Le vishing expliqué : la phishing vocal que les entreprises ne peuvent plus ignorer

Aperçu de la situation

Les attaques de vishing ont bondi de 442 % au second semestre 2024 et représentent désormais plus de 60 % des interventions phishing aux incidents phishing, faisant ainsi phishing principal vecteur d'ingénierie sociale auquel sont confrontées les entreprises.
Le clonage vocal par IA ne nécessite que trois secondes d'enregistrement audio pour produire une réplique convaincante, et le FBI a lancé un avertissement officiel concernant des messages vocaux générés par IA qui usurpent l'identité de hauts responsables américains.
Scattered Spider » de 2025-2026 a permis de compromettre plus de 760 organisations par le biais du vishing, démontrant ainsi que phishing vocal phishing un vecteur d'accès initial destiné aux entreprises, et non une arnaque visant les particuliers.
La détection des menaces au sein de l'entreprise nécessite de mettre en corrélation l'activité des appels vocaux avec les événements d'authentification: les journaux VoIP/SIP, les anomalies liées à l'authentification multifactorielle (MFA) et les schémas d'installation des outils d'accès à distance constituent autant de signaux exploitables par le centre de sécurité des opérations (SOC).
Le vishing correspond à certaines MITRE ATT&CK spécifiques du modèle MITRE ATT&CK (T1566.004 et T1598.004) ainsi que les contrôles relevant du cadre de conformité que les organisations devraient intégrer dans leurs programmes de sécurité.

Le vishing connaît une croissance plus rapide que tout autre vecteur d'ingénierie sociale. Selon le rapport mondial sur les menaces 2025 de CrowdStrike, phishing ont bondi de 442 % entre le premier et le second semestre de 2024 — et le premier semestre de 2025 a déjà dépassé l'ensemble de l'année 2024. Par ailleurs, Cisco Talos a indiqué que le vishing représentait plus de 60 % de toutes les interventions phishing des incidents phishing au premier trimestre 2025, ce qui en fait phishing le plus courant rencontré par son équipe. Pour les équipes de sécurité qui considèrent encore le vishing comme une simple nuisance pour les consommateurs, les données révèlent une réalité bien différente. Les campagnes de niveau entreprise — alimentées par le clonage vocal par IA, des manuels d'ingénierie sociale et des alliances coordonnées entre acteurs malveillants — ciblent désormais à grande échelle les identifiants SSO, les plateformes CRM et les identités des cadres dirigeants.

Qu'est-ce que le vishing ?

Le vishing est une forme de phishing qui utilise la communication vocale — appels téléphoniques, VoIP ou messages vocaux — pour manipuler les cibles afin qu'elles divulguent des informations sensibles, installent des outils d'accès à distance ou transfèrent des fonds. Le terme combine « voice » (voix) et «phishing », ce qui le place aux côtés du smishing ( phishing par SMS) et phishing spear phishing ( phishing par e-mail ciblé) dans la taxonomie plus large de l'ingénierie sociale.

Ce qui rend le vishing particulièrement dangereux, c'est le canal vocal lui-même. Un appel téléphonique en direct transmet un sentiment d'urgence et d'autorité de manière plus convaincante que le texte. Les pirates exploitent cette caractéristique en se faisant passer pour des personnes de confiance : des techniciens du service d'assistance informatique, des représentants bancaires, des fonctionnaires, voire des dirigeants dont la voix a été clonée à l'aide de l'IA. Il en résulte une attaque d'ingénierie sociale qui contourne les filtres de messagerie, les scanners de liens et bon nombre des contrôles textuels sur lesquels s'appuient les entreprises.

L'ampleur du problème est considérable. Le rapport « CrowdStrike 2025 Global Threat Report » a fait état d'une augmentation de 442 % des attaques de vishing entre le premier et le second semestre 2024. Cisco Talos a confirmé cette tendance du point de vue de la gestion des incidents, constatant que le vishing était le phishing le plus courant au premier trimestre 2025, représentant plus de 60 % de toutes les interventions phishing phishing . Selon Keepnet Labs, 70 % des organisations ont été victimes d'une phishing .

Vishing, phishing smishing

Comprendre comment le vishing s'inscrit dans la phishing aide les équipes de sécurité à associer les mesures de contrôle appropriées aux vecteurs concernés.

Comparaison entre phishing, le vishing et le smishing en fonction du canal de diffusion, des leurres typiques et des mesures de protection requises :

Type d'attaque	Chaîne	Le leurre classique	Différence essentielle
Phishing	Courriel	Liens malveillants, fausses pages de connexion, fraude à la facture	Bloqué par les passerelles de messagerie, filtrage d'URL
Vishing	Appel téléphonique / VoIP / message vocal	Usurpation d'identité par le service d'assistance informatique, vérification bancaire, menaces de la part des autorités	Contourne les contrôles de sécurité textuels ; exploite l'autorité vocale
Pêche au saumon	SMS / message texte	Livraison de colis, codes MFA, alertes de compte	Exploite la confiance accordée aux appareils mobiles ; l'espace limité à l'écran masque les signaux d'alerte

La différence fondamentale pour les responsables de la sécurité : le vishing échappe aux canaux surveillés par la plupart des outils de sécurité. phishing par e-mail et par SMS phishing des traces numériques — URL, en-têtes d'expéditeur, métadonnées des messages — que les systèmes de détection peuvent analyser. Le vishing ne laisse qu'un appel téléphonique et les actions que la personne à l'autre bout du fil décide d'entreprendre ensuite.

Comment fonctionne le vishing

Une attaque de vishing typique suit un schéma structuré qui allie préparation technique et manipulation psychologique.

Reconnaissance — Les pirates recueillent des informations sur leurs cibles via LinkedIn, les annuaires d'entreprise, les bases de données piratées et les réseaux sociaux. Cette phase de reconnaissance sert à créer un prétexte.
Élaboration d'un prétexte — L'attaquant met en place un scénario plausible : une urgence informatique, une alerte de fraude bancaire, un audit de conformité ou une demande émanant d'un dirigeant.
Usurpation d'identité de l'appelant — À l'aide d'une infrastructure VoIP, les pirates procèdent à une usurpation d'identité de l'appelant afin d'afficher un numéro de confiance — le service d'assistance de l'entreprise, une banque connue ou un organisme public.
Premier contact et établissement d'une relation de confiance — L'attaquant s'assure de sa crédibilité en mentionnant des détails précis (nom de l'employé, service, numéros de tickets récents) recueillis lors de la phase de reconnaissance.
La manipulation psychologique — le sentiment d'urgence (« Votre compte sera bloqué dans 15 minutes »), l'autorité (« Nous sommes l'équipe de sécurité ») et la peur (« Nous avons détecté un accès non autorisé ») poussent la victime à se plier aux exigences.
Vol d'identifiants ou installation d'outils — La victime est redirigée vers un site destiné à voler ses identifiants, invitée à communiquer ses codes d'authentification multifactorielle (MFA) ou incitée à installer des outils d'accès à distance tels que Quick Assist ou AnyDesk.
Activités post-intrusion — Les pirates utilisent les identifiants volés ou un accès à distance pour effectuer des mouvements latéraux, exfiltrer des données, configurer l'authentification multifactorielle (MFA) sur des appareils sous leur contrôle ou déployer des ransomwares.

Les auteurs d'attaques par hameçonnage vocal cherchent généralement à obtenir des identifiants (mots de passe SSO, codes d'authentification multifactorielle), un accès à distance aux systèmes (via l'installation d'outils), des informations financières (coordonnées bancaires, autorisations de virement) et des données personnelles pouvant servir à mener d'autres actions d'ingénierie sociale.

Le vishing et le clonage vocal par deepfake basés sur l'IA

L'IA a transformé le vishing, qui était auparavant une opération manuelle à petite échelle, en une menace à grande échelle. La technologie de clonage vocal n'a désormais besoin que de trois secondes d'enregistrement audio pour produire une réplique convaincante de la voix d'une personne, selon les recherches VALL-E de Microsoft citées dans phishing compilées par Programs.com. D'après les perspectives de Fortune pour 2026 en matière de deepfakes, la voix générée par l'IA a franchi le « seuil de l'indiscernabilité », ce qui signifie qu'un auditeur lambda ne peut plus distinguer de manière fiable une voix clonée d'une voix réelle.

Les conséquences sont graves. En mai 2025, le FBI a publié l'alerte PSA250515 pour signaler que des acteurs malveillants utilisaient des messages vocaux générés par l'IA pour se faire passer pour de hauts responsables du gouvernement américain, ciblant des fonctionnaires fédéraux et d'État, actuels ou anciens, dans le but de récupérer leurs identifiants et de Usurpation de compte. Selon les estimations de Deloitte citées par Programs.com, les pertes liées à la fraude par deepfake devraient atteindre 40 milliards de dollars d’ici 2027. C’est à cette évolution phishing par IA que les équipes de sécurité doivent se préparer.

phishing par rappel téléphonique phishing TOAD

phishing callback phishing également connu sous le nom de « Telephone-Oriented Attack Delivery » (TOAD) — désigne une chaîne d'attaque hybride qui combine les canaux de messagerie électronique et vocal. Ce mode opératoire, largement documenté par Cisco Talos dans son rapport sur les tendances en matière de réponse aux incidents (IR) du premier trimestre 2025, fonctionne ainsi : les attaquants inondent d'abord la boîte de réception de la cible de spams ou envoient un e-mail de notification convaincant (fausse confirmation d'abonnement, fausse facture ou fausse alerte de sécurité). L'e-mail contient un numéro de téléphone destiné au « support ». Lorsque la cible appelle, un attaquant en direct la guide dans l'installation d'un logiciel d'accès à distance tel que Quick Assist, ce qui lui confère un accès direct au système.

Cette technique est particulièrement dangereuse car c'est la victime qui passe l'appel, ce qui lui donne un sentiment de sécurité par rapport à un appel entrant provenant d'un numéro inconnu. Les campagnes BazarCall ont été les premières à adopter cette approche, qui est désormais devenue un modèle dominant dans les opérations de vishing visant les entreprises.

Types d'attaques par hameçonnage vocal

Les attaques par hameçonnage vocal vont des campagnes automatisées de masse aux opérations très ciblées. Chaque type pose des défis spécifiques en matière de détection et de prévention.

Types d'attaques par hameçonnage vocal classés selon leur niveau de sophistication et le risque pour l'entreprise :

Type d'attaque	Cible type	Technique clé	Difficulté de détection
VoIP/appel aléatoire	Grand public	Les systèmes IVR automatisés composent des milliers de numéros	Faible à fort volume, scripts génériques
Usurpation d'identité d'une administration	Particuliers, petites entreprises	Prétexte lié à l'IRS, à la Sécurité sociale ou aux forces de l'ordre	Faible à moyen — motifs reconnaissables
Hameçonnage par téléphone visant les établissements financiers	Clients bancaires, équipes financières	Vérification du compte, alerte à la fraude sous prétexte	Moyen — utilise les coordonnées d'un compte réel
Hameçonnage par téléphone (vishing) dans le cadre de l'assistance technique	Employés, personnel du service d'assistance	Usurpation d'identité informatique, installation d'outils à distance	Risque moyen-élevé — Scattered Spider » selon MITRE ATT&CK .004
phishing par rappel téléphonique phishing TOAD	les employés de l'entreprise	Une avalanche de courriels indésirables suivie d'attaques d'ingénierie sociale par téléphone	Élevé — la victime prend l'initiative du contact
Usurpation d'identité d'un PDG ou d'un cadre supérieur	Finance, ressources humaines, assistants de direction	Falsification vocale, virement bancaire ou demandes de données	Élevé — IBM annonce une perte de 25 millions de dollars dans une affaire à Hong Kong
Hameçonnage par deepfake basé sur l'IA	représentants du gouvernement, dirigeants	Clonage vocal par IA en temps réel à partir de quelques secondes d'enregistrement audio	Très élevé — impossible à distinguer de l'original

Selon Keepnet Labs, les entreprises dont 70 % des employés déclarent avoir été victimes d'attaques subissent un coût annuel moyen estimé à 14 millions de dollars en raison du vishing ; toutefois, ce chiffre fourni par le fournisseur doit être interprété avec prudence, compte tenu du manque de clarté de la méthodologie utilisée. Le constat essentiel est que le vishing n'est plus un problème touchant uniquement les particuliers : il s'agit désormais d'un vecteur systématique d'ingénierie sociale visant les entreprises, que cybercriminels comme un service professionnel.

Le vishing dans la pratique : études de cas 2025-2026

La période 2025-2026 a donné lieu aux campagnes de vishing d'entreprise les plus importantes jamais enregistrées. Ces exemples montrent que phishing désormais l'un des principaux vecteurs d'accès initiaux utilisés par cybercriminels chevronnés.

Scattered Spider (2025-2026). Selon ReliaQuest et Computer Weekly, la campagne de vishing la plus dévastatrice de cette période a visé plus de 760 entreprises. Le collectif ShinyHunters, bénéficiant d'un accès initial fourni par Scattered Spider , a utilisé des kits de vishing personnalisés pour cibler des environnements SSO (Google, Microsoft, Okta). Parmi les victimes confirmées figurent Google, Cisco, Wynn Resorts (plus de 800 000 dossiers d'employés), CarGurus (12,5 millions de dossiers) et l'université de Harvard. Picus Security a qualifié cette alliance de l'un des supergroupes de cybercriminalité les plus dangereux de 2025. La campagne a démontré que le vishing est désormais proposé comme un service professionnel, avec des opérateurs recrutés à un tarif de 500 à 1 000 dollars par appel, utilisant des scripts pré-rédigés ciblant les services d'assistance informatique.

Fuite de données chez Cisco CRM (juillet 2025). Un employé de Cisco a été victime d'une attaque par ingénierie sociale sous la forme d'un appel de vishing, ce qui a permis au pirate d'accéder à un système CRM tiers cloud et d'en extraire des informations de profil. L'avis de sécurité publié par Cisco a confirmé cette fuite de données, soulignant que même les organisations soucieuses de la sécurité sont vulnérables dès lors qu'un seul de leurs employés est compromis.

Avertissement de l'IC3 du FBI concernant l'usurpation d'identité vocale par IA (mai 2025). Le FBI a publié l'alerte PSA250515 après avoir découvert que des acteurs malveillants utilisaient des messages vocaux et des SMS générés par IA pour usurper l'identité de hauts responsables du gouvernement américain depuis au moins avril 2025. Cette campagne visait des responsables fédéraux et étatiques, actuels ou anciens, dans le but de collecter leurs identifiants. Selon les observations Cloud Google Cloud, ces techniques continuent d'évoluer et de s'étendre.

Faille de sécurité à l'université de Harvard (novembre 2025). Les systèmes chargés des relations avec les anciens élèves et du développement de l'université de Harvard ont été compromis à la suite d'une attaque par hameçonnage vocal. Cette faille a entraîné la divulgation de données sur les anciens élèves et de relations avec les donateurs, ce qui, selon les analystes, pourrait avoir des répercussions importantes à long terme pour l'établissement.

Ces cas ont un point commun : le vishing a servi de vecteur d'accès initial, permettant ensuite la compromission du système — vol d'identifiants, exfiltration de données et, dans plusieurs cas, demandes de rançon.

Détecter et prévenir le vishing

Une défense efficace contre le vishing ne se limite pas à demander aux employés de ne pas répondre aux appels provenant de numéros inconnus. Elle nécessite de mettre en corrélation l'activité sur les canaux vocaux avec les événements d'authentification et de mettre en place des capacités de détection au sein du SOC permettant d'identifier les comportements suspects survenant après une attaque de vishing.

Stratégies de détection en entreprise

Étant donné que l'appel de vishing lui-même échappe à la plupart des systèmes de surveillance de sécurité, les équipes du SOC doivent se concentrer sur la détection des schémas comportementaux qui suivent une attaque de vishing réussie.

Signaux de détection du SOC d'entreprise indiquant une compromission postérieure à une attaque de vishing :

Signal de détection	Source des données	Action du SOC
Installation d'outils d'accès à distance (Quick Assist, AnyDesk, TeamViewer)	EDR / endpoint	Signaler et enquêter ; bloquer les installations non autorisées de RAT
Envoi d'une demande d'authentification multifactorielle (MFA) quelques minutes après la réception d'un appel téléphonique	Journaux du fournisseur d'identité + journaux VoIP/SIP	Synchroniser les délais ; exiger une vérification par rappel avant validation
Réinitialisation des identifiants suivie de l'enregistrement d'un nouvel appareil pour l'authentification multifactorielle	Fournisseur d'identité / Azure AD / Journaux Okta	Analyser la chaîne des modifications d'identité ; exiger l'approbation du responsable
Exportation inhabituelle de données depuis un CRM/SaaS à la suite d'un événement lié à l'identité	Journaux d'audit CASB / SaaS	Établir un lien avec les anomalies d'identité ; déclencher un contrôle DLP
Authentification par code d'appareil OAuth depuis un emplacement inattendu	Journaux de connexion Azure AD	Surveiller les abus liés au flux de codes des appareils — une nouvelle technique de vishing
Problèmes liés au VPN ou à l'accès à distance en dehors des heures de bureau	Analyse comportementale / NDR	Mettre en corrélation avec les événements d'identification déclenchés par un appel téléphonique

Cette approche de détection s'inscrit dans le cadre des recommandations MITRE ATT&CK .004, qui préconise de surveiller les journaux d'appels des appareils de l'entreprise à la recherche de numéros inhabituels et de mettre en corrélation les tentatives de notification MFA par SMS avec l'activité des appels vocaux.

Meilleures pratiques de prévention

Mettre en place des procédures de vérification par rappel. Exiger que toutes les demandes sensibles reçues par téléphone soient vérifiées par un rappel vers un numéro préenregistré et vérifié de manière indépendante. Cette simple mesure permet de priver l'attaquant du contrôle du canal de communication.
Limitez l'installation des outils d'accès à distance. Le schéma d'attaque identifié par Cisco Talos au premier trimestre 2025 consistait systématiquement à inciter les utilisateurs à installer Quick Assist. Définissez une liste blanche d'applications pour déterminer quels outils d'accès à distance peuvent être installés et par qui.
Appliquer l'authentification multifactorielle à l'aide de méthodes phishing. Les clés de sécurité matérielles (FIDO2) résistent à l'ingénierie sociale liée à l'authentification multifactorielle. Sachez que l'authentification multifactorielle par notification push peut elle-même être contournée par le vishing : les attaquants persuadent leurs cibles d'approuver la notification push.
Mettez en place l'authentification de l'appelant via STIR/SHAKEN. Ce protocole de niveau opérateur vérifie l'identité de l'appelant, ce qui permet de détecter les numéros usurpés avant qu'ils n'atteignent les employés.
Organisez des simulations de vishing dans le cadre de vos formations à la sensibilisation à la sécurité. Selon Keepnet Labs, les organisations qui organisent régulièrement des simulations de vishing atteignent des taux de reconnaissance des attaques pouvant aller jusqu’à 90 %. Cependant, 33 % des employés formés continuent de divulguer des informations malgré des avertissements clairs, ce qui démontre que la formation à elle seule ne suffit pas à éliminer le risque. En moyenne, 6,5 % des employés divulguent des informations sensibles lors des tests de vishing simulés.
Gérer les processus d'inscription à l'authentification unique (SSO) et à l'authentification multifactorielle (MFA). Empêcher l'enregistrement d'appareils malveillants après la compromission des identifiants en exigeant une vérification supplémentaire lors de l'inscription d'un nouvel appareil.

Que faire si une attaque par hameçonnage vocal aboutit ?

Si une attaque par hameçonnage vocal (vishing) permet de compromettre des identifiants ou d'obtenir un accès à distance, les équipes de sécurité doivent immédiatement renouveler les identifiants concernés, révoquer les sessions actives, analyser le compte compromis pour détecter tout accès aux données ou toute modification, vérifier s'il y a eu de nouvelles inscriptions de dispositifs d'authentification multifactorielle (MFA), analyser les terminaux à la recherche d'outils d'accès à distance et lancer une enquête technique afin de déterminer l'étendue de l'accès. La rapidité est essentielle : le délai entre la compromission initiale et l'exfiltration des données se mesure souvent en minutes.

Hameçonnage vocal et conformité

Le vishing correspond à des contrôles spécifiques dans les principaux cadres de conformité — un lien qu'aucun concurrent figurant parmi les premiers résultats de recherche n'établit actuellement. Les équipes GRC devraient intégrer ces correspondances dans leurs éléments probants d'audit et leurs évaluations des risques.

Mesures de contrôle du cadre de conformité applicables à la gestion des risques liés au vishing :

Le cadre	ID de contrôle	Nom du contrôle	Importance du vishing
MITRE ATT&CK	`T1566.004`	Spearphishing vocal (accès initial)	Mappage direct ; exemples de procédures tirés de Scattered Spider et Storm-1811
MITRE ATT&CK	`T1598.004`	Spearphishing vocal (reconnaissance)	Vishing en phase de reconnaissance ; appels au service d'assistance de LAPSUS$
NIST CSF 2.0	PR.AT	Sensibilisation et formation	La formation à la sensibilisation à la sécurité doit inclure la reconnaissance du vishing
NIST SP 800-53	AT-2, AT-3	Formation de sensibilisation, formation axée sur les rôles	Le personnel des services d'assistance et du support informatique est la cible privilégiée des attaques de vishing
CIS Controls v8	14.2, 14.5	Reconnaître les techniques d'ingénierie sociale, tests simulés	Les simulations de vishing satisfont à l'exigence 14.5
ISO 27001:2022	A.6.3, A.5.14	Sensibilisation à la sécurité, transmission d'informations	Politique relative à la divulgation d'informations lors d'appels téléphoniques
PCI DSS v4.0	12.6	Formation à la sensibilisation à la sécurité	La formation doit aborder les menaces pesant sur les données des titulaires de cartes, y compris le vishing

Les cadres de conformité fournissent la structure nécessaire, mais ils ne sont efficaces que si les organisations associent concrètement des menaces spécifiques, telles que le vishing, à des mesures de contrôle précises. Les recommandations de la CISA en matière d'ingénierie sociale apportent un éclairage supplémentaire aux organisations qui mettent en place leurs programmes de lutte contre le vishing.

Approches modernes de la lutte contre le vishing

Le secteur de la sécurité réagit à la recrudescence du vishing en proposant des solutions qui couvrent la prévention, la détection et la réponse. Parmi les principales catégories, on trouve détection et réponse aux incidents (NDR) pour la détection comportementale post-vishing, la détection et la réponse aux menaces d'identité (ITDR) pour la surveillance de l'utilisation abusive des identifiants, les plateformes de formation à la sensibilisation à la sécurité dotées de capacités de simulation de vishing, ainsi que les nouveaux outils de détection des deepfakes vocaux.

En matière de détection des deepfakes, isVerified est sortie de l'ombre en janvier 2026 avec des applications conçues pour identifier en temps réel les voix générées par l'IA. Le besoin du marché est évident : plus de 200 millions de dollars ont été perdus à cause d'escroqueries par deepfake rien qu'au premier trimestre 2025. Le rapport Cyber Insights 2026 de SecurityWeek prévoit que l'ingénierie sociale évoluera vers des « opérations relationnelles » : des campagnes de manipulation psychologique soutenues et assistées par l'IA qui combinent des canaux vocaux, textuels et vidéo sur plusieurs semaines ou mois, plutôt que des appels ponctuels.

Vectra AI en matière de protection contre le vishing

Le vishing est un vecteur d'accès initial. L'appel téléphonique en lui-même est difficile à prévenir, mais ce qui se passe après une attaque de vishing réussie génère des schémas comportementaux détectables. Attack Signal Intelligence se concentre sur l'identification des comportements post-compromission qui suivent un appel de vishing réussi : installation d'outils d'accès à distance, utilisation anormale des identités, schémas d'accès aux données inhabituels et mouvements latéraux à travers le réseau. Cette philosophie de « compromission présumée » signifie que les défenseurs bénéficient d'une couverture même lorsque l'ingénierie sociale vocale réussit, car les attaquants doivent encore agir au sein du réseau pour atteindre leurs objectifs — et ces actions génèrent des signaux.

Tendances futures et considérations émergentes

Le paysage du vishing continuera d'évoluer rapidement au cours des 12 à 24 prochains mois. Plusieurs développements méritent l'attention des responsables de la sécurité.

Des voix deepfake en temps réel lors d'appels en direct. Les attaques actuelles utilisent souvent des messages préenregistrés générés par l'IA, mais la technologie permettant la conversion vocale en temps réel pendant les conversations en direct arrive à maturité. Le concours de vishing par IA organisé par DEF CON a déjà démontré que l'IA peut mener à bien des attaques d'ingénierie sociale contre des cibles dans des environnements contrôlés, comme l'a documenté IBM. À mesure que cette capacité deviendra plus accessible, la distinction entre un appelant « réel » et un appelant « synthétique » disparaîtra complètement, ce qui augmentera la demande en matière de détection comportementale par rapport à l'authentification vocale.

Professionnalisation du « vishing-as-a-service ».Scattered Spider a mis en place un modèle de service dans lequel les opérateurs de vishing sont recrutés, rémunérés à l'appel (entre 500 et 1 000 dollars) et reçoivent des scripts pré-rédigés ainsi que des données de ciblage. Cette professionnalisation réduit les compétences requises et augmente le volume des attaques. Il faut s'attendre à ce que le vishing suive le modèle du « ransomware-as-a-service », avec des opérateurs spécialisés gérant les différentes étapes de la chaîne d'attaque.

Accélération de la réglementation. En février 2026, le Département des services financiers de l'État de New York a publié un avis spécifique sur le vishing, devenant ainsi la première autorité de régulation financière au niveau d'un État à prendre une telle mesure. À mesure que les violations de données très médiatisées se multiplient, il est probable que davantage d'autorités de régulation imposent des mesures de contrôle spécifiques contre le vishing, des tests de simulation de vishing et des obligations de signalement des incidents.

Abus du processus d'authentification par code de périphérique. Une nouvelle technique combinant le vishing et l'exploitation abusive du processus d'autorisation de périphérique OAuth 2.0 a fait son apparition fin 2025, ciblant les environnements Microsoft Entra. Cette technique contourne l'authentification multifactorielle (MFA) traditionnelle en exploitant un mécanisme d'authentification légitime ; les organisations doivent donc surveiller en priorité toute activité inhabituelle liée au processus d'authentification par code de périphérique.

Les entreprises devraient investir dans trois domaines : des capacités de détection des menaces liées à l'identité qui établissent des corrélations entre l'activité sur les canaux vocaux et les événements d'authentification, une authentification multifactorielle (MFA) phishing(clés matérielles FIDO2) et des programmes réguliers de simulation de vishing visant à évaluer et à renforcer la résilience des employés au fil du temps.

Conclusion

Le vishing, qui n'était autrefois qu'une simple arnaque téléphonique rudimentaire, est devenu l'un des vecteurs d'accès initiaux les plus efficaces dans le paysage des menaces pesant sur les entreprises. La hausse de 442 % enregistrée en 2024, la prédominance du phishing les interventions de gestion des incidents, ainsi que laScattered Spider visant plus de 760 organisations, mènent toutes à la même conclusion : phishing désormais le même niveau d'investissement en matière de défense que phishing par e-mail au cours des deux dernières décennies.

La stratégie à adopter repose sur trois éléments. Premièrement, des contrôles de processus, tels que la vérification des rappels, qui privent l'attaquant du contrôle du canal de communication. Deuxièmement, des techniques de détection qui établissent une corrélation entre l'activité sur le canal vocal, les événements d'authentification et les comportements observés après la compromission. Troisièmement, des programmes de sensibilisation à la sécurité comprenant des simulations régulières de vishing, tout en reconnaissant que la formation à elle seule ne suffit pas à éliminer le risque.

Pour les entreprises désireuses de renforcer leur dispositif de défense contre le vishing, découvrez comment la plateforme Vectra AI détecte les comportements post-compromission qui font suite à des attaques d'ingénierie sociale réussies — car partir du principe que le système a été compromis est la première étape vers la résilience.

Foire aux questions

Qu'est-ce que le vishing, en termes simples ?

Le vishing est une technique d'escroquerie dans laquelle les pirates utilisent des appels téléphoniques ou des messages vocaux pour inciter les gens à divulguer des informations sensibles telles que des mots de passe, des coordonnées bancaires ou des codes d'authentification multifactorielle (MFA). Ce terme est une combinaison des mots « voice » (voix) et «phishing ». Contrairement phishing par e-mail, le vishing tire parti de la confiance et du sentiment d'urgence que la communication vocale suscite naturellement. Un interlocuteur peut se faire passer pour votre banque, votre service informatique ou même une agence gouvernementale. L'objectif est toujours le même : vous manipuler pour que vous accomplissiez une action qui profite à l'attaquant, qu'il s'agisse de lui lire un code de vérification, d'installer un logiciel d'accès à distance ou de transférer de l'argent vers un compte frauduleux. Le vishing est une forme d'ingénierie sociale et, selon CrowdStrike, il a connu une hausse de 442 % au cours du second semestre 2024.

Comment fonctionne une attaque par hameçonnage vocal ?

Une attaque par vishing se déroule généralement en sept étapes : la reconnaissance (collecte d'informations sur la cible), l'élaboration d'un prétexte (conception d'un scénario crédible), l'usurpation de l'identité de l'appelant (pour faire passer l'appel pour légitime), le contact initial et l'établissement d'une relation de confiance, la manipulation psychologique par le recours à l'urgence ou à l'autorité, la collecte d'identifiants ou l'installation d'outils à distance, et les activités post-compromission telles que la propagation latérale ou l'exfiltration de données. Le succès de l'attaquant dépend de sa capacité à convaincre la cible que l'appel est légitime dans les 30 à 60 premières secondes. Les opérations de vishing modernes utilisent la technologie VoIP pour passer des appels anonymes à grande échelle, le clonage vocal par IA pour usurper l'identité de cadres supérieurs, et des données de reconnaissance détaillées provenant de LinkedIn et de bases de données piratées pour rendre leurs prétextes convaincants. Le rapport Cisco Talos du premier trimestre 2025 a révélé que phishing par rappel phishing où la victime est amenée à appeler l'attaquant — était le mode opératoire dominant.

Quels sont les signes d'une attaque par hameçonnage vocal ?

Parmi les principaux signes avant-coureurs, citons les appels non sollicités exigeant une action immédiate, les demandes de mots de passe ou de codes d'authentification multifactorielle (MFA) par téléphone, les pressions visant à installer un logiciel ou à accorder un accès à distance, les identifiants d'appelant qui semblent légitimes mais dont l'identité ne peut être vérifiée par un canal indépendant, les menaces de suspension de compte ou de poursuites judiciaires, ainsi que les demandes de déroger aux procédures habituelles en raison d'une « urgence ». Dans un contexte d'entreprise, soyez vigilant face aux appels se faisant passer pour le service d'assistance informatique ou les équipes de sécurité en dehors des heures de bureau, aux appelants qui font référence à des détails internes spécifiques (pour renforcer leur crédibilité) mais éludent les demandes de vérification, et à tout appel téléphonique suivi immédiatement d'une notification push d'authentification multifactorielle. Les attaques de vishing les plus sophistiquées — comme celles utilisant le clonage vocal par IA — peuvent ne présenter aucun des signaux d'alerte traditionnels, c'est pourquoi les contrôles techniques de détection constituent des compléments essentiels à la formation de sensibilisation.

Quel rôle joue l'IA dans les attaques de vishing ?

L'IA a considérablement accru la menace de vishing de trois manières. Premièrement, selon les recherches menées par Microsoft VALL-E, la technologie de clonage vocal permet de produire une réplique convaincante de la voix d'une personne à partir d'un enregistrement audio de seulement trois secondes. Les pirates utilisent comme source des enregistrements provenant de conférences téléphoniques sur les résultats financiers, de présentations lors de conférences, des réseaux sociaux et de messages d'accueil de messagerie vocale. Deuxièmement, l'IA permet la conversion vocale en temps réel pendant les appels téléphoniques, ce qui permet à un pirate de parler avec la voix d'un PDG ou d'un collègue de confiance. Troisièmement, les grands modèles linguistiques aident les attaquants à générer des scripts plus convaincants, à s'adapter aux cibles en temps réel et à opérer dans plusieurs langues. Le FBI a averti en mai 2025 que des messages vocaux générés par l'IA étaient utilisés pour usurper l'identité de hauts responsables américains. Selon Deloitte, les pertes liées à la fraude via le deepfake devraient atteindre 40 milliards de dollars d'ici 2027.

Comment les entreprises se protègent-elles contre les attaques par vishing ?

La prévention du vishing en entreprise nécessite une approche multicouche combinant les personnes, les processus et la technologie. Le contrôle des processus le plus crucial est la vérification par rappel : toutes les demandes sensibles reçues par téléphone doivent être vérifiées en rappelant un numéro préenregistré et vérifié de manière indépendante. Les contrôles techniques comprennent la restriction de l'installation d'outils d'accès à distance (Quick Assist, AnyDesk, TeamViewer) via une liste blanche d'applications, le déploiement d'une authentification multifactorielle (MFA) phishing, telle que les clés de sécurité matérielles FIDO2, la mise en œuvre de l'authentification de l'appelant STIR/SHAKEN pour les systèmes VoIP, et la surveillance des journaux des fournisseurs d'identité à la recherche de schémas anormaux corrélés à une activité initiée par la voix. Du côté des personnes, les organisations devraient mener régulièrement des simulations de vishing — les entreprises qui le font atteignent des taux de reconnaissance des attaques allant jusqu'à 90 % selon Keepnet Labs, bien qu'un pourcentage résiduel de 33 % des employés formés divulguent encore des informations sous pression, ce qui démontre la nécessité de dispositifs techniques de secours.

Qu'est-ce qu'une phishing par rappel téléphonique ?

phishing callback phishing, également appelé « Telephone-Oriented Attack Delivery » (TOAD), est une attaque hybride qui utilise un e-mail comme appât pour inciter la victime à passer un appel téléphonique. L'attaquant envoie un e-mail — une fausse confirmation d'abonnement, une facture ou une alerte de sécurité — contenant un numéro de téléphone du « service client ». Lorsque la victime appelle, un attaquant en direct se fait passer pour un membre du service client et la guide à travers des étapes qui compromettent son système, généralement en installant un logiciel d'accès à distance tel que Quick Assist. Cette technique est particulièrement efficace car c'est la victime qui initie l'appel, ce qui lui semble plus sûr que de répondre à un numéro inconnu. Cisco Talos a identifié phishing par rappel phishing le phishing le plus courant dans ses interventions de réponse aux incidents au premier trimestre 2025. Les campagnes BazarCall ont été les pionnières de cette approche, qui a depuis été adoptée par de nombreux groupes d'acteurs malveillants, notamment ceux liés aux Scattered Spider .

Quel est un exemple d'attaque par vishing ?

L'exemple récent le plus marquant est la campagneScattered Spider en 2025-2026, qui a ciblé plus de 760 entreprises. Les attaquants ont appelé des employés des organisations ciblées, se sont fait passer pour des membres du service d'assistance informatique et ont redirigé les victimes vers de fausses pages de connexion SSO pour Google, Microsoft et Okta. Une fois qu'ils ont mis la main sur les identifiants et les codes d'authentification multifactorielle (MFA), ils ont accédé aux systèmes CRM Salesforce et ont exfiltré des données clients. Parmi les victimes confirmées figuraient Google, Cisco, Wynn Resorts (plus de 800 000 dossiers d'employés) et CarGurus (12,5 millions de dossiers). Lors d'un incident distinct survenu en juillet 2025, un seul employé de Cisco a été victime d'une attaque par ingénierie sociale via un appel de vishing, ce qui a conduit à l'exportation d'informations de profil CRM. Ces exemples démontrent que le vishing moderne cible l'infrastructure des entreprises, et pas seulement les comptes bancaires individuels.

Comment signaler une attaque par hameçonnage vocal ?

Signalez les attaques de vishing via plusieurs canaux simultanément. Déposez une plainte auprès de l'Internet Crime Complaint Center (IC3) du FBI sur ic3.gov, et signalez-les à la FTC sur reportfraud.ftc.gov. Prévenez immédiatement l'équipe de sécurité ou d'intervention en cas d'incident de votre organisation : celle-ci doit déterminer si des identifiants ont été compromis, si un accès à distance a été accordé et quelles données ont pu être exposées. Si des informations financières ont été compromises, contactez directement votre banque en utilisant le numéro figurant sur votre carte ou votre relevé (et non un numéro fourni par l'attaquant). Notez tout ce dont vous vous souvenez concernant l'appel : le numéro de téléphone affiché, les affirmations de l'appelant, les informations que vous avez fournies et toutes les mesures que vous avez prises pendant ou après l'appel. Ces notes faciliteront à la fois l'enquête et les notifications réglementaires requises.

Quels sont les secteurs les plus touchés par le vishing ?

Les données de la campagne 2025-2026 révèlent que les secteurs de la technologie, des services financiers, des télécommunications, du commerce de détail et de l'enseignement supérieur figurent parmi les plus ciblés.Scattered Spider a touché des entreprises de divers secteurs, notamment la technologie (Google, Cisco, Optimizely), l'hôtellerie (Wynn Resorts), l'automobile (CarGurus), le commerce de détail (Pandora, Adidas), les télécommunications (Odido aux Pays-Bas, avec 6,2 à 21 millions d'enregistrements exposés), les compagnies aériennes (Qantas) et l'enseignement supérieur (Harvard, UPenn). Les organismes de services financiers sont exposés à un risque accru car le vishing cible directement les processus d'autorisation financière. Les organismes de santé sont visés pour les données des patients. Le point commun n'est pas le secteur lui-même, mais la valeur des données ou des accès détenus par l'organisme — en particulier les identifiants SSO qui permettent d'accéder aux plateformes SaaS contenant les données des clients.

L'IA peut-elle cloner votre voix à des fins de hameçonnage vocal ?

Oui. La technologie de clonage vocal par IA permet de produire une réplique réaliste de la voix d’une personne à partir d’un enregistrement audio de seulement trois secondes. Le matériel source peut provenir de conférences téléphoniques sur les résultats financiers, de présentations lors de conférences, de vidéos YouTube, de publications sur les réseaux sociaux ou de messages d’accueil de messagerie vocale — autant de sources accessibles au public pour de nombreux dirigeants d’entreprise. La technologie actuelle prend en charge à la fois les enregistrements audio « deepfake » préenregistrés et la conversion vocale en temps réel lors d’appels en direct. Fortune a rapporté fin 2025 que la voix générée par l'IA avait franchi le « seuil de l'indiscernabilité », ce qui signifie qu'un auditeur lambda ne peut plus faire la différence de manière fiable. Cela a permis des attaques telles que la fraude de 25 millions de dollars à Hong Kong, où un employé a été trompé par un appel vidéo deepfake utilisant les voix clonées de dirigeants de l'entreprise, et la campagne documentée par le FBI utilisant des messages vocaux générés par l'IA pour usurper l'identité de hauts responsables du gouvernement américain.