Le récent rapport M-Trends 2026 de Google et Mandiant confirme que l’hameçonnage vocal (vishing) est désormais le second vecteur initial de compromission le plus répandu au monde et le n°1 pour la pénétration des environnements cloud. Les plateformes d’attaque alimentées par l’IA peuvent désormais automatiser l’intégralité de l’appel d’ingénierie sociale. La seule contre-mesure efficace consiste à former vos équipes à reconnaître et résister à l’appel avant même que l’attaquant ne passe à l’action.
Pourquoi le rapport M-Trends 2026 place-t-il le vishing si haut ?
Ce rapport s’appuie sur plus de 500 000 heures d’enquêtes en réponse aux incidents menées par Mandiant en 2025, couplées aux données de renseignement du Google Threat Intelligence Group (GTIG). Lorsqu’il signale une tendance, celle-ci est déjà intégrée à votre modèle de menace organisationnel. L’introduction de l’édition 2026 ne commence pas par les ransomwares, les vulnérabilités zero-day ou les APT étatiques. Elle commence par le vishing.
Nous observons un virage marqué vers l’ingénierie sociale par voie vocale (vishing), qui est désormais le deuxième vecteur initial d’infection.
Principaux vecteurs d’attaque en 2025 :
| Vecteur d'attaque | Part (2025) | Évolution vs. 2024 |
|---|---|---|
| Exploitation de vulnérabilités (CVE) | 32 % | Stable (6ᵉ année consécutive en tête) |
| Vishing | 11 % | ↑ Hausse significative |
| Compromission préalable | ~10 % | ↑ En hausse (5ᵉ en 2024) |
| Identifiants volés | 9 % | ↓ En baisse de 16 % |
| Compromission de site web | 8 % | Stable |
| Phising par e-mail | 6 % | ↓ En baisse de 14 % |
| Menace interne | 6 % | ↑ En hausse de 5% |
Source : Mandiant M-Trends 2026
La chute simultanée du phishing par e-mail (−8 points) et la montée du vishing ne sont pas un hasard. Les attaquants privilégient la voie de moindre résistance : la sécurité des e-mails s’est améliorée, mais la méfiance envers une voix humaine n’a pas progressé au même rythme. Dans les environnements cloud, le vishing était même le vecteur initial le plus répandu (23 % des compromissions), devant les identifiants volés (16 %), le phishing par e-mail (15 %) et les exploits (6 %).
Le rapport établit une distinction conceptuelle clé :
- Le phishing par e-mail est classé comme un leurre technique non interactif.
- Le vishing relève de l’engagement humain interactif. La différence est opérationnelle : les attaques interactives sont « beaucoup plus résistantes aux contrôles techniques automatisés » et nécessitent des stratégies de détection radicalement différentes. On ne peut pas bloquer un appel téléphonique avec un pare-feu.
Les points clés retenir :
- Le vishing est désormais le 2ᵉ vecteur initial de compromission dans les enquêtes Mandiant 2025.
- Le phishing par e-mail est tombé à 6 % des intrusions (contre 14 % en 2024), tandis que le vishing a progressé.
UNC3944(lié à Scattered Spider) mène des campagnes de vishing depuis début 2022, ciblant les centres d’assistance pour contourner la MFA.UNC6040ua utilisé le vishing pour inciter des victimes à autoriser des applications SaaS contrôlées par les attaquants, ensuite exploitées pour des extorsions sous la marque ShinyHunters. En savoir plus →- Les attaques vocales interactives sont « beaucoup plus résistantes aux contrôles automatisés » que le phishing par e-mail.
- La tendance du « handoff » (où un attaquant obtient un accès via le vishing et le revend à un groupe de ransomware) peut se produire en moins de 30 secondes.
À quoi ressemblent les attaques de vishing ?
Le rapport M-Trends 2026 cite UNC3944 et UNC6240 comme exemples, mais ces campagnes sont désormais bien documentées. Les derniers rapports révèlent une sophistication croissante :
- Des infrastructures d’appels automatisées par IA disponibles à l’achat.
- Des acteurs étatiques utilisant de fausses réunions vidéo pour collecter des enregistrements vocaux et les réutiliser.
Deux cas récents illustrent cette évolution. ⤵️
Scénario 1 : Le kit d’attaque TOAD; L’IA automatise l’intégralité de l’appel
Des chercheurs d’Abnormal AI ont analysé en avril 2026 une plateforme criminelle appelée ATHR, vendue sur les marchés clandestins pour 4 000 $ + 10 % des bénéfices. C’est l’illustration la plus claire de l’industrialisation du vishing.
ATHR regroupe toute la chaîne d’attaque en un produit unique basé sur navigateur :
- Envoi des leurres : Un module intégré génère des e-mails d’alerte usurpés (Google, Microsoft, Coinbase, Binance) avec des champs personnalisables (heure de verrouillage, tentatives échouées, dernière localisation, adresse IP). Chaque e-mail est adapté à la cible pour passer une inspection superficielle.
- Routage des rappels : Lorsque la victime appelle le numéro indiqué, ATHR la redirige vers un opérateur humain, ou un agent vocal IA fonctionnant sur Asterisk WebRTC (la même infrastructure que les centres d’appels légitimes).
- Ingénierie sociale pilotée par IA : Les agents vocaux d’ATHR suivent un script structuré en 10 étapes :
- Vérification du rappel.
- Description d’une activité suspecte fabriquée sur le compte.
- Extorsion d’un code de vérification à 6 chiffres… sans intervention humaine. Un seul opérateur peut ainsi mener des campagnes contre plusieurs marques simultanément.
- Collecte des identifiants en temps réel : Pendant l’appel, les panneaux de phishing d’ATHR capturent les identifiants. Les opérateurs voient chaque cible en session live et peuvent la rediriger vers des pages spécifiques pendant l’appel.
Conséquence pour les défenseurs : La barrière à l’entrée pour mener une campagne de vishing à grande échelle ne nécessite plus d’ingénieurs sociaux qualifiés. La plateforme réduit les coûts et permet une montée en puissance massive. Vos équipes (support, finance, IT) sont désormais systématiquement ciblées.
Scénario 2 : UNC1069; Fausses réunions, capture vocale et infrastructure nord-coréenne
Des chercheurs de Validin ont analysé en avril 2026 le groupe 'UNC1069' (lié à Bluenoroff), un acteur nord-coréen ciblant les cryptomonnaies, la Web3 et les services financiers.
La chaîne d’attaque est la suivante :
- Les attaquants créent de fausses identités de capital-risque et contactent les cibles via LinkedIn et Telegram, en utilisant des comptes compromis pour paraître crédibles.
- Ils planifient des réunions via des liens Calendly pointant vers de fausses plateformes de visioconférence imitant Zoom, Google Meet ou Microsoft Teams.
- Pendant la réunion, ils prétendent que le micro ou la webcam de la victime est défectueux, créent un sentiment d’urgence et affichent une fenêtre de type "ClickFix", demandant à la victime de copier-coller une commande pour "résoudre le problème".
- Point critique : ces fausses plateformes capturent les enregistrements audio et vidéo de la victime, réutilisés ensuite pour usurper l’identité de vrais employés et créer des deepfakes de dirigeants.
Il ne s’agit plus de phishing, mais d’une opération d’ingénierie sociale multi-sessions, où le canal vocal est à la fois le vecteur d’attaque et l’outil de collecte de renseignement. Mandiant suit ce groupe dans le cadre des tendances M-Trends 2026 (compromission préalable + vishing).
Pourquoi ces attaques fonctionnent-elles ?
Les deux scénarios exploitent le même avantage structurel : Elles abusent de la confiance accordée aux interactions humaines en temps réel. Le phishing par e-mail demande à la cible de cliquer sur un lien en espérant qu’elle ne l’analysera pas. Le vishing met une voix au bout du fil : patiente, contextualisée, réactive. Les outils de messagerie automatisées détectent les pièces jointes. Elles ne détectent pas un prétexte convaincant, délivré à 0,9x de vitesse avec un accent régional.
Le rapport M-Trends le résume ainsi :
Le phishing par e-mail repose sur le volume et la livraison opportuniste, tandis que le vishing interactif implique une personne réelle (ou désormais une IA) qui oriente la conversation en temps réel.
Comment se défendre contre le vishing ? Former vos équipes à reconnaître l’appel
Les contrôles techniques stoppent les logiciels malveillants connus. Ils n’arrêtent pas un attaquant se faisant passer pour votre service IT, demandant à votre DAF d’autoriser un virement parce que le PDG est « en réunion et inaccessible ».
La seule défense évolutive est : Le conditionnement comportemental par simulation réaliste : Exposer vos équipes aux dynamiques exactes des appels utilisés par les attaquants, dans un environnement sûr, avec une boucle de feedback pédagogique.
Comment fonctionnent les simulations de vishing ?
Un programme bien conçu repose sur deux objectifs distincts :
1. Audit et évaluation des risques Lancez une campagne réaliste contre votre organisation (sans avertissement). Collectez des données comportementales :
- Quelles équipes se laissent convaincre ?
- Quels rôles divulguent des identifiants sous pression ?
- Quels prétextes fonctionnent ? Base de référence mesurable + identification des populations à former en priorité.
2. Sensibilisation et formation Utilisez la simulation comme mécanisme de formation. Lorsqu’un utilisateur échoue, déclenchez un moment d’apprentissage contextuel immédiat (pas dans une présentation trimestrielle).
Qu’est-ce qui rend une simulation de vishing réaliste ?
Trois variables déterminent si une simulation produit des données exploitables ou simplement du bruit :
Prétexte : Le scénario doit refléter les tactiques réelles : usurpation du support IT, alerte de fraude bancaire, usurpation d’un dirigeant, rappel RH. Les prétextes génériques ne permettent pas d’évaluer le risque réel.
Voix : La voix doit correspondre au prétexte. Avec l’IA, le clonage vocal permet de simuler une attaque où la voix ressemble à celle d’un collègue ou d’un dirigeant. C’est exactement le scénario que craint un RSSI, et que déploie déjà UNC1069.
Numéro de téléphone : Les numéros usurpés (provenant apparemment de votre organisation ou d’un fournisseur connu) augmentent considérablement les taux de conformité. Un numéro générique teste un scénario moins risqué que ce que font les attaquants.
Quand utiliser une simulation de vishing alimentée par IA ?
Two clear scenarios:
| Cas d'usage | Pourquoi l'IA est indispensable |
|---|---|
| Campagnes à grande échelle (100+ utilisateurs) | Les opérateurs humains ne peuvent pas scalabiliser de manière rentable. L’IA permet de tester toute l’organisation en une seule campagne. |
| Scénarios de menace avancés | Tester la résilience face au clonage vocal ou aux deepfakes nécessite la technologie elle-même, pas un humain lisant un script. |
La plateforme de simulation de vishing d’Arsen utilise l’IA vocale en temps réel et le clonage vocal pour reproduire les vecteurs d’attaque du rapport M-Trends 2026.
- Ciblage : Populations à haut risque (finance, IT, dirigeants) ou toute l’organisation.
- **Suivi : **Résultats analysés au niveau individuel et par équipe.
- Intégration : Workflows continus de sensibilisation à la sécurité.
Que doit inclure un programme de simulation de vishing ?
- Bibliothèque de scénarios : Usurpation du support IT, fraude au président, rappels RH, usurpation de fournisseurs, tentatives de contournement de la MFA.
- Options vocales : Voix IA standard, accents régionaux, clonage vocal de dirigeants.
- Usurpation de l’ID de l’appelant : Numéros internes ou de fournisseurs connus.
- Suivi en temps réel : Métriques de taux de conformité.
- Feedback immédiat : Formation post-appel pour les utilisateurs qui se laissent convaincre.
- Tableaux de bord : Visibilité des risques pour le RSSI (par équipe, rôle, localisation).
FAQ
Le vishing est une attaque d’ingénierie sociale menée par téléphone, où un attaquant usurpe l’identité d’une personne ou d’une organisation de confiance pour extraire des identifiants, faire autoriser des actions frauduleuses comme des virements ou des accès, ou installer des logiciels malveillants. Contrairement au phishing par e-mail, il repose sur une interaction vocale en direct ou générée par IA, ce qui le rend beaucoup plus difficile à détecter avec des contrôles techniques.
Selon le rapport Mandiant M-Trends 2026, le phishing par e-mail est tombé à 6 % des compromissions (contre 14 % en 2024), tandis que le vishing a grimpé à 11 % (et 23 % dans le cloud). La raison principale est que les attaques de vishing sont « beaucoup plus résistantes aux défenses automatisées » et exploitent la confiance humaine en temps réel, un angle que aucun pare-feu ne peut couvrir.
TOAD (Telephone-Oriented Attack Delivery) commence par un e-mail anodin contenant uniquement un numéro de téléphone. Lorsque la cible appelle, un opérateur ou un agent IA la guide pour divulguer des identifiants ou installer un logiciel d’accès à distance. Pourquoi ça marche : l’e-mail contourne les filtres techniques car il ne contient ni lien malveillant ni pièce jointe.
Des plateformes comme ATHR automatisent désormais tout l’appel avec des agents vocaux IA exécutant des scripts d’ingénierie sociale structurés. Un seul opérateur peut mener des campagnes à grande échelle, sur plusieurs marques, sans avoir besoin d’équipes humaines formées. Le clonage vocal permet en outre d’usurper des individus spécifiques, comme des collègues, des dirigeants ou du personnel IT.
La simulation de vishing expose les employés à des scénarios réalistes dans un environnement contrôlé. Elle permet de mesurer la vulnérabilité comportementale (qui se laisse convaincre, sous quel prétexte), de déclencher un apprentissage contextuel au moment de l’échec, et de construire une résilience durable contre les attaques de vishing. C’est le seul mécanisme qui traite l’élément humain, inaccessible aux contrôles techniques.
Définissez l’objectif (audit ou formation), sélectionnez des scénarios pertinents pour votre profil de menace, configurez l’usurpation de l’ID de l’appelant et les options vocales (IA, accents, clonage), ciblez d’abord les populations à haut risque, puis intégrez un feedback de formation post-appel. La plateforme d’Arsen gère chaque étape de bout en bout. Demander une démo pour voir une campagne configurée pour votre environnement.
