Cybersécurité11 min

Phishing par IA en 2025 : Deepfakes vocaux, emails générés par ChatGPT et quishing - La nouvelle menace

Le phishing évolue avec l'IA : deepfakes vocaux ultra-réalistes, emails de spear-phishing générés par LLM, et quishing (QR code phishing). Découvrez les nouvelles techniques d'attaque, comment les détecter et vous protéger.

Phishing par IA : La menace silencieuse de 2025

Le phishing existe depuis les débuts d'Internet, mais en 2025, l'intelligence artificielle générative a révolutionné les cyberattaques. Fini le temps des emails mal écrits et des appels téléphoniques suspects : les cybercriminels utilisent désormais ChatGPT, deepfakes vocaux et vidéo, et quishing (phishing par QR code) pour tromper même les utilisateurs les plus vigilants.

Les chiffres sont alarmants : +135% d'attaques de phishing par IA entre 2023 et 2025 (source : Verizon DBIR 2025), et 74% des organisations ont subi au moins une tentative de deepfake vocal en 2024.

Dans cet article, nous décortiquons les nouvelles techniques de phishing assisté par IA, comment les reconnaître, et surtout comment s'en protéger. 🛡️


Les 3 nouvelles armes du phishing par IA en 2025

1. Deepfakes vocaux : Quand votre patron vous appelle... ou pas

Comment ça marche ?

Les cybercriminels utilisent des outils IA comme ElevenLabs, Resemble.ai ou Descript pour cloner une voix à partir de quelques secondes d'audio (disponibles sur LinkedIn, YouTube, podcasts, etc.).

Cas réel (2024) : Une entreprise britannique a perdu 25 millions de dollars après qu'un employé a reçu un appel vidéo deepfake du CFO lui demandant un virement urgent. La voix, les expressions faciales, tout était parfait.

Signes d'alerte d'un deepfake vocal :

  • Micro-coupures ou artefacts audio (bien que de moins en moins fréquents)
  • Demande inhabituelle urgente (virement, changement de mot de passe)
  • Absence de références au passé récent (contexte flou)
  • Appel inattendu avec mauvaise qualité (prétexte pour masquer imperfections)

2. Spear-phishing généré par LLM : Les emails parfaits

Les anciens emails de phishing contenaient des fautes d'orthographe flagrantes. Aujourd'hui, ChatGPT et autres LLM rédigent des emails personnalisés, sans erreur, adaptés au contexte.

Exemple d'email généré par IA (réel) :

Objet : Mise à jour urgente - Nouveau système RH

Bonjour Alexandre,

Suite à notre réunion de mardi dernier concernant la migration vers Workday,
le service IT demande à tous les managers de mettre à jour leurs identifiants
d'ici vendredi 17h.

Merci de cliquer sur ce lien sécurisé : [URL malveillante]

En cas de problème, contacte Sophie du support (sophie.martin@entreprise-fake.com).

Cordialement,
David Leroy
Directeur RH

Pourquoi c'est dangereux ?

  • Contexte réaliste (réunion fictive mais plausible)
  • Nom et fonction corrects (trouvés sur LinkedIn)
  • Urgence artificielle mais justifiée
  • Email de contact de secours (pour gagner confiance)

3. Quishing (QR Code Phishing) : L'attaque invisible

Le quishing explose en 2025 : +587% d'attaques détectées vs 2023 (Abnormal Security).

Technique d'attaque :

  1. L'attaquant génère un QR code qui redirige vers un site de phishing
  2. Il l'intègre dans un email (facture, colis, réunion Zoom)
  3. La victime scanne avec son téléphone perso (qui contourne les filtres antivirus d'entreprise)
  4. Le site demande identifiants Microsoft 365 / Gmail

Pourquoi c'est efficace ?

  • Les scanners antivirus ne peuvent pas "lire" un QR code dans une image
  • Les utilisateurs sont habitués aux QR codes (menus restaurants, paiements)
  • Le téléphone perso a moins de protections que l'ordinateur pro

Comment les cybercriminels collectent vos données pour les attaques IA

OSINT (Open Source Intelligence) : Votre vie publique = Leur arme

Les attaquants utilisent :

  • LinkedIn : Postes, collègues, organigramme de l'entreprise
  • Podcasts/YouTube : Échantillons audio pour cloner voix
  • Réseaux sociaux : Vacances (moment idéal pour une attaque), événements récents
  • Fuites de données : Haveibeenpwned.com (emails, mots de passe anciens)

Exemple d'attaque ciblée (spear-phishing) :

  1. L'attaquant trouve votre profil LinkedIn : Directeur IT chez ACME Corp
  2. Il voit que vous avez participé à un événement cybersécurité à Paris (post récent)
  3. Il génère un email avec ChatGPT mentionnant cet événement
  4. Il clone la voix de votre CEO via un podcast public
  5. Il vous appelle en se faisant passer pour lui : "Suite à l'événement de Paris, j'ai besoin que tu..."

Comment se protéger du phishing par IA : Guide pratique

Pour les individus

1. Méfiance vis-à-vis des demandes urgentes

Règle d'or : Toute demande de virement, changement de mot de passe ou partage de données sensibles doit être vérifiée par un canal secondaire.

❌ Mauvais : "Le CEO m'a appelé, je fais le virement"
✅ Bon : "Je rappelle le CEO sur son numéro habituel pour confirmer"

2. Vérifier les URLs avant de cliquer

  • Survoler les liens avec la souris (voir URL réelle en bas du navigateur)
  • Chercher les erreurs subtiles : microsooft.com, goog1e.com
  • Utiliser un gestionnaire de mots de passe (il ne remplit QUE sur le vrai site)

3. Ne JAMAIS scanner un QR code sans contexte

Si vous recevez un email avec QR code :

  • Vérifier l'expéditeur (domaine exact)
  • Utiliser une app qui prévisualise l'URL (iOS 16+, Android 13+ le font nativement)
  • En cas de doute, aller directement sur le site officiel au lieu de scanner

4. Activer l'authentification à deux facteurs (2FA) PARTOUT

Même si un attaquant obtient votre mot de passe, la 2FA bloque l'accès.

À privilégier : Clés physiques (YubiKey) > Apps (Authy, Google Authenticator) > SMS

Pour les entreprises

1. Formation anti-phishing avec simulations

Outils recommandés :

  • KnowBe4 : Simulations d'attaques phishing (avec deepfakes)
  • Cofense : Plateforme de sensibilisation
  • Google Workspace Security : Formation intégrée

2. Politique de vérification multi-canal

Règle interne :
"Tout virement supérieur à 5 000€ nécessite une confirmation par :
- Appel téléphonique au numéro habituel
- ET validation par un second responsable"

3. Déployer des outils de détection IA

Outil Fonction Efficacité
Abnormal Security Détection d'emails de phishing IA 98% de précision
Darktrace Détection d'anomalies comportementales Détecte deepfakes vocaux
Pindrop Analyse audio en temps réel Identifie voix synthétiques
Cloudflare Gateway Filtrage DNS anti-phishing Bloque 80% des liens malveillants

4. Surveillance du Dark Web

Services comme SpyCloud, Have I Been Pwned Enterprise alertent si vos données d'employés apparaissent dans des fuites.


Outils gratuits pour tester votre vulnérabilité au phishing IA

1. Test de détection de deepfakes

  • Deepware Scanner (deepware.ai) : Upload une vidéo pour vérifier si c'est un deepfake
  • Sensity : Détection de deepfakes en temps réel (version gratuite limitée)

2. Vérification d'emails suspects

  • VirusTotal : Analyser un lien suspect
  • MXToolbox : Vérifier la légitimité d'un domaine email
  • Google Transparency Report : Vérifier si un site est blacklisté

3. Test de robustesse de vos mots de passe

  • Have I Been Pwned : Vérifier si vos emails/mots de passe ont fuité
  • Bitwarden Password Strength Tester : Tester la robustesse

Le futur du phishing : À quoi s'attendre en 2026 ?

1. Deepfakes vidéo en temps réel

Des outils comme DeepLive permettent déjà de changer de visage en direct sur Zoom. Attendez-vous à des fausses réunions vidéo avec des collègues clonés.

2. Phishing vocal via assistants IA

Des bots IA capables de tenir une conversation naturelle pendant plusieurs minutes, imitant parfaitement un conseiller bancaire.

3. Quishing 2.0 : QR codes dynamiques

Des QR codes qui changent de destination selon le contexte (heure, localisation) pour contourner les analyses.

4. Attaques via LLM intégrés

Injection de prompts malveillants dans ChatGPT Enterprise, Gemini Workspace, pour voler des données depuis les conversations.


Ressources pour rester à jour sur le phishing IA

Sites et blogs spécialisés

  • Krebs on Security : Blog de Brian Krebs sur les dernières attaques
  • The Hacker News : Actualités cybersécurité quotidiennes
  • SANS Internet Storm Center : Alertes en temps réel

Newsletters gratuites

  • TLDR Sec : Résumé hebdomadaire des menaces
  • Schneier on Security : Analyses d'expert

Formations (certaines gratuites)

  • Google Cybersecurity Certificate (Coursera) : Module anti-phishing
  • CISA Free Cybersecurity Training : Gouvernement US, gratuit

Conclusion : La vigilance humaine reste la meilleure défense

L'IA a rendu le phishing plus sophistiqué, plus personnalisé, et plus dangereux que jamais. Mais elle a aussi créé de nouveaux outils de défense : détecteurs de deepfakes, analyseurs d'emails IA, surveillance du dark web.

La clé reste la sensibilisation et la vérification multi-canal. Avant de cliquer sur un lien, de scanner un QR code ou de valider un virement suite à un appel urgent, prenez 30 secondes pour vérifier. Ces 30 secondes peuvent vous éviter des milliers d'euros de pertes ou un vol de données massif.

Règle d'or 2025 : Si c'est urgent, c'est suspect. Si c'est suspect, vérifiez. Toujours. 🛡️

Partagez cet article à vos collègues, amis et famille. Le meilleur antivirus contre le phishing par IA, c'est la connaissance collective.


⚠️ Avertissement et clause de non-responsabilité

Cet article est publié à des fins purement éducatives et informatives.

Les techniques de phishing décrites dans cet article doivent UNIQUEMENT être utilisées dans un cadre légal : tests de sécurité autorisés (pentesting), formations en entreprise avec consentement, ou recherche académique.

L'auteur et CODAURA déclinent toute responsabilité en cas d'utilisation malveillante des informations contenues dans cet article. Le phishing est un crime puni par la loi dans la plupart des juridictions.

Utilisez ces connaissances pour :

  • Vous protéger contre les attaques
  • Former vos équipes à la cybersécurité
  • Tester la sécurité de systèmes dont vous êtes responsable (avec autorisation écrite)

En lisant cet article, vous acceptez d'agir de manière éthique, responsable et dans le strict respect des lois en vigueur.

© 2025 CODAURA - Tous droits réservés

Mentions Légales

Dernière mise à jour : 1er novembre 2025

1. Informations légales

Conformément aux dispositions de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique, il est précisé aux utilisateurs du site codaura.io l'identité des différents intervenants dans le cadre de sa réalisation et de son suivi.

Éditeur du site

Le site codaura.io est édité par :

GAUTHIER Alexandre - CODAURA
Entrepreneur individuel
SIREN : 993 393 651
SIRET : 993 393 651 00019

Adresse du siège social :
CODAURA
13 rue de Perreux
37530 Nazelles-Négron
France

Activité : Programmation informatique (APE 62.01Z)

Contact :
Email : alex@codaura.io
Téléphone : +33770800849

Directeur de la publication

Le directeur de la publication du site est Monsieur Alexandre GAUTHIER.

Hébergement

Le site codaura.io est hébergé par :
Infomaniak Network SA Rue Eugène Marziano 25 1227 Les Acacias (GE)

2. Conditions générales d'utilisation du site

L'utilisation du site codaura.io implique l'acceptation pleine et entière des conditions générales d'utilisation décrites ci-après. Ces conditions d'utilisation sont susceptibles d'être modifiées ou complétées à tout moment, les utilisateurs du site sont donc invités à les consulter de manière régulière.

Accès au site

Le site codaura.io est accessible gratuitement en tout lieu à tout utilisateur ayant un accès à Internet. Tous les frais supportés par l'utilisateur pour accéder au service (matériel informatique, logiciels, connexion Internet, etc.) sont à sa charge.

L'éditeur met en œuvre tous les moyens raisonnables à sa disposition pour assurer un accès de qualité au site, mais n'est tenu à aucune obligation d'y parvenir. L'éditeur ne peut être tenu responsable d'une défaillance du réseau Internet ou de tout dysfonctionnement du matériel de connexion.

3. Propriété intellectuelle

L'ensemble du contenu du site codaura.io (structure, textes, logos, images, vidéos, etc.) est la propriété exclusive de CODAURA, sauf mention contraire.

Toute reproduction, distribution, modification, adaptation, retransmission ou publication de ces différents éléments est strictement interdite sans l'accord exprès par écrit de CODAURA. Cette représentation ou reproduction, par quelque procédé que ce soit, constitue une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.

Le non-respect de cette interdiction constitue une contrefaçon pouvant engager la responsabilité civile et pénale du contrefacteur.

4. Protection des données personnelles

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez d'un droit d'accès, de rectification, de suppression et d'opposition aux données personnelles vous concernant.

Responsable du traitement

Le responsable du traitement des données est :
GAUTHIER Alexandre - CODAURA
13 rue de Perreux
37530 Nazelles-Négron

Données collectées

  • Données de navigation : pages consultées
  • Données de contact (nom, prénom, email) via formulaires de contact

Finalité du traitement

Les données personnelles collectées sont utilisées pour :

  • Répondre aux demandes de contact
  • Améliorer l'expérience utilisateur
  • Assurer le bon fonctionnement du site

Durée de conservation

Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités poursuivies, conformément à la réglementation en vigueur.

Vos droits

Vous pouvez exercer vos droits en nous contactant à l'adresse : alex@codaura.io

5. Limitation de responsabilité

L'éditeur s'efforce d'assurer l'exactitude et la mise à jour des informations diffusées sur le site, dont il se réserve le droit de corriger, à tout moment et sans préavis, le contenu. Toutefois, l'éditeur ne peut garantir l'exactitude, la précision ou l'exhaustivité des informations mises à disposition sur ce site.

L'éditeur décline toute responsabilité :

  • Pour toute imprécision, inexactitude ou omission portant sur des informations disponibles sur le site
  • Pour tous dommages résultant d'une intrusion frauduleuse d'un tiers ayant entraîné une modification des informations mises à disposition sur le site
  • Pour tous dommages directs ou indirects qui pourraient résulter de l'accès au site ou de l'utilisation du site et de ses informations
  • Pour l'indisponibilité temporaire ou totale du site

Liens hypertextes

Le site codaura.io peut contenir des liens vers d'autres sites internet. L'éditeur ne dispose d'aucun moyen de contrôle sur le contenu de ces sites et décline toute responsabilité quant au contenu ou aux pratiques de confidentialité de ces sites tiers.

6. Droit applicable et juridiction compétente

Les présentes mentions légales sont régies par le droit français. En cas de litige et à défaut d'accord amiable, le litige sera porté devant les tribunaux français conformément aux règles de compétence en vigueur.

7. Contact

Pour toute question concernant les présentes mentions légales, vous pouvez nous contacter :

Par email : alex@codaura.io

Par courrier :
CODAURA
13 rue de Perreux
37530 Nazelles-Négron
France