L’IA n’a pas inventé le phishing. En revanche, elle lui a retiré une grande partie de ses anciens points faibles : mauvais français, messages maladroits, manque de cohérence, difficulté à adapter l’arnaque à chaque cible. Europol a justement averti en 2025 que des groupes criminels utilisent l’IA pour rendre leurs escroqueries plus rapides à déployer, moins coûteuses à produire, plus faciles à adapter à plusieurs langues et plus difficiles à détecter.
Le vrai changement est là : avant, un escroc devait bricoler. Aujourd’hui, il peut demander à un chatbot de lui produire 20 variantes crédibles d’un même piège, en français correct, avec le bon ton, le bon secteur, et parfois même une imitation de personne ou d’entreprise. Microsoft a aussi signalé en 2025 une campagne de credential phishing où du code probablement généré par IA servait à masquer le comportement malveillant du piège, pas seulement à mieux écrire le message.
Autrement dit : l’IA ne remplace pas l’escroc. Elle lui sert de multiplicateur de rendement.
Ce que les chatbots changent vraiment pour les arnaqueurs
Le premier gain, c’est la qualité linguistique. Un message de phishing écrit avec un chatbot peut être beaucoup plus propre qu’avant : syntaxe correcte, ton professionnel, vocabulaire crédible, moins de fautes grossières. Cela fait tomber un filtre mental classique : “si c’est mal écrit, c’est sûrement une arnaque”.
Le deuxième gain, c’est la personnalisation à grande échelle. Un même scénario peut être décliné pour un comptable, un RH, un dirigeant, un client, un étudiant ou un retraité. L’escroc peut demander : “réécris ce message comme un fournisseur pressé”, puis “refais-le comme un service RH”, puis “adapte-le pour le marché français”. Europol souligne justement que l’IA permet d’automatiser et d’étendre les opérations criminelles, en les rendant plus scalables.
Le troisième gain, c’est la vitesse. Là où un fraudeur devait autrefois recycler toujours le même modèle médiocre, il peut maintenant tester plusieurs accroches, plusieurs objets d’email, plusieurs niveaux d’urgence et plusieurs formulations en quelques minutes. C’est la logique industrielle classique : plus de variantes, plus vite, pour trouver celle qui convertit le mieux. Cette industrialisation s’inscrit dans ce que Reuters résume comme une capacité à monter en puissance plus rapidement et à moindre coût.
Le quatrième gain, c’est la cohérence multi-canal. Le même scénario peut exister en email, SMS, message LinkedIn, faux tchat support, script d’appel, voire note vocale. La FTC avertit depuis plusieurs années que des escrocs peuvent utiliser l’IA pour cloner une voix à partir d’un court extrait audio, ce qui rend certaines arnaques beaucoup plus crédibles au téléphone.
À quoi ressemble un phishing “amélioré” par IA
Le phishing piloté avec l’aide d’un chatbot n’a pas toujours l’air spectaculaire. Souvent, il ressemble simplement à quelque chose de banal… mais bien exécuté.
Exemple 1 : le faux fournisseur “propre”
Vous recevez un email qui ressemble à une relance de fournisseur : ton professionnel, référence plausible à une facture, demande de mise à jour bancaire, signature correcte, français impeccable. Le piège n’est plus le style. Le piège est le changement de RIB, la pièce jointe, ou le lien vers un faux portail. La FTC rappelle que les messages de phishing racontent souvent une histoire crédible pour pousser à cliquer, ouvrir une pièce jointe, ou donner des informations sensibles.
Exemple 2 : le faux message RH
“Merci de vérifier vos avantages / votre fiche de paie / votre accès SSO avant 17h.” Le texte est clair, poli, bien formaté, sans faute. Le lien mène vers une page de connexion imitée. C’est précisément le type d’attaque que l’amélioration linguistique rend plus dangereux : le message n’a plus besoin d’être maladroit pour être malveillant. Les autorités de cybersécurité rappellent que le phishing vise souvent à voler mots de passe, numéros de compte ou autres identifiants.
Exemple 3 : le faux “patron” en urgence
Un message arrive : “Je suis en réunion, j’ai besoin que tu règles ça maintenant. Réponds vite.” Avant, ce type de tentative pouvait sonner faux. Avec un chatbot, l’escroc peut générer un style plus crédible, plus proche du ton attendu. Ajoutez à cela une note vocale clonée, et la pression psychologique monte d’un cran. La FTC explique qu’un simple extrait audio peut suffire à produire une voix qui ressemble à celle d’un proche, d’un dirigeant ou d’une autre personne de confiance.
Exemple 4 : le faux support ou la fausse alerte de sécurité
Le message dit qu’un compte est bloqué, qu’une activité suspecte a été détectée, ou qu’un paiement doit être confirmé. La FTC liste ce type de scénarios parmi les tactiques classiques : activité suspecte fictive, problème de compte inventé, lien pour “mettre à jour” des informations, facture inconnue, faux remboursement, faux coupon, etc. L’IA ne crée pas ces scénarios, mais elle les rend plus propres, plus crédibles et plus faciles à multiplier.
Le piège le plus dangereux : on cherche encore “le mail mal écrit”
Beaucoup de gens évaluent encore un message douteux avec une vieille grille : fautes, ton bizarre, visuel cheap. Cette grille devient insuffisante.
Un phishing assisté par IA peut être :
- bien écrit ;
- bien présenté ;
- cohérent ;
- poli ;
- adapté à votre langue ;
- et pourtant totalement frauduleux.
Le risque, c’est donc de baisser la garde parce que “ça a l’air sérieux”. Or la qualité de rédaction n’est plus un indicateur fiable. Ce n’est plus la forme qui trahit forcément l’attaque. C’est souvent la demande elle-même.
Les signaux d’alerte qui restent valables
Même si le texte est meilleur, les vieux ressorts de manipulation, eux, n’ont pas changé.
1. L’urgence artificielle
“Tout de suite”, “avant 17h”, “dernier rappel”, “votre compte sera suspendu”, “paiement en attente”. Le phishing continue de miser sur la précipitation, parce qu’un humain pressé vérifie moins. La FTC cite justement les faux problèmes de compte, les activités suspectes inventées ou les paiements urgents parmi les scénarios fréquents.
2. La demande de secret ou de contournement
Si un message vous pousse à agir hors procédure — changer un paiement sans validation, envoyer un code, cliquer sans vérifier, garder cela “entre nous”, passer par un canal inhabituel — il faut lever un drapeau immédiat. Le ton peut être parfait ; la logique reste suspecte.
3. Le lien ou la pièce jointe comme point de bascule
Le phishing veut généralement vous faire cliquer, ouvrir, télécharger, vous connecter ou transmettre une donnée. CISA rappelle que le phishing cherche à vous faire ouvrir des liens, emails ou pièces jointes malveillants afin de soutirer des informations ou d’infecter vos appareils.
4. Le changement de canal imposé
Un message commence par email, puis vous pousse vers WhatsApp, SMS, téléphone, ou un portail externe. Ce basculement sert souvent à sortir du cadre normal de vérification.
5. La demande inhabituelle d’argent ou d’identifiants
La FTC rappelle que les escrocs cherchent notamment à voler mots de passe, numéros de compte, numéros de sécurité sociale ou à faire payer via des moyens difficiles à récupérer. Dans les escroqueries vocales, elle cite aussi les virements, la crypto et les cartes cadeaux comme signaux d’alerte.
Les mesures de protection accessibles
Il ne sert à rien de répondre à une menace industrialisée avec des conseils mous. Il faut des protections simples, réalistes, répétables.
1. Vérifier hors du message
Si un mail, un SMS ou un appel vous demande une action sensible, ne validez rien depuis ce message. Recontactez la personne ou l’entreprise via un canal que vous connaissez déjà : numéro officiel, site habituel, contact enregistré. La FTC dit clairement, pour les arnaques à la voix clonée : ne faites pas confiance à la voix, rappelez via un numéro que vous savez être le bon.
2. Ne jamais cliquer “pour voir” sur un lien sensible
La FTC rappelle qu’une vraie entreprise peut communiquer par email, mais qu’une entreprise légitime ne vous enverra pas un lien par email ou SMS pour mettre à jour vos informations de paiement. Si le message vous pousse à “confirmer” un accès, un mot de passe, un paiement ou une donnée bancaire via un lien, partez du principe que c’est douteux jusqu’à preuve du contraire.
3. Utiliser un gestionnaire de mots de passe
Un bon gestionnaire de mots de passe vous aide sur un point décisif : il ne remplit pas automatiquement vos identifiants sur un faux domaine qui imite le vrai. C’est une protection pratique contre les pages de connexion contrefaites.
4. Activer une MFA résistante au phishing
Le simple code reçu par SMS est mieux que rien, mais il n’est pas la défense la plus solide. CISA recommande explicitement la mise en place d’une phishing-resistant MFA, c’est-à-dire des méthodes plus robustes contre l’interception et la tromperie, comme les passkeys ou les clés de sécurité.
5. Garder les filtres et les appareils à jour
La FTC recommande les filtres anti-spam et les mises à jour automatiques comme couche de base. Ce n’est pas spectaculaire, mais c’est ce qui bloque une partie du volume avant que l’humain n’entre en scène.
6. Mettre des règles simples sur les paiements et changements sensibles
Dans une entreprise, une modification de coordonnées bancaires, un virement urgent, un partage d’accès ou un envoi de document sensible ne devraient jamais dépendre d’un seul message. La bonne défense n’est pas seulement technique : c’est aussi une règle interne claire, du type double validation + vérification sur canal séparé.
7. Former les équipes sur des cas crédibles, pas sur des caricatures
CISA insiste sur la formation des employés pour éviter le phishing. Mais cette formation doit évoluer : si vous montrez encore uniquement des arnaques grossières pleines de fautes, vous préparez mal les gens au vrai risque actuel.
Ce qu’il faut retenir
Les escrocs utilisent les chatbots non pas pour inventer une arnaque entièrement nouvelle, mais pour industrialiser des arnaques déjà efficaces : mieux écrire, mieux imiter, mieux adapter, plus vite, à plus grande échelle. Europol résume bien le problème : l’IA rend ces opérations plus adaptables, plus sophistiquées, plus scalables et plus difficiles à repérer.
Le danger, aujourd’hui, ce n’est plus seulement le mail grotesque. C’est le message crédible, bien formulé, banal en apparence, qui vous pousse à faire vite, à cliquer, à payer, ou à donner un accès.
Le bon réflexe n’est donc plus : “Est-ce que ce message est mal écrit ?”
Le bon réflexe est : “Est-ce que cette demande est normale, vérifiable, et conforme à la procédure ?”
C’est cette bascule-là qui protège encore quand la forme, elle, devient de plus en plus convaincante.
