Attaque Téléphonique · Vocal Renforcé par l'IA Mis à jour · Avril 2026

Vishing

Aussi appelé : voice phishing · hameçonnage vocal · arnaque téléphonique · phishing téléphonique
En une phrase — Le vishing est une forme de phishing par appel téléphonique, qui exploite l'autorité de la voix humaine et la pression du direct pour soutirer des informations ou déclencher des actions que la victime n'aurait jamais validées à l'écrit.
Canal
Appel téléphonique (voix)
Cibles principales
Particuliers (banque), entreprises (helpdesk IT, finance)
Signalement
33700 (SMS du numéro appelant) · signal-arnaques.com
Menace en forte hausse
Clonage vocal par IA depuis 2023
Défense clé
Raccrocher, rappeler sur numéro officiel connu

01 — DéfinitionQu'est-ce que le vishing ?

Le vishing, contraction de voice et phishing, est une forme d'ingénierie sociale réalisée par appel téléphonique. L'attaquant se fait passer pour un interlocuteur légitime — conseiller bancaire, support informatique, policier, agent des impôts, dirigeant — et utilise la voix humaine, la pression du direct et l'autorité apparente pour obtenir ce qu'il cherche : un code, un virement, une connexion distante, une information sensible.

Le vishing précède historiquement le phishing : Kevin Mitnick, l'un des hackers les plus célèbres, l'a largement pratiqué dans les années 1990 avant qu'internet ne généralise les attaques par email. Il reste aujourd'hui l'une des formes d'attaque les plus redoutables, précisément parce que la voix humaine désarme les défenses rationnelles.

Face à un email suspect, on peut relire, douter, demander conseil. Face à une voix qui pose des questions dans l'urgence, le cerveau passe en mode réponse. C'est ce décalage que tout le vishing exploite.

02 — AnalysePourquoi le vishing fonctionne

Plusieurs facteurs convergent pour faire du vishing l'une des attaques les plus efficaces par taux de succès.

Le direct neutralise la réflexion

Un email peut être relu à tête reposée. Un appel ne donne pas ce luxe. La victime doit répondre en temps réel, sous pression conversationnelle, sans pouvoir vérifier les informations qu'elle reçoit. C'est la force du canal vocal : il court-circuite la réflexion analytique.

La voix humaine inspire confiance

Nous sommes biologiquement câblés pour faire confiance à une voix humaine. Un ton calme, professionnel, avec les codes attendus (vocabulaire bancaire, tournures administratives), crée immédiatement un sentiment de légitimité qu'aucun email ne peut égaler.

L'autorité téléphonique reste forte

Une personne qui appelle en se présentant comme « le service sécurité de votre banque » ou « la brigade financière » déclenche chez beaucoup une réaction de soumission immédiate. Refuser de répondre à une telle autorité semble inapproprié, surtout quand la pression monte.

Le spoofing de numéro crédibilise

L'attaquant peut faire afficher n'importe quel numéro sur l'écran de la victime — y compris le vrai numéro de sa banque. Quand le numéro affiché correspond à celui au dos de la carte bancaire, le doute disparaît presque complètement. Le MAN français (2023) réduit ce vecteur, sans l'éliminer.

Les filtres sont très limités

Les systèmes anti-spam téléphoniques sont beaucoup moins sophistiqués que ceux des emails. Orange, SFR et Bouygues bloquent certains numéros signalés, mais l'immense majorité des appels frauduleux passent directement. Les applications tierces (Truecaller, Orange Téléphone, Hiya) aident mais ne sont pas universelles.

03 — ScénariosLes arnaques par téléphone les plus fréquentes

Faux conseiller bancaire (grand public)

L'appel affiche le numéro officiel de la banque (spoofé). La voix se présente comme le service anti-fraude et annonce qu'une transaction suspecte vient d'être détectée. Pour « la bloquer » ou « mettre le compte en sécurité », il faut valider immédiatement des opérations 3D Secure dans l'application bancaire, ou effectuer un virement vers un « compte de mise en sécurité ». Les montants peuvent atteindre plusieurs dizaines de milliers d'euros. Le stratagème est souvent précédé d'un smishing qui prépare psychologiquement la victime.

Faux support Microsoft ou Apple

L'appel prétend détecter une infection informatique ou une activité suspecte sur le compte. L'attaquant fait installer un logiciel de prise en main à distance (AnyDesk, TeamViewer), accède à l'ordinateur, puis soit soutire des informations bancaires lors d'une prétendue « procédure de sécurisation », soit chiffre les fichiers pour demander une rançon. Cible particulièrement les seniors.

Fausse brigade financière / arnaque à la CNIL

Variante très agressive. L'appel prétend provenir de la police nationale, de la gendarmerie ou de la CNIL, accuse la victime d'avoir été impliquée dans un blanchiment ou d'avoir visité des sites illégaux, et menace d'une arrestation imminente sauf si un « compte séquestre » est créé via un virement. Les sommes exigées sont importantes (dizaines de milliers d'euros). Aucune autorité française ne procède de cette manière.

Faux helpdesk IT (entreprise)

L'attaquant appelle un collaborateur en se faisant passer pour le service informatique interne. Il demande la validation d'une notification MFA qui vient d'apparaître sur le téléphone (attaque de type MFA fatigue), ou un code reçu par SMS, ou l'installation d'un certificat. Variante inverse : l'attaquant appelle le helpdesk IT en se faisant passer pour un utilisateur et demande la réinitialisation d'un mot de passe. C'est le vecteur de nombreuses compromissions majeures (dont Twitter 2020, MGM Resorts 2023).

Arnaque familiale par clone vocal

Scénario en expansion rapide depuis 2023. Un parent reçoit un appel de ce qui semble être sa fille ou son fils, visiblement en détresse. La voix explique qu'il/elle a eu un accident, qu'il faut envoyer de l'argent immédiatement via un tiers. La voix est en réalité un clone généré par IA à partir d'enregistrements publics (vidéos Instagram, TikTok, messages vocaux). Les sommes demandées vont de quelques milliers à quelques dizaines de milliers d'euros.

04 — IA vocaleL'amplification par l'IA

Le vishing est probablement la forme d'ingénierie sociale la plus transformée par l'IA ces deux dernières années. Trois évolutions techniques changent la donne.

  • Clonage vocal à partir de peu de données — les modèles modernes (ElevenLabs, Microsoft VALL-E, modèles open source) peuvent reproduire une voix convaincante à partir de 30 secondes à 3 minutes d'audio. Chaque vidéo publique d'un dirigeant, chaque podcast, chaque message vocal fuité devient une source potentielle.
  • Conversation en temps réel — les modèles vocaux peuvent désormais répondre en direct, avec une latence faible, et ajuster leur discours aux réactions de la victime. L'époque des appels robotisés détectables est révolue.
  • Agents conversationnels offensifs — des systèmes capables de mener eux-mêmes des conversations de pretexting, d'improviser face à une question inattendue, et de maintenir un scénario cohérent sur plusieurs appels. Industrialisation probable dans les prochaines années.

Conséquence défensive : les signaux sonores (accent, intonation, hésitations) ne sont plus des marqueurs fiables. La vérification doit se déplacer vers des mécanismes hors canal (rappeler un numéro connu, utiliser un mot-code de famille, exiger une validation écrite).

05 — DétectionLes signaux d'alerte

Même avec une voix parfaite et un numéro spoofé, certains éléments restent caractéristiques du vishing.

  1. Urgence extrême et pression émotionnelle — « il faut agir dans les 5 minutes », « votre compte va être bloqué », « vous risquez la garde à vue ». Aucune autorité légitime ne fonctionne ainsi.
  2. Demande de codes ou de validations — aucune banque, administration ou service IT ne vous demandera jamais de communiquer un code SMS, de valider une notification 3D Secure pour « sécuriser », ou d'installer un logiciel de prise en main à distance.
  3. Consigne de ne pas raccrocher — combinée à l'interdiction de vérifier auprès d'un tiers, elle empêche la vérification croisée qui révélerait la fraude.
  4. Virement vers un « compte de mise en sécurité » — cette expression n'existe dans aucune procédure bancaire réelle. C'est un faux concept inventé par les escrocs.
  5. Demande d'informations que l'interlocuteur devrait déjà avoir — votre vraie banque connaît votre numéro de carte, vos opérations récentes, votre conseiller. Si on vous demande ces informations pour « vérification », c'est une fraude.
  6. Mention de menaces judiciaires immédiates — ni la police, ni la gendarmerie, ni la CNIL, ni les impôts n'annoncent une arrestation ou une saisie par téléphone avec demande de paiement. Toujours une arnaque.

06 — ProtectionComment s'en protéger

À titre personnel
  • Règle absolue : raccrocher et rappeler sur un numéro officiel connu (celui de votre application bancaire, de votre carte, d'un document officiel). Jamais sur celui donné par l'interlocuteur suspect.
  • Ne jamais communiquer de code reçu par SMS, de code secret de carte, ou valider une opération 3D Secure sur instruction téléphonique.
  • Ne jamais installer de logiciel de prise en main à distance sur instruction téléphonique (AnyDesk, TeamViewer, LogMeIn, etc.).
  • Convenir en famille d'un mot-code à demander en cas d'appel de détresse d'un proche — technique simple et efficace contre le clonage vocal.
  • Sensibiliser ses proches âgés, surreprésentés parmi les victimes.
  • Activer le filtrage anti-spam téléphonique (Orange Téléphone, filtres iOS, Google Messages).
En entreprise
  • Procédure stricte au helpdesk IT pour toute demande sensible (réinitialisation de mot de passe, validation d'accès) : vérification d'identité forte, jamais sur simple appel.
  • Procédure pour les services financiers : aucune modification d'IBAN, aucun virement exceptionnel, aucune validation financière sur la seule base d'un appel.
  • Canal de vérification croisée obligatoire : rappel systématique sur un numéro interne connu, pas sur celui donné.
  • Sensibilisation ciblée des fonctions exposées (finance, RH, IT, support, direction).
  • Simulations de vishing régulières pour entraîner le réflexe de refus et de rappel.
  • MFA FIDO2 (passkey, clé matérielle) qui résiste à la manipulation vocale : même si l'utilisateur valide une fausse notification, la clé vérifie le domaine.
  • Politique d'entreprise claire : aucun collaborateur n'est jamais sanctionné pour avoir raccroché ou vérifié une demande. La vérification est valorisée.

07 — RéactionSi vous avez été piégé

Les étapes essentielles dans l'heure qui suit l'appel.

  1. Si vous avez validé des opérations bancaires — contacter immédiatement votre banque (numéro officiel) pour faire opposition, bloquer la carte, et demander l'annulation des opérations si elles sont en cours.
  2. Si vous avez installé un logiciel de prise en main à distance — le désinstaller, déconnecter l'ordinateur d'internet, changer les mots de passe depuis un autre appareil, envisager une réinitialisation complète si des données sensibles sont en jeu.
  3. Si vous avez communiqué des identifiants — changer immédiatement tous les mots de passe concernés, activer la MFA, vérifier qu'aucune règle de transfert n'a été créée sur votre boîte email.
  4. Déposer plainte au commissariat ou sur Thésée (procédure en ligne pour escroqueries). Obligatoire pour toute procédure de remboursement.
  5. Signaler le numéro appelant — envoyer SPAM VOCAL suivi du numéro au 33700, signaler sur signal-arnaques.com et sur cybermalveillance.gouv.fr si vous avez subi un préjudice.
  6. En entreprise, prévenir immédiatement le RSSI et le SOC : l'attaque n'est peut-être qu'un volet d'une opération plus large.

08 — FAQQuestions fréquentes

Une banque peut-elle m'appeler pour une vraie fraude ?

Oui, mais dans ce cas elle ne vous demandera jamais de valider ou communiquer quoi que ce soit. Le vrai conseiller vous informera et vous invitera à rappeler sur votre numéro habituel ou à passer en agence. En cas de doute : raccrochez, rappelez sur le numéro officiel, c'est le seul réflexe sûr.

Peut-on être remboursé après une fraude par vishing ?

Oui en principe, au titre de la DSP2, pour les opérations non autorisées. La banque peut invoquer la négligence grave si vous avez validé vous-même les opérations, mais plusieurs jurisprudences récentes (notamment Cour de cassation 2024) ont renforcé la protection des victimes de vishing sophistiqués avec spoofing de numéro. Dépôt de plainte indispensable.

Que faire si je ne suis pas sûr que l'appel est légitime ?

Raccrocher, toujours. Aucune demande légitime ne s'effondre si vous raccrochez pour rappeler sur le numéro officiel 5 minutes plus tard. Si l'interlocuteur proteste ou insiste pour vous garder en ligne, c'est un signal que c'est une arnaque.

Mes parents sont-ils plus vulnérables ?

Statistiquement oui. Les personnes âgées sont surreprésentées parmi les victimes, notamment de l'arnaque au faux conseiller bancaire et de l'arnaque familiale par clone vocal. Des discussions régulières en famille sur ces scénarios, et la mise en place d'un mot-code familial, sont les meilleures protections.

Le mot-code en famille, comment ça marche ?

C'est un mot ou une phrase choisie collectivement, connue uniquement des proches, impossible à deviner à partir d'informations publiques. En cas d'appel d'urgence où la voix « familière » demande quelque chose d'inhabituel, on demande le mot-code. Un clone vocal IA ne peut pas le connaître. Solution simple, gratuite, remarquablement efficace.