Vishing (phishing vocal)
Phishing acheminé par appel vocal — de plus en plus combiné à un prétexte e-mail et, depuis 2023, à des voix de dirigeants ou collègues clonées par IA.
Le vishing — contraction de voice phishing — est une attaque de phishing acheminée par appel téléphonique, en général en renfort ou à la suite d’un prétexte e-mail. L’attaquant se fait passer pour le support IT, un guichet anti-fraude bancaire, un dirigeant ou un transporteur, et utilise le canal vocal pour obtenir une action que l’e-mail seul n’aurait pas obtenue : valider une notification MFA, lire un code OTP à voix haute, installer un outil de prise de main à distance, ou exécuter un virement.
Le vishing est passé de technique de niche à vecteur récurrent dans des incidents majeurs. La brèche Uber de 2022 a démarré par un appel vishing à un salarié pendant que les identifiants d’un sous-traitant circulaient déjà ; les compromissions MGM Resorts et Caesars de 2023 ont toutes deux commencé par un appel d’ingénierie sociale au helpdesk IT, l’attaquant se faisant guider jusqu’à la réinitialisation d’un mot de passe. Le Panorama de la cybermenace de l’ANSSI relève la même dynamique en France : les canaux vocaux exploitent un déficit de défiance que l’e-mail n’a plus.
Propriétés caractéristiques :
- Pression en direct. La voix supprime les secondes de recul qu’offre une boîte mail. Ton, urgence et histoire crédible compressent la fenêtre de décision.
- Prétexte multi-canal. Un appel vishing est rarement froid. Il suit un e-mail, un faux ticket CRM ou un SMS qui prépare la cible à recevoir l’appel.
- Catalyseur de contournement MFA. L’attaquant garde la cible en ligne pendant un push-bombing MFA ou lui fait lire un code à usage unique.
- Amplifié par l’IA. Le clonage vocal (voir clonage de voix deepfake) rend désormais « le DAF m’a appelé » assez crédible : le cas hongkongais de 2024 à 25 M USD a été monté via une visioconférence deepfake, pas seulement un appel.
Le levier défensif est le même que pour la fraude au président : une règle procédurale exigeant que toute demande sensible passe par un rappel sur un numéro déjà connu du salarié, et assez de répétition — via simulation et nudges post-incident — pour que la règle résiste à la pression du moment.
Termes liés
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Spear-phishingAttaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.
- Fraude au président (BEC)Fraude ciblée par usurpation de dirigeant, fournisseur ou avocat pour détourner un paiement légitime — historiquement la catégorie de cybercrime la plus coûteuse en valeur.
- Clonage de voix par deepfakeUtilisation d'une voix — voire d'une vidéo — synthétique générée par IA pour usurper un dirigeant ou collègue lors d'une tentative de fraude.
- Ingénierie socialeManipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.