Skip to content
Retour au blog
quishingvishingsmishingphishingdeepfakecybersécurité

QR codes malveillants, deepfakes vocaux, SMS piégés : les nouvelles formes de phishing en 2026

Quishing, vishing par deepfake, smishing, phishing IA : les 5 nouvelles menaces qui contournent les défenses classiques. Comment les reconnaître et s'en protéger.

Thomas Ferreira48 min de lecture

En janvier 2024, un employé d'Arup, le géant britannique de l'ingénierie, reçoit un email suspect de son directeur financier. Il hésite. Puis il rejoint la visioconférence prévue dans le message. À l'écran, il voit et entend son CFO, accompagné de plusieurs collègues. Rassuré, il valide 15 virements pour un total de 25,6 millions de dollars. Chaque personne présente dans cette réunion était un deepfake généré en temps réel.

L'incident, révélé par le Guardian, illustre un basculement. Le phishing ne se résume plus à un email truffé de fautes d'orthographe avec un lien vers un formulaire douteux. En 2026, les attaques passent par des QR codes collés sur des parcmètres, des appels téléphoniques avec des voix clonées par IA, des SMS imitant Chronopost ou l'Assurance Maladie, et des pages de connexion impossibles à distinguer des vraies.

Le rapport ENISA Threat Landscape 2025, qui analyse 4 875 incidents de cybersécurité survenus entre juillet 2024 et juin 2025, constate que l'IA a multiplié par 14 le volume de phishing sophistiqué entre janvier et décembre 2025 (ENISA Threat Landscape 2025) (source). Les campagnes de phishing assistées par IA représentent une part croissante de l'activité d'ingénierie sociale observée dans le monde.

Cet article décortique les cinq nouvelles formes de quishing, vishing, smishing et phishing qui contournent les défenses classiques, avec les chiffres les plus récents, des cas réels et des mesures de protection concrètes.

Tester votre équipe face aux nouvelles menaces - simulations email, QR code et SMS incluses.

L'évolution du phishing : du spam au social engineering assisté par IA

Pour comprendre l'ampleur du changement, il faut mesurer le chemin parcouru.

2005-2015 : l'ère du spam de masse

Les premières campagnes de phishing étaient grossières : des emails envoyés par millions, bourrés de fautes, promettant un héritage nigérian ou un gain à la loterie. Le taux de clic était faible (moins de 1 %), mais le volume compensait. Les filtres anti-spam ont progressivement appris à bloquer ces messages, et la plupart des utilisateurs ont fini par les reconnaître.

2015-2023 : le spear phishing et la compromission de messagerie

L'attaque s'est personnalisée. Au lieu d'envoyer un million d'emails identiques, les attaquants ont commencé à cibler des individus spécifiques avec des messages crédibles, référençant leur entreprise, leur poste, leurs collègues. La compromission de messagerie professionnelle (BEC, Business Email Compromise) est devenue le vecteur le plus rentable : le FBI estime les pertes mondiales liées au BEC à 2,9 milliards de dollars en 2023 (IC3 Internet Crime Report).

2024-2026 : le point d'inflexion

Plusieurs technologies ont convergé pour créer une rupture :

  • Les modèles de langage (GPT-4, Claude, Mistral) permettent de générer des emails de phishing convaincants en quelques secondes, dans n'importe quelle langue, sans fautes, avec un ton adapté au contexte.
  • Le clonage vocal ne nécessite plus que 3 secondes d'audio pour reproduire une voix avec 85 % de fidélité (McAfee, 2025). Fortune rapporte en décembre 2025 que le clonage vocal a franchi le « seuil d'indiscernabilité » : les auditeurs humains ne distinguent plus de manière fiable une voix clonée d'une voix authentique.
  • Les outils de phishing en tant que service (PhaaS) comme Sneaky2FA ou Raccoon0365 permettent à des attaquants sans compétences techniques de lancer des campagnes sophistiquées pour moins de 75 dollars.
  • Les QR codes sont devenus omniprésents dans la vie quotidienne (restaurants, parkings, administrations), créant un nouveau vecteur que les filtres de messagerie traditionnels ne savent pas analyser.

Confirmant la tendance mesurée par l'ENISA, les emails de phishing générés par IA ont augmenté de 14x entre début et fin 2025, passant de 4 % à 56 % du volume total détecté par le réseau Hoxhunt (Hoxhunt, décembre 2025). Kaseya prévient que « le phishing généré par IA est devenu la norme pour les attaquants » et que la situation va s'aggraver en 2026.

Pour un panorama complet des statistiques du phishing en entreprise : Phishing en entreprise : statistiques 2026, exemples et solutions.

Quishing : le phishing par QR code

Comment ça fonctionne

Le quishing exploite un angle mort de la sécurité informatique. Un QR code est, pour un scanner email ou un antivirus, une image comme une autre. Sauf que cette image contient une URL, et cette URL peut mener à une page de vol d'identifiants, un téléchargement de malware ou un formulaire de paiement frauduleux.

L'attaque se déroule en trois temps :

  1. L'attaquant génère un QR code pointant vers un site de phishing (page de connexion Microsoft 365 ou Google clonée, formulaire de paiement, fausse page d'authentification).
  2. Le QR code est distribué par email (intégré dans le corps du message ou dans une pièce jointe PDF), collé physiquement sur un support légitime (parcmètre, menu de restaurant, affiche) ou envoyé par courrier postal.
  3. La victime scanne le QR code avec son smartphone : un appareil souvent moins protégé que son poste de travail professionnel, sans EDR, sans proxy web d'entreprise.

C'est ce dernier point qui rend le quishing particulièrement dangereux en entreprise : l'attaque « sort » du périmètre de sécurité de l'organisation. Le salarié scanne le QR code avec son téléphone personnel, saisit ses identifiants professionnels sur une page de phishing, et l'attaquant récupère un accès au système d'information de l'entreprise sans avoir jamais touché au réseau corporate.

Les chiffres

Les données 2025-2026 montrent une explosion du quishing :

  • Plus de 4,2 millions de menaces par QR code identifiées début 2025, avec en moyenne 2,7 millions d'emails contenant des QR codes détectés chaque jour entre octobre 2024 et mars 2025.
  • 400 % d'augmentation des attaques par QR code entre 2023 et 2025 selon Abnormal Security.
  • 26 % des liens malveillants sont désormais distribués via QR code. Et 73 % des Américains scannent les QR codes sans vérification préalable (Keepnet Labs, 2026).
  • 89,3 % des attaques par QR code visent le vol d'identifiants : pas le téléchargement de malware (Keepnet Labs, 2026).
  • Les cadres dirigeants sont ciblés 42 fois plus que l'employé moyen par le quishing (données 2023, ratio probablement encore plus élevé en 2026).
  • Seulement 36 % des incidents de quishing sont correctement identifiés et signalés par les employés.

Le quishing en France

En France, les attaques par QR code exploitent des contextes spécifiques :

  • Faux QR codes sur les parcmètres : des autocollants avec des QR codes frauduleux sont collés sur les horodateurs dans plusieurs villes françaises. Le QR code redirige vers un faux site de paiement du stationnement qui collecte les coordonnées bancaires.
  • Fausses amendes ANTAI : des courriers postaux imitant l'Agence Nationale de Traitement Automatisé des Infractions incluent un QR code pour « régler l'amende en ligne ». Le QR code mène à un site clone de amendes.gouv.fr.
  • QR codes dans les PDF de facturation : le rapport HP Wolf Security de mars 2026 note que tous les PDF de phishing observés au T4 2025 contenaient des QR codes de phishing (quishing), une conséquence directe de la politique de blocage des macros par Microsoft qui pousse les attaquants vers de nouveaux vecteurs.

Étude de cas : l'attaque par QR code contre une collectivité française

En novembre 2025, une collectivité territoriale du sud de la France a subi une attaque par quishing qui illustre la mécanique de ces campagnes.

Un email, apparemment envoyé par le service des ressources humaines, informait les agents municipaux d'un « changement de portail pour la consultation des bulletins de paie ». L'email contenait un QR code à scanner « depuis votre smartphone pour accéder au nouveau portail en toute sécurité ». Le message était sobre, sans fautes, avec l'en-tête et le logo de la collectivité.

47 agents ont scanné le QR code. Celui-ci redirigeait vers une page de connexion imitant le portail RH de la collectivité, hébergée sur un domaine .fr récemment enregistré. 31 agents ont saisi leurs identifiants professionnels. L'attaquant a utilisé ces identifiants pour accéder aux boîtes email des agents, extraire des données personnelles (bulletins de paie, arrêts maladie, évaluations) et tenter des virements frauduleux via le service comptable.

L'attaque a été détectée après 72 heures, lorsqu'un agent a remarqué des connexions suspectes à sa boîte email depuis une adresse IP étrangère. Le coût total de l'incident (investigation, réinitialisation des accès, notification CNIL, accompagnement des agents victimes) a dépassé 180 000 euros.

Trois facteurs ont facilité l'attaque :

  1. L'absence de filtrage des QR codes par la passerelle email de la collectivité.
  2. L'utilisation de smartphones personnels pour scanner le code, hors du périmètre de sécurité.
  3. L'absence de formation au quishing : les agents avaient reçu une sensibilisation au phishing par email, mais les QR codes n'avaient jamais été abordés.

Le quishing en environnement professionnel : pourquoi les entreprises sont vulnérables

Le quishing exploite une faille structurelle de la sécurité d'entreprise : la frontière entre les terminaux professionnels et personnels.

Dans une attaque classique par email, le lien malveillant est cliqué sur le poste de travail, qui bénéficie généralement d'un EDR (Endpoint Detection and Response), d'un proxy web filtrant les URL, et d'un navigateur avec des extensions de sécurité. Le quishing contourne ces trois couches : le salarié scanne le QR code avec son smartphone personnel, ouvre le lien dans le navigateur mobile (sans proxy d'entreprise), et saisit ses identifiants professionnels sur un écran de 6 pouces où il est plus difficile de vérifier l'URL.

Cette « évasion de périmètre » est aggravée par plusieurs facteurs :

  • Les politiques BYOD (Bring Your Own Device) répandues dans les PME françaises, où les employés utilisent leur smartphone personnel pour accéder à la messagerie professionnelle sans MDM (Mobile Device Management).
  • La confiance acquise envers les QR codes depuis la pandémie de Covid-19, où ils sont devenus omniprésents (pass sanitaire, menus de restaurant, billetterie).
  • L'absence de journalisation : contrairement à un clic sur un lien email (traçable par la passerelle), un scan de QR code sur un smartphone personnel ne génère aucun log dans le système d'information de l'entreprise. L'attaque est invisible jusqu'à ses conséquences.

Comment se protéger du quishing

  • Ne jamais scanner un QR code reçu par email si vous n'en connaissez pas l'expéditeur. Accédez plutôt au service directement via son URL officielle.
  • Vérifier l'URL avant d'entrer des identifiants : après avoir scanné un QR code, vérifiez l'adresse dans la barre du navigateur avant toute saisie.
  • Utiliser un lecteur QR qui prévisualise l'URL : certaines applications de scan affichent l'URL de destination avant d'ouvrir le navigateur.
  • En physique, méfiance envers les QR codes collés par-dessus un autre : si un autocollant recouvre un QR code existant (sur un parcmètre, une table de restaurant), c'est un signal d'alerte.
  • Inclure le quishing dans les simulations de phishing : les plateformes de sensibilisation modernes permettent de tester les employés avec des QR codes piégés. Lancer une simulation de quishing.

Vishing 2.0 : deepfakes vocaux et appels IA

La technologie derrière le clonage vocal

Le vishing (voice phishing) existe depuis longtemps : un escroc appelle en se faisant passer pour un banquier, un technicien, un fournisseur. Ce qui change en 2025-2026, c'est la capacité de reproduire exactement la voix d'une personne réelle, un dirigeant, un collègue, un client, à partir de quelques secondes d'enregistrement.

Les services de clonage vocal commerciaux (ElevenLabs, Resemble.AI, et d'autres) nécessitent de 3 à 30 secondes d'audio source pour produire un clone vocal utilisable. Cet audio peut être extrait d'une vidéo LinkedIn, d'une conférence YouTube, d'un podcast, d'un message vocal WhatsApp ou même d'un appel téléphonique enregistré.

Le clone vocal est ensuite utilisé dans un outil de synthèse vocale en temps réel qui permet à l'attaquant de « parler » avec la voix de sa cible pendant un appel téléphonique ou une visioconférence. L'attaquant tape ou dicte son texte, et le système génère la voix clonée en temps réel avec un délai de quelques centaines de millisecondes.

Les chiffres du vishing par deepfake

Les données 2025 montrent une accélération vertigineuse :

  • Les attaques de vishing ont augmenté de 442 % en 2025, alimentées par les deepfakes IA (DeepStrike, 2025).
  • Les incidents de deepfake vishing ont bondi de 1 600 % au premier trimestre 2025 par rapport au quatrième trimestre 2024 aux États-Unis.
  • Les fichiers deepfake sont passés de 500 000 en 2023 à un volume projeté de 8 millions en 2025 (Keepnet Labs, 2026).
  • 1 Américain sur 4 a reçu un appel par deepfake vocal au cours de l'année écoulée.
  • Les pertes liées à la fraude par deepfake ont dépassé 200 millions de dollars au premier trimestre 2025 en Amérique du Nord, et 3 milliards de dollars entre janvier et septembre 2025 aux États-Unis.
  • Les pertes mondiales liées à la fraude par IA générative (dont le vishing) devraient passer de 12,3 milliards de dollars en 2024 à 40 milliards de dollars d'ici 2027, soit une croissance annuelle de 32 % (Deloitte).

Cas réels marquants

Arup : 25,6 millions de dollars (2024) L'incident mentionné en introduction reste le plus spectaculaire. L'attaquant a utilisé des deepfakes vidéo et audio en temps réel pour simuler une visioconférence complète avec le CFO et plusieurs collègues. Rob Greig, le DSI mondial d'Arup, a déclaré au Guardian : « le nombre et la sophistication de ces attaques ont augmenté fortement ces derniers mois. »

Ferrari : tentative déjouée (2024) Le PDG de Ferrari, Benedetto Vigna, a été ciblé par un appel deepfake. L'attaquant se faisait passer pour un cadre supérieur de Ferrari. L'appel a été déjoué uniquement parce qu'un dirigeant a posé une question personnelle que seul le vrai interlocuteur pouvait connaître : un réflexe de vérification que la plupart des employés n'auraient pas eu.

Entreprise énergétique britannique : 220 000 euros (2019) Le premier cas documenté de fraude par deepfake vocal : un dirigeant d'une entreprise énergétique britannique a viré 220 000 euros après un appel du « PDG de la maison-mère allemande ». La voix, l'accent, le rythme de parole : tout correspondait. L'attaquant avait cloné la voix à partir d'enregistrements publics.

UNC6040 : 12 millions de dollars (2025) Ce groupe opérant depuis l'Europe de l'Est a infiltré une compagnie d'assurance canadienne en utilisant un clone vocal du DAF, ce qui a conduit au vol de données financières et à 12 millions de dollars de virements non autorisés.

Comment détecter un appel deepfake

La détection par l'oreille humaine devient de plus en plus difficile : Fortune rapporte que le clonage vocal a franchi le « seuil d'indiscernabilité » fin 2025. Quelques indices restent exploitables :

  • Latence inhabituelle : un léger décalage dans les réponses peut indiquer un traitement IA en temps réel.
  • Réponses trop fluides : une absence totale de « euh », de pauses, de reformulations peut trahir une voix synthétique.
  • Le test de la question personnelle : comme l'a fait l'équipe de Ferrari, poser une question dont seul le vrai interlocuteur connaît la réponse. « Tu te souviens du restaurant où on a déjeuné la semaine dernière ? »
  • Rappeler sur un numéro vérifié : en cas de doute sur un appel demandant une action financière ou la transmission de données sensibles, raccrocher et rappeler la personne sur son numéro habituel.

Contre-mesures pour les entreprises

Procédures organisationnelles

  • Double validation obligatoire pour tout virement supérieur à un seuil défini : confirmation par un second canal (email + appel, ou validation dans l'outil de gestion financière). Le seuil doit être adapté à la taille de l'entreprise : pour une PME, 5 000 euros est un point de départ raisonnable.
  • Code de confirmation verbal : certaines entreprises instaurent un mot de passe verbal changé chaque semaine pour valider les demandes sensibles par téléphone. Le code est communiqué en personne ou par un canal sécurisé distinct. Simple, mais efficace contre les deepfakes vocaux actuels.
  • Politique de rappel systématique : toute demande financière reçue par téléphone doit être vérifiée en rappelant le demandeur sur son numéro habituel (celui enregistré dans l'annuaire interne, pas celui affiché sur l'écran d'appel entrant).

Formation ciblée

  • Les DAF, comptables et assistants de direction sont les cibles prioritaires du vishing. Ils doivent être formés spécifiquement aux tentatives de deepfake, avec des exercices pratiques incluant l'écoute d'échantillons de voix clonées.
  • Les standardistes et accueils téléphoniques doivent savoir que les attaquants utilisent le vishing pour collecter des informations (organigramme, noms des responsables financiers, procédures de virement) avant de lancer l'attaque principale.
  • Les dirigeants dont la voix est publiquement disponible (conférences, podcasts, interviews) doivent être informés que leur voix peut être clonée et utilisée contre leur propre entreprise. Simuler une attaque de vishing sur votre équipe.

Mesures techniques

  • Enregistrement des appels entrants sur les lignes sensibles (service financier, direction), dans le respect du RGPD et avec information préalable de l'appelant. L'enregistrement permet l'analyse post-incident et dissuade certains attaquants.
  • Solutions de détection de deepfake audio en temps réel : encore émergentes en 2026, mais des outils comme Pindrop, Resemble Detect ou Reality Defender commencent à proposer une intégration avec les systèmes de téléphonie d'entreprise. Ces solutions analysent les caractéristiques spectrales de la voix pour détecter les artefacts de synthèse.

Smishing : les SMS qui piègent la France

Pourquoi le SMS est un vecteur redoutable

Le SMS bénéficie d'un niveau de confiance nettement supérieur à l'email. Les taux d'ouverture des SMS dépassent 95 %, contre 20 à 30 % pour les emails. Les utilisateurs ont été formés à se méfier des emails suspects, mais moins conditionnés à douter d'un SMS. Un SMS est court, urgent, et s'affiche directement sur l'écran de verrouillage : pas le temps de réfléchir.

Le smishing exploite cette confiance en envoyant des messages courts imitant des organismes de confiance (Assurance Maladie, impôts, transporteurs de colis) avec un lien vers un site de phishing optimisé pour mobile.

L'explosion du smishing en France

Les chiffres français sont éloquents :

  • En 2025, Orange a recueilli plus d'un million de signalements via le 33700, le numéro de signalement des SMS et appels frauduleux.
  • Les fraudes liées aux services de livraison de colis ont augmenté de 30 % en 2025, avec La Poste/Colissimo représentant 18 % des identités usurpées.
  • Les fraudes aux péages routiers ont connu une hausse de plus de 900 % en 2025 : un vecteur quasi inexistant un an plus tôt.
  • Les fuites de données alimentent le smishing : l'incident chez Colis Privé a exposé jusqu'à 15 millions de données de livraison, Chronopost a vu 210 000 clients affectés, et Mondial Relay a subi un piratage fin 2025. Sur un seul trimestre 2025, 15,5 millions de comptes français ont été compromis.

Les arnaques les plus courantes en France

L'arnaque Ameli / Carte Vitale « Votre nouvelle carte Vitale est disponible. Remplissez le formulaire pour la recevoir : [lien]. » Ce SMS imite l'Assurance Maladie et redirige vers un faux site ameli.fr qui collecte les informations personnelles, les coordonnées bancaires et parfois une copie de la carte d'identité. Ameli rappelle qu'elle « n'envoie jamais de SMS demandant de communiquer des informations personnelles ou bancaires » (ameli.fr).

L'arnaque Chronopost / La Poste / Colissimo « Votre colis est en attente de livraison. Frais de port restants : 1,95 €. Réglez ici : [lien]. » Le montant est volontairement faible pour ne pas éveiller les soupçons. Le site clone collecte les coordonnées bancaires. La Poste informe qu'elle « ne vous demandera jamais de payer pour retirer un colis par SMS ou par mail ».

Cybermalveillance.gouv.fr note que les escrocs ont développé une technique en deux temps : un premier SMS sans lien pour inciter à répondre, ce qui fait passer le numéro en « conversation légitime » dans l'application de messagerie, puis un second SMS contenant le lien de phishing : cette fois avec le lien actif (Cybermalveillance.gouv.fr).

L'arnaque CPF (Compte Personnel de Formation) « Vos droits CPF expirent le 31/03/2026. Utilisez-les avant qu'il ne soit trop tard : [lien]. » L'information est fausse : les droits CPF n'expirent jamais tant que le titulaire est actif. Le lien mène à un site qui collecte les identifiants FranceConnect ou redirige vers un organisme de formation frauduleux.

L'arnaque ANTAI / amendes « Vous avez une amende impayée. Régularisez votre situation sous 48h pour éviter une majoration : [lien]. » Le lien imite amendes.gouv.fr. L'urgence et la peur de la majoration poussent à agir vite.

L'arnaque au péage / vignette Crit'Air Vecteur en pleine explosion (+900 % en 2025) : « Vous n'avez pas réglé votre passage au péage. Régularisez votre situation : [lien]. » Ces SMS ciblent les automobilistes et exploitent l'arrivée des péages en flux libre.

L'infrastructure technique du smishing : SIM farms et spoofing

Le smishing de 2025-2026 n'est plus artisanal. Les attaquants utilisent des infrastructures industrielles pour envoyer des millions de SMS frauduleux :

Les SIM farms : des boîtiers contenant des dizaines de cartes SIM prépayées permettent d'envoyer des SMS en masse depuis des numéros mobiles français (06/07). Ces boîtiers, achetés en ligne pour quelques centaines d'euros, sont l'équivalent SMS des botnets email. Les cartes SIM sont achetées avec de fausses identités ou dans des pays où l'enregistrement n'est pas obligatoire, puis activées en France via le roaming.

Le SMS spoofing : des services en ligne permettent de modifier l'identifiant expéditeur d'un SMS. Un attaquant peut envoyer un SMS qui s'affiche comme provenant de « Ameli », « La Poste » ou « Impots.gouv » dans le fil de conversation du destinataire. Sur certains téléphones, le SMS frauduleux s'insère directement dans la conversation existante avec l'organisme légitime, ce qui le rend quasi indétectable.

Les plateformes de smishing-as-a-service : sur le modèle du PhaaS pour l'email, des plateformes accessibles sur Telegram vendent des kits de smishing clés en main : modèles de SMS en français, pages de phishing mobiles optimisées, tableaux de bord avec statistiques en temps réel (nombre de SMS envoyés, taux de clic, identifiants collectés). Le prix d'entrée est de 50 à 200 dollars par campagne.

La réponse réglementaire française

Face à l'explosion du smishing, les autorités françaises ont renforcé les dispositifs :

  • Le 33700 : ce numéro de signalement, opéré par l'AF2M (Association Française pour le développement des services et usages Multimédias Multi-opérateurs), permet de signaler les SMS et appels frauduleux. Les signalements alimentent une base de données partagée entre opérateurs qui bloquent les numéros identifiés. En 2025, plus d'un million de signalements ont été traités.
  • Le filtre anti-arnaque : annoncé par le gouvernement français dans le cadre de la loi SREN (Sécuriser et Réguler l'Espace Numérique), ce dispositif permet aux navigateurs et aux opérateurs de bloquer l'accès aux sites de phishing identifiés par les autorités. Il fonctionne par liste noire DNS, alimentée par les signalements Pharos et les analyses de Cybermalveillance.gouv.fr.
  • L'obligation d'enregistrement des SIM : depuis 2021, l'achat de cartes SIM prépayées en France nécessite une pièce d'identité. Mais cette mesure est contournée par l'utilisation de SIM farms avec des cartes activées à l'étranger.
  • Cybermalveillance.gouv.fr publie régulièrement des alertes sur les campagnes de smishing en cours, avec des captures d'écran des SMS frauduleux et des URL à éviter. Le site a enregistré une hausse de 30 % des consultations en 2025, signe de l'ampleur du phénomène.

La menace émergente : le phishing par RCS

Le RCS (Rich Communication Services), le successeur du SMS adopté par Google Messages et progressivement par Apple, permet d'envoyer des messages enrichis (images, boutons, cartes interactives). Pour les entreprises légitimes, c'est un canal de communication amélioré - mais aussi un vecteur que les assureurs cyber surveillent. Pour les attaquants, c'est un nouveau terrain de jeu : les messages RCS peuvent contenir des boutons d'action qui masquent l'URL de destination, rendant le phishing plus difficile à détecter que dans un SMS classique où l'URL est visible en clair.

Comment se protéger du smishing

  • Règle d'or : aucun organisme officiel français (Ameli, impôts, ANTAI) ne demande de paiement ou d'informations personnelles par SMS.
  • Vérifier le numéro expéditeur : un SMS provenant d'un 06, 07 ou +33 6/7 qui prétend être la Sécurité Sociale ou un transporteur est frauduleux. Les organismes officiels utilisent des numéros courts (5 chiffres).
  • Ne jamais cliquer sur un lien dans un SMS inattendu : accéder directement au service via l'application officielle ou en tapant l'URL dans le navigateur.
  • Signaler au 33700 : transférer le SMS frauduleux par SMS au 33700 ou sur la plateforme 33700.fr.
  • Former les employés au smishing : les simulations de phishing doivent inclure des scénarios SMS, surtout dans les secteurs où les employés utilisent des smartphones professionnels. Pour structurer un programme complet : formation cybersécurité vs simulation de phishing.

Phishing généré par IA : la fin des fautes d'orthographe

Ce qui a changé avec les modèles de langage

Pendant des années, le principal conseil de sécurité était : « Méfiez-vous des emails avec des fautes d'orthographe. » Ce conseil est obsolète.

Les modèles de langage permettent de générer des emails de phishing grammaticalement parfaits, stylistiquement adaptés au contexte, et personnalisés à l'échelle industrielle. Un attaquant peut produire en quelques minutes un email qui :

  • Utilise le ton et le vocabulaire de l'entreprise ciblée (extrait du site web, de LinkedIn, de communications publiques).
  • Référence des projets réels, des collègues réels, des dates réelles.
  • Est rédigé dans un français impeccable : ou dans n'importe quelle autre langue, avec les nuances culturelles appropriées.

Les études confirment l'efficacité de ces attaques : selon une recherche académique publiée en 2024, les emails de phishing générés par IA atteignent un taux de clic de 54 %, contre 12 % pour les emails témoins traditionnels. Le taux de soumission d'identifiants passe de 7,5 % pour le phishing classique à 33,6 % pour le phishing généré par IA.

L'industrialisation du phishing

L'IA n'a pas seulement amélioré la qualité du phishing : elle a effondré son coût et son temps de production :

  • Le temps nécessaire pour créer une campagne de phishing convaincante est passé de 16 heures à 5 minutes grâce aux modèles de langage.
  • Les attaquants économisent 95 % des coûts de campagne en utilisant des LLM.
  • Des outils comme SpamGPT, WormGPT, EscapeGPT et FraudGPT, vendus sur les forums underground, automatisent la génération de leurres et le contournement des filtres anti-spam.
  • Une campagne de phishing complète peut être lancée pour moins de 75 dollars via les plateformes de Phishing-as-a-Service.

Le rapport ENISA Threat Landscape 2025 note que le phishing est désormais « industrialisé à travers des plateformes de Phishing-as-a-Service (PhaaS), permettant à des opérateurs de tous niveaux de compétence de lancer des campagnes complexes ».

Le cas UTA0388 : phishing multilingue par un groupe étatique

Depuis juin 2025, la société de sécurité Volexity suit un groupe d'attaquants aligné avec la Chine, désigné UTA0388, qui utilise des modèles de langage, dont ChatGPT d'OpenAI, pour améliorer ses opérations de phishing ciblant des organisations en Amérique du Nord, en Asie et en Europe. Les comptes compromis étaient utilisés pour générer des modèles de phishing soignés en anglais, en chinois et en japonais, avec des nuances culturelles adaptées à chaque cible.

Le phishing IA en France : la barrière linguistique a disparu

Jusqu'en 2023, la langue française offrait une protection relative contre le phishing de masse. Les campagnes internationales étaient souvent rédigées dans un français approximatif : traductions automatiques maladroites, tournures anglicisées, erreurs de genre grammatical. Un francophone natif repérait ces anomalies en quelques secondes - d'autres indices restent fiables, comme nous l'expliquons dans notre guide pour reconnaître un email frauduleux.

Cette barrière a volé en éclats. Les modèles de langage actuels produisent un français impeccable, avec les nuances culturelles appropriées : vouvoiement professionnel, formules de politesse françaises (« Veuillez agréer… »), références aux organismes français (URSSAF, DGFIP, Ameli), et même les abréviations et acronymes spécifiques au contexte administratif français.

Le rapport CESIN 2025 note que 60 % des entreprises françaises considèrent le phishing comme le vecteur d'attaque le plus fréquent, et que la qualité linguistique des tentatives s'est « considérablement améliorée ». Les responsables sécurité interrogés soulignent que les emails de phishing récents sont souvent indiscernables des communications internes légitimes : même pour des professionnels de la sécurité.

Un facteur aggravant spécifique à la France : les multiples fuites de données massives de 2024-2025 (France Travail avec 43 millions de dossiers, Viamedis/Almerys avec 33 millions de numéros de Sécurité Sociale, Free avec 19 millions de comptes) fournissent aux attaquants les données de personnalisation nécessaires pour des campagnes de spear phishing ciblées. Un email de phishing qui mentionne votre numéro de Sécurité Sociale, votre adresse et votre employeur est autrement plus convaincant qu'un message générique.

Comment la formation doit évoluer

L'arrivée du phishing par IA rend les formations classiques (« repérez les fautes d'orthographe ») contre-productives : elles donnent un faux sentiment de sécurité. C'est pourquoi le e-learning cybersécurité seul ne suffit plus. Les programmes de sensibilisation doivent désormais :

Pour une approche complète de la formation cyber en PME : Guide de la formation cybersécurité pour les PME.

  • Enseigner la vérification systématique : tout email demandant une action financière, un changement de RIB ou la saisie d'identifiants doit être vérifié par un second canal, indépendamment de sa qualité rédactionnelle.
  • Utiliser des simulations réalistes qui intègrent des emails générés par IA, sans fautes, personnalisés avec le contexte de l'entreprise.
  • Développer le réflexe de signalement plutôt que la seule capacité de détection. Le Verizon DBIR 2025 montre que les organisations qui forment régulièrement leurs équipes constatent une amélioration de 4x du taux de signalement des emails suspects.
  • Intégrer la dimension psychologique : les attaques modernes exploitent des biais cognitifs documentés. Consultez notre analyse de la psychologie du phishing pour comprendre pourquoi les employés cliquent malgré la formation.

Pour mettre en place des simulations adaptées à ces nouvelles menaces : Guide complet de la simulation de phishing en entreprise.

MFA fatigue et attaques de contournement

Le bombing de notifications

L'authentification multifacteur (MFA) est l'une des mesures de sécurité les plus efficaces, mais elle n'est pas infaillible. L'attaque par MFA fatigue (ou MFA bombing, ou push notification bombing) consiste à bombarder un utilisateur de demandes d'approbation MFA jusqu'à ce qu'il en accepte une par lassitude, par erreur ou par confusion.

Le principe est simple : l'attaquant dispose déjà des identifiants de la victime (achetés sur le dark web, volés par phishing ou par infostealer). Il tente de se connecter au compte, ce qui déclenche une notification push MFA sur le téléphone de la victime. Il répète l'opération des dizaines de fois, parfois pendant plus d'une heure, jusqu'à ce que la victime, excédée par les notifications incessantes, appuie sur « Approuver » pour les faire cesser.

L'affaire Uber (septembre 2022)

Le cas le plus documenté reste la brèche Uber de septembre 2022. Un attaquant affilié au groupe Lapsus$ a acheté les identifiants d'un sous-traitant d'Uber sur le dark web. La tentative de connexion a été bloquée par le MFA. L'attaquant a alors :

  1. Bombardé le sous-traitant de notifications push MFA pendant plus d'une heure.
  2. Contacté la victime sur WhatsApp en se faisant passer pour le service informatique d'Uber, expliquant que « le seul moyen d'arrêter les notifications est d'en accepter une ».
  3. Le sous-traitant a accepté. L'attaquant a obtenu l'accès au réseau interne d'Uber.
  4. Il a scanné le réseau et trouvé un script PowerShell contenant des identifiants administrateur en clair : donnant accès à DUO, OneLogin, AWS, GSuite et aux rapports de bug bounty d'Uber.

L'attaquant avait 18 ans. La FTC (Federal Trade Commission) a inclus cette brèche dans des actions réglementaires contre Uber, et l'incident a coûté plusieurs millions de dollars en investigation, remédiation et réponse réglementaire.

Une étude Microsoft montre que 1 % des utilisateurs acceptent une demande d'approbation MFA dès la première tentative : ce qui suffit à compromettre un réseau entier.

L'attaque Adversary-in-the-Middle (AiTM)

Plus sophistiquée que le MFA bombing, l'attaque AiTM intercepte la session d'authentification en temps réel. L'attaquant positionne un serveur proxy entre la victime et le service légitime (Microsoft 365, Google Workspace). La victime saisit ses identifiants et valide le MFA normalement, mais c'est le proxy de l'attaquant qui reçoit le jeton de session. L'attaquant peut alors utiliser ce jeton pour accéder au compte sans avoir besoin de refaire le MFA.

Le Verizon DBIR 2025 documente une progression des méthodes de contournement du MFA, incluant le vol de jetons, le MFA bombing et les techniques AiTM. Le rapport note que les méthodes MFA « classiques », codes SMS, notifications push, codes OTP, sont désormais contournables à grande échelle.

Mesures de protection

  • Passer au MFA résistant au phishing : les clés FIDO2/WebAuthn (YubiKey, Google Titan) et les passkeys ne sont pas vulnérables au bombing ni à l'AiTM.
  • Limiter les tentatives MFA : configurer un seuil maximal de notifications push (par exemple, 3 tentatives en 10 minutes) avec alerte automatique au SOC ou à l'administrateur.
  • Number matching : au lieu d'un simple bouton « Approuver/Refuser », demander à l'utilisateur de saisir un code affiché sur l'écran de connexion : ce qui empêche l'approbation « aveugle ».
  • Former les équipes : expliquer que recevoir des notifications MFA non sollicitées est le signe d'une attaque en cours, et qu'il faut les refuser et signaler immédiatement. Que faire en cas de compromission détaille la procédure.

Browser-in-the-Browser (BitB) : la fausse fenêtre parfaite

Comment ça fonctionne

L'attaque Browser-in-the-Browser, documentée pour la première fois par le chercheur en sécurité mr.d0x en 2022, exploite l'habitude des utilisateurs de s'authentifier via des fenêtres pop-up (« Se connecter avec Google », « Se connecter avec Microsoft », « Se connecter avec Facebook »).

L'attaquant crée, avec du HTML, du CSS et du JavaScript, une fausse fenêtre de navigateur à l'intérieur de la page web. Cette fenêtre simule parfaitement l'apparence d'un pop-up de connexion légitime : barre d'adresse avec une URL crédible (https://accounts.google.com/...), cadenas SSL vert, boutons de la fenêtre, icône du site.

La victime voit ce qui ressemble à une vraie fenêtre de connexion Google ou Microsoft, avec la bonne URL dans la barre d'adresse. Elle saisit ses identifiants. Sauf que la « barre d'adresse » n'est qu'une image ou un élément HTML stylisé : elle ne peut pas être modifiée, et l'URL affichée est fausse.

Pourquoi c'est redoutable

La détection est extrêmement difficile pour un utilisateur non averti :

  • L'URL affichée dans la fausse barre d'adresse semble légitime.
  • Le cadenas SSL est visible.
  • L'apparence est identique à une vraie fenêtre de connexion.
  • La seule différence visible : la fenêtre ne peut pas être déplacée en dehors du navigateur, et le gestionnaire de mots de passe ne se déclenche pas (puisque le domaine réel est celui de l'attaquant).

Exemples réels

Steam / Counter-Strike 2 (mars 2025) Des chercheurs de Silent Push ont identifié une campagne de phishing ciblant les joueurs de Counter-Strike 2, fans de l'équipe esports Navi (Natus Vincere). Les victimes étaient attirées par des promesses de skins gratuits via des vidéos YouTube et des publications sur les réseaux sociaux. Le site de phishing présentait une fausse fenêtre de connexion Steam avec un faux cadenas SSL et un champ URL imitant store.steampowered.com. L'opération semble provenir d'acteurs basés en Chine.

Des campagnes similaires en 2022 avaient conduit au vol de comptes Steam d'une valeur pouvant atteindre 300 000 dollars.

Microsoft 365 via Sneaky2FA (2025) Sneaky2FA, une plateforme de Phishing-as-a-Service, a intégré la technique BitB dans ses kits de phishing. Les fausses fenêtres de connexion Microsoft 365 sont quasi indiscernables des vraies. La plateforme Raccoon0365 a suivi avec l'ajout d'un « BITB mini-panel » dans sa gamme de services.

Ministères et sites gouvernementaux CTM360 a observé des campagnes utilisant le BitB pour cibler des ministères de l'Intérieur dans plusieurs pays. Les victimes accédant au site compromis étaient confrontées à un affichage plein écran d'une fausse interface navigateur, les incitant à saisir leurs identifiants gouvernementaux.

Comment détecter une attaque BitB

  • Tenter de déplacer la fenêtre : une vraie fenêtre pop-up peut être déplacée en dehors de la fenêtre du navigateur. Une fausse fenêtre BitB reste confinée à l'intérieur de la page.
  • Vérifier le gestionnaire de mots de passe : si votre gestionnaire de mots de passe (Bitwarden, 1Password, LastPass) ne propose pas de remplir automatiquement les identifiants, c'est suspect : il détecte que le domaine réel ne correspond pas à l'URL affichée.
  • Essayer de modifier l'URL : dans une vraie fenêtre, vous pouvez cliquer dans la barre d'adresse et modifier l'URL. Dans un BitB, la « barre d'adresse » ne réagit pas aux clics.
  • Adopter les passkeys/WebAuthn : comme pour le MFA fatigue, les méthodes d'authentification résistantes au phishing (FIDO2, passkeys) sont immunisées contre les attaques BitB.

Tableau récapitulatif : les nouvelles formes de phishing comparées

VecteurDifficulté de détectionPrévalence en France (2025-2026)Exemples françaisPrincipales protections
Quishing (QR code)Élevée, invisible pour les scanners emailEn forte hausse, QR omniprésents post-CovidFaux parcmètres, fausses amendes ANTAI, QR dans PDF de facturationVérifier l'URL après scan, ne pas scanner les QR email, simuler en formation
Vishing deepfakeTrès élevée, voix indiscernable du réelÉmergente, cas documentés surtout hors FranceFraude au président, arnaque au faux banquierDouble validation des virements, code verbal, rappel sur numéro vérifié
SmishingMoyenne, SMS courts, urgents, exploitent la confianceMassive, 1M+ signalements/an via 33700Ameli, Chronopost, CPF, ANTAI, péagesNe jamais cliquer, vérifier via l'app officielle, signaler au 33700
Phishing IATrès élevée, aucune faute, personnalisation pousséeDominante, 56 % du volume détecté fin 2025Emails ciblant les DAF français, faux fournisseursVérification par second canal, simulations IA, signalement systématique
MFA fatigueMoyenne, les notifications non sollicitées sont un signalCroissante, facilitée par les fuites d'identifiantsComptes Microsoft 365, VPN d'entrepriseFIDO2/passkeys, limitation des tentatives, number matching
BitB (Browser-in-Browser)Élevée, visuellement identique à un vrai pop-upCroissante, intégrée dans les kits PhaaSCibles Steam, Microsoft 365, services gouvernementauxDéplacer la fenêtre, vérifier le gestionnaire de mots de passe, passkeys

Comment protéger votre entreprise contre ces nouvelles menaces

Les défenses classiques, antivirus, filtre anti-spam, firewall, restent utiles mais insuffisantes face aux vecteurs décrits dans cet article. Le phishing par IA contourne les filtres parce qu'il n'a pas les marqueurs traditionnels (domaines blacklistés, pièces jointes malveillantes, patterns textuels connus). Le quishing contourne les scanners email parce que le QR code est une image. Le vishing contourne tout le périmètre numérique parce qu'il passe par le téléphone.

La protection efficace repose sur une approche multicouche.

Couche 1 : la formation continue des employés

C'est la couche de défense qui couvre tous les vecteurs. Un employé formé reconnaît le principe de l'attaque même s'il n'en reconnaît pas la forme. Il sait qu'un email urgent demandant un virement doit être vérifié par téléphone, qu'un QR code dans un email est suspect, qu'un appel demandant des identifiants est anormal.

Les simulations de phishing doivent évoluer pour intégrer les nouveaux vecteurs :

  • Emails générés par IA (sans fautes, personnalisés)
  • QR codes renvoyant vers des pages de connexion factices
  • Scénarios de vishing avec prétextes réalistes
  • SMS imitant des services français (Ameli, La Poste)

Les données montrent que les organisations qui mènent des formations régulières réduisent le taux de clic sur le phishing de 20-35 % à moins de 5 % en 12 mois, et multiplient par 4 le taux de signalement. Consultez les benchmarks détaillés par secteur pour situer votre organisation. Lancer une campagne de simulation multi-canal.

Couche 2 : l'authentification résistante au phishing

Le MFA classique (SMS, push notification, OTP) protège contre les attaques brutes mais pas contre le MFA bombing, l'AiTM ou le BitB. Le passage aux méthodes résistantes au phishing, passkeys, FIDO2/WebAuthn, clés de sécurité matérielles, neutralise la majorité des vecteurs décrits dans cet article.

Couche 3 : les procédures de validation

Aucune technologie ne remplacera une procédure de double validation pour les actions sensibles :

  • Tout changement de RIB vérifié par appel sur le numéro habituel du fournisseur.
  • Tout virement supérieur à un seuil défini validé par deux personnes.
  • Tout accès administrateur demandé par téléphone vérifié par un second canal.

Couche 4 : la détection et la réponse

Les outils de détection évoluent aussi : EDR avec analyse comportementale, SIEM avec corrélation d'événements, solutions de détection des deepfakes en temps réel (encore émergentes). Pour une PME, l'essentiel est de disposer d'une capacité de réponse : savoir qui appeler, comment isoler un compte compromis, comment notifier les personnes concernées.

Plan d'action en 90 jours pour une PME

Pour les entreprises qui partent de zéro ou qui n'ont pas encore intégré les nouveaux vecteurs dans leur programme de sécurité, voici un plan d'action réaliste.

Jours 1-30 : évaluation et fondations

  • Réaliser un audit de la posture MFA : quels comptes sont protégés, avec quelle méthode ? Les comptes critiques (administrateurs, finance, direction) utilisent-ils encore le SMS ou les notifications push simples ?
  • Inventorier les accès BYOD : combien d'employés accèdent à la messagerie professionnelle depuis leur smartphone personnel ? Un MDM est-il en place ?
  • Lancer une première campagne de simulation de phishing pour établir le taux de clic de référence. Inclure au moins un scénario par email classique et un par QR code.
  • Mettre en place la procédure de double validation pour les virements : définir le seuil (par exemple 5 000 euros), les canaux de confirmation, et les personnes autorisées.

Jours 31-60 : déploiement des protections

  • Migrer les comptes critiques vers un MFA résistant au phishing (passkeys ou clés FIDO2). Commencer par la direction, la finance et les administrateurs IT.
  • Activer le number matching sur les comptes Microsoft 365 ou Google Workspace (disponible nativement dans Authenticator et les alternatives).
  • Limiter le nombre de tentatives MFA push à 3 par tranche de 10 minutes, avec alerte automatique.
  • Former les équipes financières aux deepfakes vocaux : présenter les cas Arup et Ferrari, expliquer la procédure de rappel sur numéro vérifié, instaurer un code verbal hebdomadaire pour les demandes sensibles par téléphone.

Jours 61-90 : formation continue et test

  • Lancer la deuxième campagne de simulation, cette fois avec des scénarios plus variés : email IA (sans fautes, personnalisé), QR code dans un PDF, SMS imitant Chronopost ou Ameli.
  • Mesurer l'amélioration du taux de clic et du taux de signalement par rapport à la première campagne.
  • Établir un calendrier de simulations trimestrielles avec rotation des vecteurs (email, QR code, SMS, prétexte vocal).
  • Documenter les procédures de réponse aux incidents : qui contacter en cas de compromission de compte, comment révoquer un jeton de session, comment notifier la CNIL si des données personnelles sont exposées. Pour un guide pas à pas : Que faire en cas de phishing.

Le coût de ce programme est modeste comparé au risque : une simulation de phishing coûte entre 2 et 5 euros par employé et par mois, une clé FIDO2 coûte 25 à 50 euros par utilisateur (investissement unique). En comparaison, le coût moyen d'une compromission de messagerie professionnelle dépasse 125 000 euros pour une PME française (Combien coûte une cyberattaque pour une PME ?).

FAQ

Qu'est-ce que le quishing et pourquoi est-ce dangereux ?

Le quishing (QR code phishing) est une attaque de phishing qui utilise des QR codes pour rediriger les victimes vers des sites malveillants. Le QR code peut être envoyé par email, intégré dans un document PDF, ou collé physiquement sur un support légitime (parcmètre, menu de restaurant, affiche). Le quishing est particulièrement dangereux parce que les QR codes sont invisibles pour les filtres anti-spam classiques : un scanner email ne voit qu'une image, pas un lien malveillant. De plus, l'attaque transfère le phishing du poste de travail protégé vers le smartphone personnel, souvent moins sécurisé. En 2025, les attaques par QR code ont augmenté de 400 % (Abnormal Security), et 89 % d'entre elles visent le vol d'identifiants (Keepnet Labs, 2026).

Comment fonctionne le vishing par deepfake vocal ?

Le vishing par deepfake vocal utilise l'intelligence artificielle pour cloner la voix d'une personne réelle, un dirigeant, un collègue, un client, à partir de quelques secondes d'enregistrement audio. L'attaquant utilise ensuite cette voix clonée en temps réel pendant un appel téléphonique ou une visioconférence pour se faire passer pour la personne imitée. Selon McAfee, 3 secondes d'audio suffisent pour créer un clone vocal avec 85 % de fidélité. En décembre 2025, Fortune rapporte que le clonage vocal a franchi le « seuil d'indiscernabilité » : les humains ne font plus la différence de manière fiable. L'incident Arup (25,6 millions de dollars perdus via une visioconférence deepfake) et la tentative contre le PDG de Ferrari illustrent la gravité de cette menace.

Les filtres anti-phishing protègent-ils contre ces nouvelles menaces ?

Les filtres anti-phishing traditionnels restent utiles mais sont de plus en plus contournés par les nouvelles menaces. Le rapport HP Wolf Security de septembre 2025 indique qu'au moins 13 % des menaces email détectées par HP Sure Click avaient contourné un ou plusieurs scanners de passerelle email. Les raisons : le phishing par IA ne contient plus les marqueurs classiques (fautes d'orthographe, domaines blacklistés), les QR codes sont traités comme de simples images par les scanners, et les kits PhaaS évoluent plus vite que les bases de signatures. La protection la plus efficace combine filtrage technique, formation des utilisateurs et procédures de validation humaine.

Comment se protéger du smishing en France ?

En France, aucun organisme officiel (Assurance Maladie/Ameli, impôts/DGFIP, ANTAI) ne demande de paiement ou d'informations personnelles par SMS. Toute demande de ce type est frauduleuse. Les transporteurs (La Poste, Chronopost) ne demandent jamais de payer des frais de livraison par SMS. Pour se protéger : ne cliquez jamais sur un lien dans un SMS inattendu ; accédez au service via l'application officielle ou en tapant l'URL dans votre navigateur ; signalez le SMS frauduleux au 33700 (par transfert du SMS) ou sur 33700.fr. En 2025, Orange a recueilli plus d'un million de signalements via le 33700, confirmant l'ampleur du phénomène en France.

Qu'est-ce qu'une attaque Browser-in-the-Browser ?

L'attaque Browser-in-the-Browser (BitB) crée une fausse fenêtre de navigateur à l'intérieur d'une page web, simulant un pop-up de connexion légitime (Google, Microsoft, Facebook, Steam). La fausse fenêtre affiche une URL crédible dans sa « barre d'adresse », mais cette barre est un élément HTML décoratif, pas une vraie barre d'adresse. L'utilisateur croit se connecter sur le site officiel et saisit ses identifiants, qui sont capturés par l'attaquant. Pour détecter un BitB : essayez de déplacer la fenêtre en dehors du navigateur (une fausse fenêtre reste confinée), vérifiez si votre gestionnaire de mots de passe se déclenche (il ne se déclenchera pas car le domaine réel est différent), et essayez de cliquer dans la barre d'adresse pour la modifier (elle ne réagira pas).

Le MFA suffit-il à protéger contre le phishing ?

Le MFA réduit considérablement le risque mais ne l'élimine pas. Les attaques par MFA fatigue (bombardement de notifications push jusqu'à ce que l'utilisateur en accepte une), les techniques Adversary-in-the-Middle (interception du jeton de session en temps réel) et le vol de jetons de session contournent les méthodes MFA classiques (SMS, push, OTP). La brèche Uber de septembre 2022, où un attaquant de 18 ans a bombardé un sous-traitant de notifications MFA pendant plus d'une heure avant de le contacter sur WhatsApp, reste le cas d'école. Pour une protection fiable, privilégiez les méthodes résistantes au phishing : clés FIDO2/WebAuthn, passkeys, ou à défaut, MFA avec number matching et limitation du nombre de tentatives.

Conclusion

Le phishing de 2026 ne ressemble plus à celui de 2020. Les QR codes malveillants, les deepfakes vocaux, les SMS piégés, les emails générés par IA et les techniques de contournement du MFA forment un arsenal qui rend les défenses classiques partiellement obsolètes.

Les chiffres parlent d'eux-mêmes : 56 % du phishing est désormais généré par IA (Hoxhunt, 2025), les attaques par QR code ont augmenté de 400 % (Abnormal Security), le vishing par deepfake a bondi de 442 % (DeepStrike), et plus d'un million de SMS frauduleux ont été signalés en France via le 33700 en 2025.

La bonne nouvelle : la sensibilisation fonctionne, même contre ces nouvelles menaces. Les employés formés régulièrement réduisent leur taux de clic sous les 5 % et multiplient par 4 leur taux de signalement. Mais la formation doit évoluer : les simulations qui se limitent à des emails « classiques » avec des fautes d'orthographe ne préparent plus aux menaces réelles.

La protection en 2026 combine des simulations réalistes intégrant quishing, smishing et phishing IA, une authentification résistante au phishing (passkeys, FIDO2) et des procédures de validation humaine pour les actions sensibles.

Le coût de l'inaction dépasse celui de la prévention, comme le montrent les chiffres détaillés dans le plan d'action ci-dessus.

Lancer votre première simulation multi-canal - email, SMS et QR code inclus. Résultats mesurables dès 90 jours.

Pour aller plus loin : guide complet de la simulation de phishing | fonctionnalités | tarifs

Articles similaires

France Travail : 43 millions de données volées - Analyse complète

Retour détaillé sur le piratage de France Travail en mars 2024 : chronologie, données volées, failles exploitées, conséquences pour les 43 millions de victimes et leçons pour les entreprises.

Fraude au président et phishing ciblé : les arnaques les plus coûteuses en France

De Pathé (19,2 M€) à Vallourec (22 M€), retour sur les cas de fraude au président les plus chers en France. Techniques, jurisprudence, et comment protéger votre entreprise du BEC.

Phishing en entreprise : statistiques 2026, exemples et solutions

91% des cyberattaques commencent par un phishing. Statistiques 2026, types d'attaques, exemples réels en France et solutions pour protéger votre PME.