Vishing: Pourquoi Cette Escroquerie Vocale Explose en 2025

Les malfaiteurs sont toujours à la recherche de nouveaux moyens d’exploiter la psychologie humaine, et le « vishing », ou « voice phishing », est l’une de leurs tactiques les plus trompeuses.

Et avec l’essor de l’IA, les attaques de vishing sont devenues plus sophistiquées que jamais. À tel point qu’il est presque impossible de les distinguer d’appels légitimes.

Mais comment fonctionne le vishing et comment pouvez-vous vous protéger pour ne pas tomber dans ce piège ? Dans cet article, nous allons vous expliquer :

• les techniques utilisées par les escrocs dans les attaques de vishing ;
• des exemples concrets de vishing;
• nos conseils pour repérer une attaque de type « vishing » lorsqu’elle se produit ;
• et des mesures pratiques pour protéger vos données sensibles.

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Créer un compte

Mailfence - Obtenez votre email gratuit et sécurisé.

Créer un compte

4.1 sur base de 177 avis utilisateurs

Qu’est-ce que le Vishing (ou Phishing Vocal)?

Commençons par les bases: qu’est-ce que le vishing?

Le vishing est une forme spécifique d’ingénierie sociale, plus particulièrement une attaque de phishing par téléphone. Comme dans le cas du phishing, la victime est incitée à partager des informations confidentielles en raison d’une fausse excuse créée par l’escroc.

Si vous ne l’avez pas encore fait, n’oubliez pas de consulter notre guide sur les attaques de phishing (ou hameçonnage). Un grand nombre des techniques décrites dans cet article s’appliquent également aux attaques de vishing, nous ne les répéterons donc pas ici.

Cependant, voici en résumé ce que vous devez savoir:

• Les attaques par hameçonnage reposent sur la confiance. Elles visent à inciter la victime à faire des choses qu’elle ferait habituellement avec une organisation spécifique (cliquer sur un lien, télécharger un fichier, etc.) parce qu’elle lui fait confiance et qu’elle ne remet pas en question l’origine du message ;
  
• Les attaques de phishing tentent de vous faire cliquer sur un lien ou d’ouvrir une pièce jointe, ce qui mène à des sites web falsifiés ou même à des logiciels malveillants;
  
• Les escrocs utilisent l’urgence (« Vous devez agir MAINTENANT ») ou la menace (« Votre compte sera fermé ») pour vous inciter à agir sans réfléchir ;
  
• ils peuvent également vous attirer avec un appât (« Vous avez gagné 1 million de dollars! Cliquez ici ! ») dans le cadre d’attaques de type « baiting« .

Cependant, dans les attaques par vishing, ces tactiques sont poussées à l’extrême.

Prenons un exemple concret pour bien comprendre.

Vous recevez un courriel censé provenir de votre banque et vous avertissant que « la fermeture de votre compte Paypal est imminente. Nos dossiers indiquent que vous avez un solde impayé. Veuillez appeler notre service clientèle au 00-… pour éviter la suppression de votre compte ».

Vous appelez le numéro et un prétendu agent de Paypal décroche. Il vous demande alors votre numéro d’identification national et votre numéro de carte de crédit pour valider la propriété de votre compte.

Malheureusement, vous venez de fournir des informations essentielles à des escrocs qui peuvent maintenant les utiliser pour vider votre compte en banque…

Pourquoi les Attaques de Vishing Sont-Elles si Efficaces ?

De nombreuses raisons expliquent le succès des attaques par vishing :

• Informations précises: les pirates ont déjà votre nom, votre adresse et votre numéro de téléphone. La plupart de ces informations sont déjà disponibles sur le dark net à la suite de piratages antérieurs. Leur approche semble donc tout à fait légitime.
  
• L’urgence : on vous fait croire que votre argent ou vos données sont en danger et que vous devez agir rapidement. La peur pousse souvent les gens à agir sans réfléchir. C’est encore plus vrai lorsque vous parlez au téléphone avec quelqu’un et que vous avez encore moins de temps pour réfléchir de manière rationnelle.
  
• Le numéro de téléphone semble légitime : grâce à l’usurpation de l’identité de l’appelant, le numéro de téléphone semble provenir d’une institution de confiance. Il y a donc beaucoup plus de chances que vous décrochiez.
  
• Grâce à l’IA, les escrocs peuvent déployer des attaques de vishing à grande échelle. Ils peuvent même se faire passer pour des personnes que vous connaissez en reproduisant parfaitement leur voix (nous y reviendrons plus tard dans cet article).

Les attaques de vishing sont difficiles à repérer parce qu’elles utilisent « principalement » la technologie VoIP (Voice over Internet Protocol). Cela signifie qu’elles commencent et terminent avec un appel sur un ordinateur qui peut être situé n’importe où dans le monde.

L’Importance de l’IA dans les Attaques de Vishing

Les cybercriminels ont toujours adapté leurs tactiques pour exploiter les nouvelles technologies, et l’IA n’échappe pas à la règle.

En particulier, l’IA rend les attaques de vishing plus sophistiquées et plus convaincantes que jamais.

Deepfakes, synthèse vocale, ciblage avancé… Voyons comment l’IA rend les attaques de vishing plus dangereuses.

Deepfakes

L’une des utilisations les plus alarmantes de l’IA dans les attaques de vishing sont les deepfakes.

Les cybercriminels peuvent désormais cloner la voix d’une personne à l’aide d’un simple échantillon audio, ce qui rend l’usurpation d’identité plus convaincante que jamais.

Ce qui est effrayant, c’est que les escrocs n’ont pas besoin d’un grand nombre d’échantillons audio pour reproduire la voix d’une personne. Il suffit de 3 à 5 minutes d’audio pour créer une réplique vocale convaincante. Microsoft a même affirmé qu’il suffisait de 3 secondes de votre voix pour la reproduire.

Grâce à cette technologie, les escrocs ont réussi à imiter des PDG (comme nous le verrons plus loin dans des études de cas) et même des membres de la famille pour tromper les victimes et les amener à transférer des fonds ou à révéler des informations sensibles.

Au fur et à mesure que la technologie progresse, il deviendra plus difficile que jamais de distinguer les vraies voix humaines des voix reproduites par l’IA.

Chatbots IA

Les attaques de vishing traditionnelles reposaient sur des escrocs humains, mais des robots vocaux dotés d’une intelligence artificielle peuvent désormais mener des conversations en temps réel en utilisant le traitement du langage naturel (NLP). Ces systèmes pilotés par l’IA peuvent répondre de manière dynamique aux victimes, surmontant ainsi les limites des messages d’escroquerie préenregistrés.

Les attaquants utilisent ces chatbots pour :

• se faire passer pour des représentants d’une banque ;
• se font passer pour des agents du support technique afin de voler des informations d’identification ;
• se font passer pour des membres du personnel des ressources humaines effectuant des « vérifications de sécurité ».

Cela rend les attaques de vishing beaucoup plus évolutives. Vous n’avez plus besoin d’un seul escroc pour chaque victime : les attaques de vishing peuvent désormais être automatisées à grande échelle, ciblant des milliers de victimes simultanément. Cela augmente considérablement leur taux de réussite.

Attaques de vishing hyper-personnalisées

Grâce à l’IA, les cybercriminels peuvent désormais analyser des quantités massives de données personnelles extraites des réseaux sociaux ainsi que de des fuites de données passées.

Les noms de votre famille et de vos amis, le lieu de vos vacances, la banque que vous utilisez, le nom de votre animal de compagnie… Toutes ces informations sont probablement disponibles gratuitement, moyennant quelques recherches. Mais l’IA rend ce processus beaucoup plus facile, plus rapide et moins coûteux.

Les escrocs peuvent donc concevoir des attaques de vishing hautement personnalisées qui sont difficiles à détecter. Le contexte semblera légitime, ce qui augmentera le taux de réussite des attaques.

8 étapes Pour Vous Protéger contre les Attaques de Vishing

Tout cela peut sembler effrayant. Comment savoir si un appel est légitime ? Heureusement, il existe toujours des stratégies d’atténuation que vous pouvez mettre en place pour repérer les attaques de vishing et vous en protéger. Passons-les en revue :

• Ne donnez jamais d’informations personnelles par téléphone. Il s’agit notamment des numéros de sécurité sociale, des numéros d’identification nationale, des numéros de carte de crédit, des identifiants de connexion, des numéros PIN, etc. Les organisations légitimes ne vous demanderont jamais ce type d’informations par téléphone.

• N’appelez jamais un numéro qui vous a été communiqué par texto ou par courriel. Prenez le temps de rechercher le numéro légitime (par exemple, directement sur le site web de votre banque) et appelez-le.
  
• Vous avez des doutes ? Raccrochez. Il ne se passera jamais rien de grave si vous prenez quelques heures pour enquêter sur le problème prétendument urgent avant d’agir.

• Limitez les informations que vous partagez en ligne. Plus les escrocs peuvent recueillir d’informations sur vous, plus ils peuvent rendre leurs attaques de vishing convaincantes. Lorsque vous communiquez en ligne, privilégiez les canaux sécurisés tels que Signal ou les emails chiffrés.

• Établissez un code de sécurité ou une phrase de passe entre vous et vos amis et votre famille. Si vous avez des soupçons et pensez que vous ne parlez pas vraiment avec eux mais avec une réplique de l’IA, demandez-leur la phrase de passe. Vous aurez ainsi la certitude de parler à une personne réelle.

• Y a-t-il une période de silence avant que vous ne décrochiez ? Cela fait probablement partie de la phase de reconnaissance d’une attaque de vishing. Raccrochez et empêchez le numéro de vous rappeler.

• Soyez sceptique face aux demandes urgentes, en particulier celles d’ordre financier. Rien n’est jamais urgent au point de devoir agir dans les minutes qui suivent.
  
• Activez l’authentification à deux facteurs (2FA) pour empêcher tout accès non autorisé à vos comptes.

Cas Concrets de Vishing

Examinons maintenant quelques cas concrets d’attaques de vishing et ce que nous pouvons en tirer.

L’escroquerie à l’usurpation d’identité

En août 2022, un médecin sud-coréen a reçu une série d’appels téléphoniques de personnes prétendant être des représentants des forces de l’ordre.

Les malfaiteurs prétendaient être des procureurs ayant la preuve que les comptes bancaires du médecin étaient utilisés pour le blanchiment d’argent. S’il ne coopérait pas à l’enquête, ils l’arrêteraient.

Ils ont même envoyé un faux mandat d’arrêt par SMS, ce que les forces de l’ordre ne feraient jamais. Sous la pression de ces menaces, le médecin a fini par transférer un total de 3 millions de dollars.

Ce cas met en évidence l’efficacité des attaques de vishing qui exploitent l’autorité et la peur. Les individus doivent se méfier des appels non sollicités émanant de prétendus fonctionnaires et vérifier leur identité par les voies officielles avant d’entreprendre quoi que ce soit.

Vous pouvez consulter cet article pour plus d’informations.

L’escroquerie de la « fausse caution »

Plus récemment, en janvier 2025, un couple de personnes âgées du Massachusetts a été victime d’un appel téléphonique frauduleux d’un prétendu avocat.

Ils ont été faussement informés qu’un membre de leur famille proche avait été arrêté et qu’il avait besoin de 10 000 USD pour payer sa caution. Sans vérifier l’information, ils ont retiré la somme demandée et l’ont remise à un coursier (qui ne faisait pas partie de l’escroquerie).

Ce n’est que plus tard qu’ils ont découvert que le membre de leur famille n’avait jamais été arrêté. Mais à ce moment-là, les 10 000 dollars avaient disparu.

Les escrocs utilisent souvent la manipulation émotionnelle lors des attaques de vishing pour inciter leurs victimes à agir immédiatement. Ce cas souligne une fois de plus l’importance de la pensée rationnelle et de la vérification d’information par des voies secondaires.

Attaques de Vishing: Conclusion

C’est tout pour ce guide sur les attaques de vishing. Nous espérons qu’il vous a été utile et que vous serez désormais en mesure de les repérer avant d’en être victime.

Si vous souhaitez renforcer votre sécurité en ligne, la première chose à faire est d’opter pour un fournisseur de messagerie électronique privée et sécurisée.

Chez Mailfence, nous sommes fiers de vous fournir:

• des outils de sécurité avancés: chiffrement de bout en bout, chiffrement symétrique, signatures numériques, et bien plus encore.
  
• pas de traçage ni de publicité. Nous n’utilisons pas de traceurs publicitaires ou marketing de tiers. Nous ne suivons pas votre activité dans l’application. Mailfence ne contient aucune publicité.
  
• des lois strictes en matière de protection de la vie privée. Les serveurs de Mailfence sont basés en Belgique, où des lois strictes protègent la vie privée. Seule une décision de justice belge valide peut nous obliger à divulguer des données.

Vous souhaitez passer à la vitesse supérieure en matière de protection de la vie privée et de cybersécurité ? Créez votre compte gratuit dès aujourd’hui !

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Créer un compte

Mailfence - Obtenez votre email gratuit et sécurisé.

Créer un compte

4.1 sur base de 177 avis utilisateurs