2 juillet 2026 • Cybersécurité
La plupart des gens ont été formés, ou du moins mis en garde, pour se méfier des e-mails demandant des mots de passe, des coordonnées bancaires ou une action urgente. Les cybercriminels le savent bien. C’est en partie pour cette raison que le « vishing » a gagné en popularité : cette technique utilise le téléphone plutôt que l’e-mail pour manipuler les victimes, en tirant parti de la confiance et de la pression en temps réel qu’engendre une conversation en direct. Comprendre ce qu’est le « vishing », comment il fonctionne et pourquoi il est efficace constitue la première étape pour rendre vos collaborateurs capables d’y résister.
Signification du terme « vishing » : que signifie ce terme ?
Le terme « vishing » est un mot-valise formé à partir des mots « voice » (voix) et «phishing » (hameçonnage). Il désigne les attaques d'ingénierie sociale menées par téléphone, que ce soit par le biais d'un appel traditionnel, d'un appel VoIP ou, de plus en plus souvent, de messages vocaux générés par l'IA, dans le but d'amener la victime à révéler des informations sensibles, à effectuer un virement bancaire ou à accorder l'accès à des systèmes.
Le principe du « vishing » est fondamentalement le même que celui du « phishing » : amener quelqu’un, par la ruse, à faire quelque chose qu’il ne ferait pas s’il comprenait ce qui se passe réellement. La différence réside dans le canal utilisé. Alors que le « phishing » utilise l’e-mail et que le « smishing » utilise les SMS, le « vishing » utilise la voix, et celle-ci confère une apparence de légitimité que le texte ne possède pas.
Un interlocuteur qui semble sûr de lui, utilise la terminologie appropriée et présente un scénario plausible (un contrôle de sécurité bancaire, un appel au service d'assistance informatique, un fournisseur confirmant les détails d'un paiement) peut convaincre des employés qui auraient pourtant repéré en quelques secondes la même demande s'il s'était agi d'un e-mail.
Comment fonctionne une attaque par « vishing » ?
Les attaques par « vishing » sont rarement aléatoires. En général, les pirates effectuent des recherches sur leur cible avant de l'appeler, en utilisant LinkedIn, les sites web des entreprises, des données issues de failles de sécurité antérieures ou des informations recueillies lors de précédentes tentatives de hameçonnage. Plus un pirate en sait sur la cible et son organisation, plus l'appel peut s'avérer convaincant.
Un scénario typique de « vishing » suit un schéma bien connu :
- Usurpation d'identité. L'appelant se fait passer pour une personne en qui la victime a des raisons d'avoir confiance : un employé de banque, un technicien du support informatique, un agent du fisc, un supérieur hiérarchique ou un fournisseur.
- Urgence ou autorité. L'appelant met la pression, en invoquant un problème qui doit être résolu immédiatement, ou en faisant valoir son autorité (« votre responsable m'a demandé de vous appeler »). Cela court-circuite l'instinct de la personne visée, qui serait normalement de prendre le temps de réfléchir et de vérifier les faits.
- Demande. L'appelant demande quelque chose : un mot de passe, un code à usage unique, la confirmation de coordonnées bancaires, l'accès à un système ou un virement bancaire.
- Fin de l'appel. Une fois l'information obtenue ou l'action effectuée, l'appel prend fin rapidement. Le temps que la victime se rende compte que quelque chose n'allait pas, le mal est déjà fait.
Le « vishing » fonctionne parce qu’il est difficile d’appliquer, lors d’une conversation téléphonique en direct, les mêmes filtres de vigilance que ceux que l’on utiliserait en lisant un e-mail suspect. La pression sociale liée à une interaction en temps réel prend le pas sur la prudence, et c’est précisément là-dessus que misent les pirates.
Vishing, phishing et smishing : quelle est la différence ?
Le « vishing » fait partie des différentes techniques d'ingénierie sociale basées sur la voix et les messages. Comprendre en quoi elles diffèrent permet aux organisations de former leurs collaborateurs à les reconnaître.
| Technique | Chaîne | Situation courante | Pourquoi ça marche ? |
|---|---|---|---|
| Phishing | Fausse page de connexion, alerte urgente concernant votre compte | Volume et illusion d'optique | |
| Vishing | Téléphone / voix | Faux appel bancaire, usurpation d'identité du service d'assistance informatique | Pression en temps réel, autorité vocale |
| Smishing | SMS / application de messagerie | Faux avis de livraison, lien de paiement | Contexte mobile, format concis, liens qui s'intègrent naturellement |
| Spear phishing | E-mail (ciblé) | E-mail personnalisé à partir d'informations connues | La spécificité : elle semble légitime, car elle vous connaît |
Dans la pratique, ces techniques sont souvent combinées. Un pirate peut commencer par envoyer un e-mail de hameçonnage, puis enchaîner avec un appel de « vishing » en se faisant passer pour un membre du service informatique et en évoquant l'e-mail que la cible vient de recevoir. Chaque canal renforce la crédibilité de l'autre.
Le « vishing » dans la pratique : des scénarios typiques
Les attaques par « vishing » ne sont pas des menaces abstraites. Il s'agit de situations auxquelles les organisations, y compris les entreprises néerlandaises, sont régulièrement confrontées :
- L'appel au service d'assistance informatique. Un interlocuteur prétend appartenir au service d'assistance informatique interne, signale une activité suspecte sur le compte de l'employé et lui demande de confirmer son mot de passe ou d'installer un outil d'accès à distance « pour résoudre le problème ».
- L'appel de sécurité bancaire. Un interlocuteur se faisant passer pour un membre du service de lutte contre la fraude avertit que le compte bancaire de l'entreprise a été piraté et demande à la victime de confirmer les coordonnées bancaires ou d'autoriser un « virement test ».
- L'appel du PDG ou du directeur financier. Également appelé « fraude au PDG » ou « BEC » (Business Email Compromise), ce type d'escroquerie consiste pour un appelant à se faire passer pour un cadre supérieur et à faire pression sur un employé du service financier pour qu'il effectue un virement bancaire urgent, souvent un vendredi après-midi.
- L'appel de confirmation du fournisseur. Un interlocuteur prétend appartenir à un fournisseur connu et demande à mettre à jour les coordonnées bancaires en vue des futurs paiements, afin de rediriger ces derniers vers un compte contrôlé par un pirate.
- L'appel « deepfake » généré par l'IA. Grâce à la technologie de clonage vocal par IA, les pirates peuvent désormais usurper l'identité de véritables collègues ou dirigeants avec une précision saisissante. Les employés reçoivent un appel dont la voix ressemble à s'y méprendre à celle de leur responsable, leur demandant leurs identifiants de connexion ou l'approbation urgente d'un paiement.
Comment les formations de sensibilisation à la sécurité permettent de se prémunir contre le vishing
Les mesures techniques ne suffisent pas à mettre fin au vishing. Les filtres anti-spam, les pare-feu et les outils de sécurité des terminaux ne servent à rien lorsqu’un pirate décroche le téléphone. La seule défense efficace réside dans un personnel capable de reconnaître les tactiques de manipulation et sachant comment réagir dès qu’il sent que quelque chose cloche.
Cela passe par la formation : non pas une présentation ponctuelle, mais une pratique régulière qui permet d’ancrer des habitudes. Une formation efficace à la sensibilisation à la sécurité contre le vishing aborde plusieurs aspects :
- Reconnaître les signaux d'alerte. L'urgence, l'autorité, les demandes inhabituelles, les demandes visant à contourner les procédures habituelles. Les employés capables d'identifier ces schémas sont plus réticents à s'y plier.
- Le droit de vérifier. Les employés doivent savoir qu’il est toujours acceptable de répondre : « Je vous rappellerai au numéro que j’ai dans mes dossiers », même si leur interlocuteur est le PDG. Pour ancrer cette habitude, il faut obtenir l’autorisation explicite de la direction et la renforcer par le biais de formations.
- Que faire ensuite ? Si un collaborateur soupçonne avoir été la cible d'un appel de « vishing », ou pire encore, s'il a cédé à une telle tentative, il doit disposer d'une procédure claire pour signaler l'incident. Le signalement doit être considéré comme une pratique normale, et non comme un motif de stigmatisation.
- S'adapter à l'évolution des tactiques. Le clonage vocal par IA, les deepfakes et les attaques de plus en plus personnalisées font que le paysage des menaces évolue rapidement. La formation doit suivre le rythme, c'est pourquoi des sessions courtes et fréquentes sont plus efficaces que des formations de remise à niveau annuelles.
Protégez votre équipe dès aujourd’hui
Les cybercriminels sont à l'œuvre. Votre équipe est-elle prête ?
Demander une démo