quand un catfisher usurpe l'identité d'un cadre supérieur ou utilise le nom d'une entreprise pour mener ses escroqueries, les dégâts sur l'image de marque sont considérables. Sur les réseaux sociaux, une fausse annonce ou des propos inappropriés tenus sous une identité volée peuvent générer une crise de communication majeure. Les dirigeants, recruteurs et commerciaux sont particulièrement exposés, leur visibilité en faisant des cibles de choix.

Troubles et détresse émotionnelle

Découvrir qu'on a été manipulé pendant des semaines ou des mois provoque souvent un véritable choc. 

Les victimes ressentent de la honte, de la culpabilité, parfois de l'anxiété face à leur vulnérabilité. Un collaborateur piégé peut voir sa confiance en ses capacités de jugement durablement ébranlée, affectant sa productivité et son bien-être au travail. 

Les catfishers exploitent souvent la solitude professionnelle, particulièrement en période de recherche d'emploi ou de télétravail. Si toutes les générations peuvent être touchées, les travailleurs seniors et les jeunes en début de carrière représentent des proies privilégiées : les uns par méconnaissance des codes numériques, les autres par inexpérience du monde professionnel.

Comment reconnaître une tentative de catfishing ?

Identifier un catfisher demande vigilance et esprit critique. Voici les signaux d'alerte qui doivent vous mettre la puce à l'oreille :

  • Évitement systématique des échanges visuels : votre interlocuteur refuse les appels vidéo, annule les rendez-vous physiques au dernier moment, trouve toujours une excuse (problème technique, emploi du temps surchargé, déplacement à l'étranger).
  • Profil numérique creux : très peu de connexions professionnelles, absence sur d'autres réseaux sociaux, compte récemment créé, aucune trace sur Google, pas de site d'entreprise vérifiable.
  • Photos qui posent question : images trop professionnelles pour un simple profil LinkedIn, photos floues ou anciennes, absence de variation dans les clichés, impossibilité de trouver d'autres photos de la personne en ligne.
  • Curiosité excessive : questions intrusives dès les premiers échanges sur votre rémunération, votre organisation interne, vos accès systèmes, vos données de connexion, vos relations professionnelles.
  • Récit qui ne tient pas debout : incohérences entre différentes conversations, impossibilité de vérifier le parcours annoncé, détails qui changent, méconnaissance du secteur ou de l'entreprise qu'il prétend représenter.
  • Sollicitations financières : demande de frais avant embauche, acompte pour un service, participation aux frais de formation, virement pour débloquer un dossier... Aucune entreprise légitime ne fonctionne ainsi.
  • Urgence artificielle : pression pour prendre une décision rapide, insistance pour sortir des canaux officiels de communication, demande de confidentialité excessive, création d'un sentiment d'exclusivité (ex : " cette opportunité n'est proposée qu'à vous ").
  • Proposition irréaliste : salaire bien au-dessus du marché sans justification, conditions contractuelles trop avantageuses, promesses de carrière fulgurante sans contrepartie, opportunité commerciale extraordinaire sans risque.

Comment se protéger du catfishing ?

La protection contre le catfishing repose sur une combinaison de bon sens, d'outils technologiques et de vigilance organisationnelle.

  • Vérifier méticuleusement chaque interlocuteur : lancez une recherche d'image inversée pour contrôler l'origine des photos de profil. Cherchez la personne sur LinkedIn, Twitter, les sites d'entreprise. Vérifiez les connexions communes et contactez directement l'organisation par ses canaux officiels (numéro sur le site web, pas celui fourni par le contact suspect).
  • Exiger des interactions visuelles : pour tout processus de recrutement ou partenariat commercial, insistez sur au moins un échange en visioconférence. Proposez une rencontre physique dans un lieu public ou professionnel. Un interlocuteur légitime acceptera sans difficulté. 
  • Compartimenter vos informations : séparez strictement vos usages personnels et professionnels. Utilisez des adresses mail distinctes, créez des comptes dédiés sur les réseaux sociaux. Ne partagez jamais d'informations sensibles (accès, mots de passe, données bancaires) avant vérification formelle de l'identité.
  • Appliquer la règle du zéro virement : n'envoyez jamais d'argent à quelqu'un dont vous n'avez pas vérifié physiquement l'identité. Aucune exception, même si l'histoire semble crédible.
  • Sensibiliser vos équipes : organisez des formations cybersécurité incluant le catfishing. Établissez des procédures claires de vérification pour les recrutements, les partenariats, les virements. Créez une culture où signaler un doute n'est pas une faiblesse mais un réflexe sécuritaire.
  • Signaler systématiquement : sur LinkedIn, Indeed, Facebook et autres plateformes, signalez les profils frauduleux. Déposez également une plainte sur Pharos. Votre signalement protège d'autres victimes potentielles.
  • Déployer des solutions techniques : pare-feu, filtres anti-spam avancés, authentification multi-facteurs, gestionnaires de mots de passe... Ces outils créent des barrières de protection supplémentaires.
 
Pourquoi s'équiper en solutions de sécurité ?
Découvrez  les bonnes pratiques de la sécurité informatique
Nous vous accompagnons pour protéger votre activité professionnelle
En savoir plus