En une phrase
Le phishing par IA ce n'est plus le mail mal écrit en russe approximatif. C'est ton chef qui t'appelle au téléphone avec sa vraie voix, c'est un mail parfaitement personnalisé qui te connaît mieux que toi-même, c'est un SMS de ton banquier qui t'envoie sur un faux site indistinguable du vrai. En 2026, 95% des pros sécu disent que les LLM compliquent fortement la détection.
🎣
L'analogie qui marche
Le phishing classique c'était comme une carte de pêche au filet : on lance large, on attrape ceux qui passent. Le phishing IA c'est de la pêche au harpon : l'attaquant te connaît (LinkedIn, Facebook), adapte son discours, cible ton poste exact dans l'entreprise. Tu n'es plus une cible parmi 10 000, tu es LA cible. Et l'arme est invisible.
🛡️ Tu veux apprendre à sécuriser ton entreprise globalement ?
Framework complet pour RSSI/managers : SAIF Google, OWASP LLM Top 10, plan d'action.
Le boom du phishing IA en chiffres
Les chiffres officiels 2026 sont édifiants :
Phishing : avant l'IA vs avec IA (2026)
202621 000 000/jour
202412 000 000/jour
2022 (pré-ChatGPT)6 500 000/jour
Phishing IA ciblé (spear phishing)28%
Phishing IA 202611%
Phishing classique 20224%
Attaques phishing détectées (par jour)0
Taux de réussite (% victime cliquent)0
Lecture : on est passé de 6,5M attaques/jour à 21M/jour. Et le taux de clic a presque triplé sur les attaques ciblées.
Comment l'IA transforme le phishing
Les 3 nouvelles formes de phishing IA
1. 📧 Phishing email : la perfection narrative
L'IA génère des emails parfaitement écrits, personnalisés, contextuels. Plus de fautes, plus d'accents bizarres, plus de "Cher Client".
Exemple réel (anonymisé)
Email reçu par un commercial chez X (avril 2026) :
> Bonjour Julien,
>
> J'espère que tu vas bien depuis le séminaire de Bordeaux. J'ai vu sur LinkedIn que tu as récemment promu Account Executive — félicitations !
>
> Je voulais te partager une opportunité concernant le client AXA dont on avait parlé. J'ai préparé un brief détaillé que j'aimerais que tu valides avant la réunion de jeudi avec [son vrai N+1].
>
> Le doc est ici : [LIEN MALVEILLANT]
>
> Tu peux me confirmer rapidement si tu peux le lire avant 17h ? J'ai besoin de ton input avant de pousser plus loin.
>
> Bonne journée,
> Thomas
Pourquoi c'est piégeux :
- ✅ Mentionne un vrai séminaire (info LinkedIn publique)
- ✅ Vraie promotion récente (info LinkedIn)
- ✅ Vrai client (info LinkedIn / actu corporate)
- ✅ Vrai N+1 (info LinkedIn)
- ✅ Urgence raisonnable (avant 17h, pas "tout de suite")
- ✅ Style naturel, tutoiement, ton collègue
→ Probabilité de clic : 70-80% sur cible naïve. L'IA a tout fait en 30 secondes.
2. 📞 Vishing : la voix clonée du patron
Les IA clonent une voix à partir de 10-30 secondes de prise de son (LinkedIn vidéo, podcast, conférence). Puis appellent en temps réel.
3. 📱 Smishing : SMS hyper-personnalisés
Les SMS sont plus efficaces que les emails car :
- 98% sont lus dans les 3 minutes
- Les filtres anti-spam SMS sont moins matures
- Les liens semblent plus légitimes (sans HTML douteux)
Exemple récent (mai 2026)
SMS reçu :
> [BANQUE_NAME] Vérification urgente : transaction de 489€ à AMAZON détectée à 15:42. Si pas vous, bloquez ici : [URL court bit.ly/...]
Pourquoi ça marche :
- ✅ Montant plausible (pas 50 000€)
- ✅ Marchand commun (Amazon)
- ✅ Heure récente = panique
- ✅ Le numéro qui envoie semble être ta vraie banque (spoofing)
- ✅ URL courte = obscur ce qu'il y a derrière
→ 35% des Français ont déjà cliqué sur un smishing en 2026.
Les outils utilisés par les attaquants
L'outillage du phishing IA en 2026
| 🛠️Outil | 🦹Usage attaquant | |
|---|---|---|
| WormGPT, FraudGPT (LLM blackhat) | Variants jailbreaké de GPT/Llama | Génération mails phishing sans limites |
| ElevenLabs / Resemble.ai | Outils légitimes de voix IA | Clonage voix patron (vishing) |
| OSINT tools (Maltego, theHarvester) | Récupération info publique | Construire profil cible en 30 sec |
| Phishing kits (Evilginx, GoPhish) | Frameworks d'attaque | Cloner sites de banques en 2 min |
| VoIP avec caller ID spoofing | Service VoIP ($10/mois) | Faire afficher n° du vrai chef |
| Bots Telegram pré-équipés | Plateformes 'phishing-as-a-service' | Kit complet à 50-200€/mois |
Marché noir : un kit complet de phishing IA coûte entre 50€ et 500€/mois sur le dark web. Accessible à n'importe quel script-kiddie.
Les 7 signaux d'un phishing IA en 2026
Checklist anti-phishing IA
1. ⚡ Urgence soudaine
"Avant 17h", "tout de suite", "ne fais rien tant que..." → drapeau rouge.
2. 🔄 Demande de changer un canal habituel
"Réponds-moi pas par mail, appelle ce numéro" → suspect.
3. 💰 Action financière inhabituelle
Virement vers un nouveau compte, achat de cartes cadeaux → vérifier 2× plutôt qu'1×.
4. 🔗 Lien raccourci ou suspect
Domaine bizarre (« paypa1.com » au lieu de « paypal.com »), bit.ly inattendu, sous-domaine étrange.
5. 🎯 Personnalisation TROP précise
Si quelqu'un connaît trop de détails personnels qu'il ne devrait pas → sources OSINT.
6. ❓ Refus de questions de vérification
"Pas le temps", "appelle-moi plutôt après le rdv" → fuite de la vérification.
7. 📱 Pression émotionnelle
"Si tu ne le fais pas immédiatement, problème grave..." → manipulation classique.
Comment se défendre : la pile de protection
Plan d'action express pour ton entreprise
📚Mise en place en 30 jours
Semaine 1 — Audit et urgence
- 2FA partout : déploie Microsoft Authenticator ou clés YubiKey sur tous les comptes critiques (admin, finance, RH)
- Identifier les VIP : qui peut être ciblé en priorité ? (PDG, CFO, RSSI, comptables)
- Audit des récents incidents : a-t-on subi des phishings ? Lesquels ont fonctionné ?
Semaine 2 — Prévention technique
- Filtres email pro : si tu n'as pas Microsoft Defender Premium / Proofpoint, c'est le moment
- SPF, DKIM, DMARC : vérifier que c'est bien configuré (sinon : tes mails partent en spam, et les imitations passent)
- Bloquer les outils de cloning : impossible à 100%, mais blacklister les domaines connus
Semaine 3 — Sensibilisation
- Formation flash : 1h pour tous les employés (vidéos courtes + exemples réels)
- Phishing simulé : envoyer 3-5 phishings volontairement pour mesurer le taux de clic baseline
- Mot de code interne : décider d'un code (ex: "PROJET TITAN") connu de tous, à demander en cas de doute
Semaine 4 — Procédures
- Process virement : tout virement >5K€ valide par 2 personnes via canaux différents
- Hotline sécu : mettre un numéro/Slack channel pour signaler un phishing en 30 sec
- Plan d'incident : qui appelle qui, comment isoler, quand alerter banques/clients/CNIL
La métaphore qui résume tout
🏰
La défense d'un château médiéval
Avant l'IA, le phishing c'était comme un chevalier maladroit qui tape à la porte du château avec une fausse lettre du roi écrite à la main. Le garde voit tout de suite que c'est faux : signature mal faite, sceau bizarre.
Avec l'IA, c'est comme un espion professionnel qui se présente avec :
- La vraie voix du roi (clonée)
- Une lettre parfaite (générée)
- Le vrai sceau (récupéré)
- Connaît les noms des courtisans
Le garde ne peut plus distinguer le vrai du faux à l'œil nu.
→ Solution : la défense en profondeur. Plusieurs gardes (sensibilisation), plusieurs portes (2FA), plusieurs vérifications (mot de code), un commandant qui surveille (UEBA). Aucune couche n'est suffisante seule.
À retenir absolument
- ✅ Le phishing IA a multiplié les attaques par 3 et le taux de réussite par 2-3
- ✅ 3 vecteurs : email perfect, vishing voix clonée, smishing SMS personnalisés
- ✅ Outils attaquants disponibles à 50-500€/mois sur le dark web
- ✅ Défense en profondeur : 6 couches (humain → email → 2FA → 2e canal → UEBA → réponse)
- ✅ 2FA partout est la mesure #1 (mais sur app, PAS SMS)
- ✅ Mot de code interne = arme simple et redoutable contre vishing
Tu ne peux pas éliminer le risque, mais tu peux réduire de 95% ton exposition avec ces mesures.
🧠 Quiz
Question 1 sur 3
Combien de temps de voix faut-il à un attaquant pour cloner la voix d'un dirigeant en 2026 ?
Pour aller plus loin
- 🛡️ Sécuriser ton entreprise face à l'IA — framework complet
- 👥 Shadow AI : le danger invisible
- 🎭 Deepfakes : se protéger en 2026