Comment fonctionne le vishing
Le vishing exploite un avantage fondamental du canal téléphonique : la voix crée un lien de confiance immédiat. Un email peut être relu, analysé, comparé. Un appel téléphonique exerce une pression en temps réel.
Les scénarios classiques
L’arnaque au faux support Microsoft : l’attaquant appelle en se faisant passer pour le support technique de Microsoft. “Votre ordinateur envoie des alertes de sécurité, nous devons intervenir immédiatement.” Il demande d’installer un logiciel d’accès à distance (AnyDesk, TeamViewer) et prend le contrôle du poste.
L’arnaque au faux banquier : l’attaquant se présente comme le service fraude de votre banque. “Nous avons détecté des opérations suspectes sur votre compte professionnel.” Il vous demande de “confirmer votre identité” en communiquant un code reçu par SMS — en réalité, le code de validation d’un virement frauduleux qu’il a initié.
Le faux fournisseur : l’attaquant appelle le service comptabilité en se faisant passer pour un fournisseur. “Notre RIB a changé, pouvez-vous mettre à jour vos références avant le prochain règlement ?” L’appel téléphonique rend la demande plus crédible qu’un email.
La fraude au président par téléphone : combiné avec un email de spear phishing, un appel renforce le scénario de fraude au président. L’email arrive d’abord, puis un appel “du PDG” confirme la demande urgente.
Le spoofing de numéro
La technique la plus redoutable du vishing est le caller ID spoofing : l’attaquant falsifie le numéro affiché sur votre téléphone. Vous voyez le numéro officiel de votre banque (celui imprimé au dos de votre carte), mais c’est un attaquant qui appelle.
En France, l’ARCEP a mis en place le MCA (Mécanisme de Coupure des Appels) en 2023 pour authentifier les numéros de téléphone et couper les appels spoofés. Le dispositif couvre les numéros fixes mais reste imparfait pour les mobiles.
Deepfakes vocaux : la nouvelle dimension
L’IA générative a transformé le vishing. En 2026, cloner une voix nécessite :
- 3 à 5 secondes d’audio d’origine (un message vocal, un extrait de podcast, une vidéo LinkedIn)
- Quelques minutes de génération avec des outils accessibles
- Zéro expertise technique — des services en ligne proposent le clonage vocal
Cas documentés
Arup (2024) : un employé du bureau de Hong Kong a transféré 25 millions de dollars après une visioconférence avec des deepfakes de plusieurs collègues et du directeur financier. L’ensemble de l’appel vidéo était généré par IA.
PDG d’une entreprise britannique (2019) : un des premiers cas publics. Un employé a transféré 220 000 € après un appel du “PDG” dont la voix était générée par IA. L’employé a reconnu l’accent, le rythme de parole et les intonations de son patron.
Ces cas préfigurent ce qui va arriver de plus en plus fréquemment dans les PME françaises : un appel du “directeur” avec sa vraie voix demandant un virement urgent.
Les cibles en entreprise
Le vishing cible des profils spécifiques :
| Cible | Scénario typique | Objectif |
|---|---|---|
| Comptabilité / DAF | Faux banquier, faux fournisseur | Virement frauduleux |
| Assistants de direction | Faux PDG en déplacement | Accès aux infos, virement |
| IT / Helpdesk | Faux employé qui a “oublié son mot de passe” | Reset d’identifiants |
| RH | Faux candidat, faux organisme de formation | Données personnelles |
| Standardiste / Accueil | Prétexte pour obtenir des informations internes | Reconnaissance |
Comment protéger votre entreprise
Procédures de vérification
La règle d’or contre le vishing : ne jamais agir sur la base d’un seul canal de communication.
- Appel entrant demandant un virement ? Raccrochez et rappelez au numéro officiel connu (pas celui donné par l’appelant)
- Appel du “PDG” demandant un virement urgent ? Procédure d’escalade obligatoire : vérifier par un deuxième canal (email interne, SMS, chat d’entreprise)
- Support technique qui vous demande d’installer un logiciel ? Votre vrai prestataire IT ne vous appellera jamais sans que vous l’ayez sollicité
Sensibilisation spécifique
Les simulations de phishing par email sont courantes. Les simulations de vishing le sont beaucoup moins, mais tout aussi nécessaires :
- Campagnes de test : appeler les employés les plus exposés (comptabilité, assistants, accueil) avec un scénario de vishing pour mesurer la réaction
- Formation sur les deepfakes : montrer des exemples concrets de voix clonées pour que les employés comprennent que “reconnaître la voix” ne suffit plus
- Phrase de vérification : certaines entreprises mettent en place un mot de passe oral convenu avec les dirigeants pour valider les demandes sensibles par téléphone
Protection technique
- Blocage d’appels : activer les filtres anti-spam téléphonique proposés par les opérateurs
- Enregistrement : informer les interlocuteurs que les appels peuvent être enregistrés (dissuasion)
- Numéro dédié : ne pas diffuser publiquement les lignes directes des fonctions sensibles (DAF, comptabilité)
Vishing combiné : la tendance 2026
Le vishing est rarement isolé. Les attaques les plus efficaces combinent plusieurs canaux :
- Email de phishing → installe le contexte (“veuillez prendre connaissance de la facture jointe”)
- Appel téléphonique → renforce la crédibilité (“je vous appelle suite à l’email que je vous ai envoyé”)
- SMS de confirmation → ferme la boucle (“voici le code de validation”)
Cette approche multi-canal rend chaque interaction plus crédible que la précédente. La protection passe par une sensibilisation qui couvre tous les canaux, pas seulement l’email.
Questions fréquentes
Qu'est-ce que le vishing ?
Le vishing (contraction de voice et phishing) est une escroquerie par téléphone. L'attaquant appelle sa victime en se faisant passer pour un interlocuteur de confiance — banque, support technique Microsoft, fournisseur, collègue — pour obtenir des mots de passe, des codes d'accès, des informations bancaires ou provoquer un virement.
Comment reconnaître un appel de vishing ?
Signaux d'alerte : l'appelant crée un sentiment d'urgence ('votre compte est compromis'), vous demande un code reçu par SMS, vous demande d'installer un logiciel d'accès à distance, vous presse de ne pas raccrocher pour vérifier, ou le numéro affiché semble légitime mais l'interlocuteur n'est pas au courant de vos vrais échanges avec cette organisation.
Qu'est-ce que le spoofing de numéro de téléphone ?
Le spoofing permet à l'attaquant d'afficher un faux numéro sur votre téléphone. Vous voyez le numéro officiel de votre banque ou de votre fournisseur, mais c'est en réalité l'attaquant qui appelle. En France, la loi MCA (Mécanisme de Coupure des Appels) entrée en vigueur en 2023 vise à lutter contre ce phénomène, mais il reste techniquement possible.
Les deepfakes vocaux sont-ils une vraie menace pour les entreprises ?
Oui. En 2024, un employé de la multinationale Arup a transféré 25 millions de dollars après un appel vidéo deepfake avec de faux collègues. La technologie actuelle permet de cloner une voix à partir de 3 secondes d'audio. Un message vocal du PDG sur LinkedIn ou un extrait de podcast suffit.