Définition
Le vishing (Voice Phishing) est une attaque d'ingénierie sociale réalisée par téléphone. L'attaquant se fait passer pour une entité de confiance — banque, support IT, proche, dirigeant — afin de voler des informations sensibles ou provoquer un virement frauduleux.
Historiquement, il suffisait d'un acteur humain et d'un script. Aujourd'hui, l'Intelligence Artificielle transforme radicalement cette menace : quelques secondes d'audio suffisent pour cloner parfaitement n'importe quelle voix, rendant l'attaque quasiment indétectable à l'oreille.
Mécanisme d'attaque — étape par étape
L'attaquant récupère un extrait audio de la cible sur les réseaux sociaux, YouTube ou LinkedIn. Quelques secondes suffisent au clonage.
Un outil de synthèse vocale (ElevenLabs, Resemble AI…) génère un clone réaliste. Ces outils sont accessibles pour moins de 50 € au grand public.
L'identifiant téléphonique est falsifié pour afficher le numéro de la banque ou d'un proche. La victime voit un numéro qu'elle reconnaît.
Création d'un sentiment d'urgence pour court-circuiter le raisonnement. Souvent précédé d'un email de phishing pour crédibiliser l'appel.
La victime communique ses identifiants, un code 2FA, ou réalise un virement. En entreprise, l'attaque peut viser le helpdesk pour accéder au SI.
Cas réels marquants
| Année | Contexte | Impact |
|---|---|---|
| 2019 | PDG d'une société énergétique britannique piégé par un appel imitant son supérieur allemand — voix et accent clonés. Premier cas documenté de deepvoice. | 220 000 € virés |
| 2024 | Employé d'une multinationale hongkongaise piégé lors d'une fausse visioconférence où tous les participants étaient des deepfakes IA. | > 25 M$ |
| 2024 | Entrepreneurs italiens dont Giorgio Armani ciblés par des appels usurpant la voix du ministre de la Défense Crosetto. | ~1 M€ demandé |
| 2025 | Campagne ShinyHunters / Scattered Spider : vishing massif visant les helpdesks IT pour accès initial au système d'information. | 760+ org. |
Mesures de protection
Un code secret convenu hors ligne avec ses proches. L'IA ne peut deviner ce qu'elle ne connaît pas.
Le numéro affiché peut être falsifié (spoofing). Toujours rappeler sur un numéro officiel vérifié.
L'urgence est la technique centrale. Prendre le temps de poser des questions hors-script pour déstabiliser l'attaquant.
Clé de sécurité physique non transmissible par téléphone. Recommandée par l'ANSSI pour les comptes sensibles.
Campagnes de faux appels régulières pour entraîner les équipes. L'humain reste le principal vecteur ET la meilleure défense.
Micro-silences, intonations lisses, hésitations sur mots complexes : indices d'une voix synthétique.
Conclusion & Enjeux
Le vishing alimenté par l'IA n'est plus une menace futuriste : c'est la technique d'ingénierie sociale la plus efficace de 2025. La démocratisation des outils de clonage vocal abaisse radicalement la barrière d'entrée pour les attaquants, tandis que la qualité des faux appels rend même les professionnels vulnérables.
Pour des institutions comme le Ministère de l'Intérieur / DGPN, les enjeux sont critiques : compromission d'identités sensibles, accès au SI via helpdesk, manipulation de personnels habilités. La réponse ne peut être uniquement technique — elle doit être culturelle, procédurale et humaine.
Face à une IA qui imite parfaitement la voix humaine, la seule défense fiable reste le secret partagé hors ligne et la culture de la vigilance au quotidien.