Vishing : Reconnaître et Se Protéger des Attaques Téléphoniques

Qu'est-ce que le vishing ?

Le vishing — contraction de « voice » et « phishing » — est une attaque d'ingénierie sociale qui utilise le téléphone comme canal. L'attaquant appelle directement sa cible en se faisant passer pour une personne ou un organisme de confiance : le support informatique, la banque, l'administration fiscale, un collègue ou un supérieur hiérarchique.

Le vishing est souvent sous-estimé par les programmes de sensibilisation, qui se concentrent sur l'email et le SMS. C'est une erreur. L'appel téléphonique offre à l'attaquant un avantage que les autres canaux n'ont pas : la pression sociale en temps réel. Face à un interlocuteur vocal, la victime a beaucoup plus de mal à prendre du recul et à vérifier que face à un email qu'elle peut analyser à son rythme.

Les scénarios de vishing les plus fréquents

Le faux support technique

L'attaquant se fait passer pour le service informatique de l'entreprise : « Bonjour, ici le helpdesk. Nous avons détecté une activité suspecte sur votre compte. Pour sécuriser votre accès, j'ai besoin que vous me communiquiez votre mot de passe actuel afin de procéder à la réinitialisation. » Ce scénario exploite le réflexe d'obéissance à l'autorité technique. Le collaborateur transmet ses identifiants sans se méfier.

La fausse banque

« Bonjour monsieur Dupont, ici le service fraude de votre banque. Nous avons bloqué un virement suspect de 4 500 € depuis votre compte. Pour confirmer votre identité, j'ai besoin de votre numéro de carte et du code reçu par SMS. » L'attaquant déclenche simultanément une transaction frauduleuse et utilise le code MFA communiqué par la victime pour la valider.

La fausse autorité administrative

Appel au nom des impôts, de l'URSSAF ou de la CNIL : « Nous avons relevé une anomalie dans votre dossier. Si vous ne régularisez pas sous 24h, des pénalités seront appliquées. » La peur de la sanction administrative pousse à l'action immédiate.

La fraude au président par téléphone

Variante vocale de la fraude au président classique. L'attaquant appelle le DAF en se faisant passer pour le DG : « Écoutez, je suis en déplacement et je ne peux pas passer par les canaux habituels. J'ai besoin d'un virement de 95 000 € aujourd'hui pour finaliser une acquisition. C'est confidentiel — ne parlez de ça à personne. »

Le clonage vocal IA : quand votre DG vous appelle… mais que ce n'est pas lui

La révolution IA a donné aux attaquants un outil redoutable : le clonage vocal. Les technologies actuelles permettent de reproduire fidèlement une voix humaine à partir de 3 à 5 secondes d'enregistrement. Sources possibles : une interview vidéo sur YouTube, un podcast, un message vocal, ou même un extrait d'appel téléphonique antérieur.

Le résultat est saisissant. L'attaquant appelle le DAF avec la voix du DG — intonation, débit, expressions habituelles. Sans procédure de vérification (code verbal, rappel au numéro connu), la distinction est impossible à l'oreille. Cette technologie transforme le vishing en une menace de premier plan pour les entreprises dont les dirigeants ont une présence publique (vidéos, podcasts, conférences).

3 sec

Durée d'audio suffisante pour cloner une voix avec l'IA

+350%

Augmentation des arnaques par clonage vocal en 2024-2025

Comment reconnaître une attaque de vishing

Cinq signaux d'alerte doivent déclencher la méfiance lors d'un appel :

L'appelant demande des informations sensibles. Aucun service légitime — banque, IT, administration — ne demandera jamais un mot de passe, un code MFA ou des coordonnées bancaires complètes par téléphone. Jamais.

L'appelant crée de l'urgence. « Si vous ne confirmez pas maintenant, votre compte sera bloqué. » La pression temporelle est le levier le plus utilisé en vishing.

L'appelant vous demande de ne pas en parler. « C'est une opération confidentielle, ne prévenez pas vos collègues. » C'est le signal le plus fiable : une demande légitime supporte toujours la vérification.

Le numéro ne correspond pas. Méfiez-vous des appels depuis des numéros masqués, des numéros étrangers, ou des numéros mobiles quand vous attendez un appel d'un standard fixe. Attention : le spoofing de numéro permet d'afficher un faux numéro d'appelant.

L'appelant connaît des détails mais reste vague sur d'autres. Un attaquant bien préparé connaîtra votre nom, votre poste et votre projet en cours (LinkedIn), mais sera incapable de répondre à des questions spécifiques sur des processus internes non publics.

Vos équipes résisteraient-elles à un appel de vishing ?

ThinkTwice inclut des exercices de sensibilisation au vishing dans ses programmes — pour couvrir un canal que 90 % des formations ignorent.

Découvrir nos simulations

Mesures de protection contre le vishing

Règle absolue : ne jamais communiquer d'identifiants par téléphone

C'est la règle la plus simple et la plus efficace. Aucun mot de passe, aucun code MFA, aucune coordonnée bancaire ne doit être transmis par téléphone, quel que soit l'interlocuteur. Cette règle doit être rappelée régulièrement et intégrée dans la charte informatique.

Le réflexe de rappel

En cas de doute sur l'identité de l'appelant, raccrochez poliment et rappelez au numéro officiel que vous connaissez déjà (annuaire interne pour un collègue, numéro au dos de la carte pour la banque). Ne rappelez jamais au numéro qui s'est affiché pendant l'appel suspect — il peut être usurpé.

Code verbal pour les demandes sensibles

Comme pour la protection contre le whaling, établissez un code verbal confidentiel entre les personnes habilitées à autoriser des opérations sensibles (virements, accès systèmes). Ce code, changé régulièrement, est la seule défense fiable contre le clonage vocal.

Sensibilisation spécifique au canal vocal

Intégrez des modules de formation dédiés au vishing dans votre programme de sensibilisation. Les simulations peuvent inclure des exercices de mise en situation téléphonique, où un formateur appelle les collaborateurs avec un scénario de vishing pour tester leur réaction.

Questions fréquentes

Qu'est-ce que le vishing exactement ?

Le vishing (voice + phishing) est une attaque d'ingénierie sociale par téléphone. L'attaquant appelle la victime en se faisant passer pour une personne ou un organisme de confiance (support IT, banque, dirigeant) pour obtenir des informations sensibles ou déclencher une action frauduleuse.

Le clonage vocal par IA est-il vraiment indétectable ?

À l'oreille humaine, oui — les technologies actuelles reproduisent fidèlement l'intonation, le débit et les expressions. C'est pourquoi la défense ne peut pas reposer sur la reconnaissance vocale humaine, mais sur des procédures de vérification (code verbal, rappel au numéro connu).

Mon service informatique peut-il m'appeler pour me demander mon mot de passe ?

Non. Aucun service IT légitime ne demande un mot de passe par téléphone, ni par email, ni par SMS. Si quelqu'un prétendant être de l'IT vous demande votre mot de passe, raccrochez et signalez l'incident.

Comment intégrer le vishing dans mes campagnes de sensibilisation ?

Ajoutez des exercices de mise en situation téléphonique à vos simulations. Un formateur appelle les collaborateurs avec un scénario de vishing calibré (faux support IT, fausse banque) pour tester leur réaction et leur transmettre les bons réflexes.

Le téléphone : un canal sans filtre qui exige des réflexes humains

Le vishing exploite le canal le plus direct et le moins protégé techniquement. Contrairement à l'email, il n'y a pas de filtre anti-spam, pas de temps de réflexion, pas de possibilité de survoler un lien. La seule défense est humaine : des collaborateurs formés à ne jamais communiquer d'informations sensibles par téléphone, à raccrocher et rappeler au numéro connu, et à signaler tout appel suspect. À l'ère du clonage vocal, ces réflexes ne sont plus optionnels.

Couvrez le vishing dans votre stratégie de sensibilisation

ThinkTwice intègre email, SMS, QR code et exercices de vishing dans un programme de sensibilisation complet — conforme NIS2.

Réserver une démo gratuite