Le vishing IA ou l’art de l’usurpation vocale

Imaginez la scène suivante : un entrepreneur italien reçoit un jour un appel du ministre de la Défense, Guido Crosetto. Le politicien veut confier une mission importante, mais difficile, au riche homme d’affaires. Des journalistes italiens sont retenus prisonniers au Moyen-Orient et pour les libérer, il a besoin que son interlocuteur réalise un virement de près de 1 million d’euros vers un compte en banque situé à Hong Kong. Plusieurs riches entrepreneurs italiens, dont Giorgio Armani, ont reçu cet appel…sauf que ce n’était pas le ministre de la Défense au bout du fil, mais un usurpateur. En effet, il s’agissait d’une arnaque de type vishing.

Lorsque des escrocs maîtrisent l’art du vishing, la supercherie peut s’avérer très lucrative. Et par conséquent, les individus et les organisations ciblés ont de grandes chances de tomber dans le panneau. Dans cet article, nous allons vous expliquer comment le vishing fonctionne et comment les cybercriminels utilisent l’IA pour rendre leurs escroqueries plus plausibles que jamais. Nous vous donnerons également quelques conseils pour vous prémunir de ce genre d’arnaque.

En quoi consiste le vishing IA ?

Le vishing désigne les arnaques par hameçonnage vocal (voice phishing). Il s’agit d’attaques d’ingénierie sociale où les escrocs dupent leurs victimes par téléphone, pour les inciter à communiquer des informations sensibles, comme des mots de passe ou des coordonnées bancaires. Ils peuvent également pousser une personne à effectuer un paiement frauduleux, comme on l’a vu précédemment avec l’exemple des entrepreneurs italiens. Par le passé, la voix d’un humain était indispensable pour ces arnaques téléphoniques. Aujourd’hui, en 2025, il est possible de générer une voix par IA et même de cloner la voix d’une véritable personne.

Qu’ils utilisent leur propre voix ou une voix générée par IA, les auteurs de vishing se font souvent passer pour des représentants d’organisations légitimes, comme des banques, des agences gouvernementales ou une assistance technique, afin de gagner la confiance de leur victime. Pour que celle-ci accède à leur demande, ils peuvent recourir à des techniques de manipulation bien rodées, comme créer un sentiment d’urgence, susciter de la peur ou instaurer un rapport d’autorité. Comme il exploite la psychologie humaine, le vishing peut s’avérer particulièrement efficace, et très difficile à prévenir ou à détecter au moyen de systèmes automatisés.

Quelle est la différence entre vishing, phishing, smishing et quishing ?

Ces désignations regroupent toutes les formes d’attaques d’ingénierie sociale, conçues pour tromper des individus et les inciter à divulguer des informations sensibles. Leurs différences résident simplement dans les méthodes employées. Les arnaques les plus redoutables sont celles qui combinent ces méthodes – par exemple, un e-mail de phishing qui serait suivi d’un appel de vishing.

• Phishing : Il s’agit d’e-mails frauduleux, pouvant contenir des pièces jointes piégées qui, une fois ouvertes, installent un malware sur l’appareil de la victime. Ils peuvent également contenir des liens vers de faux sites Web, où la victime est invitée à saisir des identifiants de connexion ou autres données sensibles. Les campagnes de phishing visant des victimes spécifiques sont connues sous le nom de « spear phishing » (hameçonnage ciblé).
• Vishing : Il s’agit d’une arnaque où l’escroc trompe la victime par téléphone, pour la pousser à divulguer des informations confidentielles ou à effectuer des paiements frauduleux. Le numéro de téléphone de l’escroc peut être falsifié de sorte à afficher un numéro que la victime connaît.
• Smishing : Il s’agit de phishing par SMS, où les messages contiennent des liens malveillants présentés comme légitimes. En cliquant sur ce type de lien, la victime peut télécharger un logiciel espion sur son appareil mobile ou être redirigée vers une fausse page de connexion sur son navigateur.
• Quishing : Moins répandue, cette arnaque consiste à hameçonner la victime avec un QR code. La personne pense scanner un QR code provenant d’une source légitime, mais celui-ci la redirige vers un site Web malveillant.

Classification du Vishing et comparaison des méthodes d’attaque par ingénierie sociale

Type d’attaque	Méthode	Tactiques courantes	Cible principale	Niveau de risque
Vishing	Appels vocaux	Usurpation d’identité d’entités de confiance pour extraire des informations sensibles	Individus et entreprises	Élevé
Phishing	Email	Emails frauduleux avec des pièces jointes malveillantes ou des pages de connexion falsifiées	Individus et organisations	Élevé
Smishing	SMS (Messages texte)	Liens vers des sites falsifiés ou des téléchargements de malwares	Utilisateurs mobiles	Moyen-Élevé
Quishing	Codes QR	Codes QR malveillants menant à des sites de phishing	Public et entreprises	Moyen

Comment l’IA permet-elle de générer des voix ?

L’IA est capable de générer une voix grâce à une technologie connue sous le nom de « synthèse vocale ». Les outils de synthèse vocale permettent de convertir un texte écrit en discours audio, avec une voix réaliste lisant le texte de manière naturelle. Les ordinateurs sont capables de générer des transcriptions vocales depuis des années, mais leur qualité était jusqu’alors assez moyenne. Aujourd’hui, il est possible d’exploiter des algorithmes de machine learning avancés (notamment les réseaux de neurones profonds) afin d’analyser et d’imiter les caractéristiques de l’expression humaine, comme l’intonation, le ton et le rythme.

Le modèle WaveNet, développé par Google DeepMind, compte parmi les principales technologies utilisées dans les outils de synthèse vocale modernes. Il est capable de générer de l’audio en prédisant la forme d’onde brute du signal audio, un échantillon à la fois, ce qui permet d’obtenir un discours très naturel et expressif. D’autres techniques se concentrent sur la génération de spectrogrammes Mel, qui sont ensuite convertis en audio à l’aide d’un vocodeur. Ces avancées ont rendu possible la création de voix qui peuvent être exploitées à différentes fins, que ce soit pour des assistants virtuels ou des bots de service client, ou pour des usages plus néfastes, comme les attaques par vishing.

L’IA peut générer des voix semblables à celles des humains, si bien que lorsque l’on reçoit un appel de vishing, un appel automatisé ou une arnaque par message vocal, il est difficile de faire la différence avec une vraie personne. Par exemple, dans le cas évoqué au début de l’article, on ne sait pas si la voix de Crosetto était en réalité un message préenregistré ou si un filtre créé avec l’IA a été utilisé pour permettre à l’escroc de modifier sa voix en temps réel. Microsoft estime que la voix d’une personne peut être clonée en seulement trois secondes. Un arnaqueur pourrait donc échanger avec vous quelques instants au téléphone, juste dans le but de cloner votre voix. En effet, une brève réponse à la question « est-ce que vous m’entendez ? » lui suffirait pour avoir un échantillon exploitable.

Comment les attaques par vishing fonctionnent ?

Le procédé d’une attaque par vishing est généralement toujours le même, avec ou sans IA. Tout commence avec un appel téléphonique de l’arnaqueur, qui prétend représenter une organisation légitime. Il peut adopter un certain vocabulaire pour avoir l’air convaincant, et même rajouter des bruits de fond pour rendre l’appel plus authentique. Il peut par exemple se présenter ainsi : « Bonjour, je suis Jean, je travaille au service des fraudes de votre banque. Nous avons détecté une activité suspecte sur votre compte et nous aurions donc besoin de vérifier votre identité pour le sécuriser. »

Prise d’inquiétude, la victime peut ensuite fournir les informations demandées, comme son numéro de compte, son mot de passe ou son code PIN. Une fois que ces informations sont en possession de l’arnaqueur, il peut les utiliser pour usurper l’identité de la victime, réaliser des transactions non autorisées ou accéder à d’autres comptes personnels.

Le processus classique d’une attaque par vishing

Vishing-as-a-Service (VaaS)

Le Vishing-as-a-Service (VaaS) est un type de cybercriminalité où les escrocs proposent des services de vishing à d’autres criminels, en échange d’une rémunération. Ce genre de service permet à des individus ou à des groupes ayant moins d’expertise technique de mener des attaques par vishing sophistiquées, en exploitant les compétences et les ressources d’escrocs plus aguerris. Ces escrocs peuvent également proposer des services pour cloner des voix spécifiques avec l’IA.

Ce type de cybercriminalité suscite une grande inquiétude, car il permet de réduire la barrière à l’entrée pour un grand nombre de personnes désireuses de se livrer à ces activités frauduleuses. En effet, Internet est rempli de vidéos, d’images et d’enregistrements audio que des groupes de cybercriminels peuvent exploiter pour tromper leurs victimes avec des deepfakes. Posez-vous d’ailleurs la question : un escroc aurait-il du mal à trouver quelques secondes d’enregistrement audio du dirigeant de votre organisation ?

Exemples réels d’attaques par vishing avec clonage de voix

L’usurpation de Guido Crosetto est loin d’être un incident isolé. Voici quelques exemples notables de cas de vishing et d’usurpation vocale/d’identité qui se sont produits récemment :

• Des hackers ont utilisé la méthode du vishing pour accéder aux systèmes de MGM Resorts et ainsi commettre une cyberattaque de grande ampleur. Ils ont d’abord repéré le profil de l’un des employés sur LinkedIn, puis se sont fait passer pour lui auprès du service informatique par téléphone, pour demander un accès à son compte. Ils ont ainsi pu contourner le processus de vérification et pénétrer le système.
• Des cybercriminels se sont fait passer pour des représentants de la loi au téléphone pour soutirer 3 millions de dollars à un médecin sud-coréen.
• Un employé d’une institution financière de Hong Kong s’est fait piéger par un deepfake lors d’un faux appel Zoom avec un directeur financier et a réalisé un virement de 25 millions de dollars.
• Le PDG d’une société d’énergie au Royaume-Uni a réalisé un transfert de 243 000 dollars après une conversation téléphonique qu’il pensait avoir eue avec un collègue allemand.
• Des arnaqueurs ont récemment pu cloner la voix de Mark Read, le PDG de l’une des plus grandes agences publicitaires mondiales.
• En Arizona, un individu a cloné la voix d’une adolescente pour faire croire à sa mère qu’elle avait été kidnappée. Dans cette affaire sordide, l’escroc menaçait de s’en prendre à la jeune fille s’il ne recevait pas une importante somme d’argent.

Comment vous défendre face aux attaques par vishing IA ?

Les signes qui montrent qu’un employé est la cible d’une attaque par vishing

Voici quelques signes qui doivent alerter vos utilisateurs finaux :

• Un appel automatique suspect précédant un appel prévu ultérieurement
• Une personne qui insiste au téléphone pour recevoir un paiement ou des informations confidentielles
• Une faible qualité audio ou des bruits de fond inhabituels lors d’un appel
• Un discours trop persuasif ou toute autre manière de parler qui ne correspond pas à la façon dont l’interlocuteur s’exprime en temps normal
• Un appel reçu à un horaire inhabituel
• Des appels provenant de numéros inconnus ou inhabituels Un individu demandant à être rappelé à un numéro qui ne correspond pas à celui de l’organisation qu’il est censé représenter
• Des appels où vos collègues, votre patron, un membre des ressources humaines ou des entreprises partenaires demandent des informations sensibles ou des mesures urgentes d’une manière inhabituelle
• Des demandes inhabituelles, comme télécharger un logiciel ou effectuer un paiement en dehors des procédures normales

Recommandations pour les utilisateurs finaux face au vishing

En cas de soupçon d’une tentative de vishing par téléphone, il est recommandé de suivre les consignes suivantes :

• Ne pas fournir d’informations personnelles comme l’adresse de son domicile ou de son lieu de travail par téléphone, ni en confirmer la véracité
• Laisser les appels de numéros inconnus tomber sur répondeur et évaluer la légitimité du message avant d’y répondre
• Écouter attentivement la voix de l’interlocuteur pour détecter toute anomalie ou tout bruit de fond inhabituel
• Prendre le temps de la réflexion avant de répondre à des demandes urgentes
• Demander au correspondant son nom et le numéro de téléphone de sa société afin de vérifier son identité
• Enregistrer les numéros de téléphone professionnels sur une liste d’opposition au démarchage téléphonique
• Se montrer vigilant face aux appels d’assistances techniques où un accès à distance ou des mises à jour logicielles sont demandés
• Mettre en place un processus d’authentification pour les appels professionnels impliquant des informations sensibles
• Tester et mettre en place des fonctions de protection sur les téléphones professionnels pour bloquer ou filtrer les appels de spam
• S’il s’agit d’une personne que l’on connaît, demander à la rappeler sur un numéro que l’on sait légitime
• Examiner les demandes inhabituelles via un mode de communication complémentaire

Protéger les employés du service informatique

L’attaque par vishing dont a été victime MGM Resorts aurait pu être évitée en amont, grâce à des protocoles d’authentification plus stricts. Plus précisément, ils auraient pu mettre en place une procédure de vérification de l’identité de l’utilisateur final au niveau du service informatique, exigeant du correspondant qu’il fournisse une preuve d’identité supplémentaire. Des protocoles d’authentification et de vérification d’identité stricts, notamment l’authentification multifacteur, auraient permis aux agents du service informatique de s’appuyer sur une méthode fiable pour vérifier l’identité du correspondant, et ainsi bloquer le point d’entrée initial des cybercriminels.

Avec Specops Secure Service Desk, vos agents peuvent vérifier l’identité d’un correspondant en toute sécurité, au lieu de s’appuyer sur des processus faillibles, qui laissent place à l’erreur humaine. Les clients de Secure Service Desk peuvent utiliser des méthodes d’authentification qui permettent d’éviter les usurpations d’utilisateurs, avec une vérification fondée sur des informations que seul l’utilisateur possède, et non pas seulement sur des informations que l’utilisateur ou un escroc pourrait connaître.

Si vous voulez réduire le risque de vishing pour votre service informatique, en mettant en place un processus de vérification d’identité de l’utilisateur préalable à toute réinitialisation de mot de passe ou tout déverrouillage de compte, contactez-nous pour voir comment Secure Service Desk pourrait fonctionner dans votre environnement.

FAQ