Phishing augmenté par l'IA : repérer les mails qui ne se trahissent plus
La faute d'orthographe qui trahissait l'arnaque a quasiment disparu. Les repères ont changé, pas la vigilance à avoir.
Un écart d'efficacité qui se mesure
Une étude de l'université Cornell montre que les emails de phishing générés par IA déclenchent 54% de clics, contre seulement 12% pour un phishing générique à l'ancienne. L'écart s'explique par la personnalisation : l'IA peut désormais compiler des données publiques, analyser des publications internes et imiter le style d'un dirigeant pour construire un message ciblé, là où un cybercriminel devait autrefois y passer des heures manuellement.
Ce qui a changé concrètement
Les emails sont désormais rédigés sans faute, avec des logos conformes et parfois de faux sites dotés de certificats SSL valides, ce qui ne garantit plus rien sur la légitimité d'un site. Autre évolution notable : le smishing (phishing par SMS) a augmenté de 85% en 2025, souvent via de faux messages de livraison enrichis par IA — certains escrocs génèrent même une photo de colis avec le nom du destinataire imprimé dessus pour renforcer la crédibilité.
Plus préoccupant encore : les deepfakes vocaux. Quelques secondes d'audio prélevées sur les réseaux sociaux suffisent à générer une copie convaincante de la voix d'un proche, utilisée pour demander un virement d'urgence par téléphone.
Les signaux qui restent fiables
- L'adresse d'expéditeur exacte, pas seulement le nom affiché — un domaine légèrement modifié (@doctolib-service.com au lieu de @doctolib.com) reste le signe le plus fiable.
- L'URL réelle derrière un lien, visible en le survolant sans cliquer, avant toute saisie d'identifiants.
- L'urgence artificielle : un compte à réactiver "immédiatement", un remboursement conditionné à une confirmation de RIB — le sentiment de pression reste le signal comportemental le plus constant, IA ou non.
- La demande de données confidentielles par mail : aucun organisme sérieux (banque, Assurance Maladie, impôts) ne réclame un code secret ou des coordonnées bancaires complètes par email.
Le réflexe qui protège dans tous les cas
Ne jamais cliquer sur le lien d'un email qui demande une action urgente. Se connecter directement au site officiel en tapant l'adresse soi-même, ou en passant par l'application officielle. En cas de doute persistant, contacter l'expéditeur supposé par un autre canal — un appel téléphonique à un numéro connu, pas celui indiqué dans le message suspect.