Anatomie d'une arnaque au Vishing IA

Anatomie d'une arnaque : Le Vishing IA de Nova Énergie

En novembre 2025, la petite entreprise bretonne Nova Énergie, spécialisée dans la rénovation énergétique, a fait l'objet d'une couverture médiatique suite à de nombreux appels de démarchage effectués en son nom. Des milliers de personnes à travers la France ont signalé recevoir ces appels, sans que l'entreprise y soit associée. Nova Énergie est la victime d'une usurpation d'identité à grande échelle via une intelligence artificielle. Cette situation illustre un phénomène de cybersécurité émergent : le Vishing IA.

Qu'est-ce que le "Vishing IA" ?

Le Vishing (Voice Phishing) est une pratique d'escroquerie par téléphone qui vise à soutirer des informations sensibles. Le "Vishing IA" en est une évolution redoutable. Ce n'est plus un humain qui appelle, mais un agent conversationnel piloté par une IA. La différence fondamentale réside dans l'interactivité et l'adaptabilité. Contrairement aux simples messages préenregistrés, cette IA peut tenir une conversation, poser des questions et ajuster son discours en fonction de vos réponses, rendant la supercherie beaucoup plus difficile à déceler.

L'arnaque de Nova Énergie, étape par étape

Pour comprendre la mécanique, décomposons le scénario vécu par les victimes de l'arnaque Nova Énergie.

1. L'appel initial et l'hameçon

Tout commence par un appel téléphonique. Au bout du fil, une voix d'homme, se présentant comme "Thomas de Nova Énergie", informe la personne qu'elle vérifie son éligibilité à des aides de l'État pour l'installation de panneaux photovoltaïques. La voix est naturelle, le ton professionnel. L'objectif initial est simple : capter l'attention et établir un semblant de légitimité.

2. Une conversation qui s'adapte en temps réel

C'est ici que l'intelligence artificielle entre en jeu. La voix n'est pas un simple script. Elle pose des questions et analyse les réponses pour qualifier le prospect. Les questions sont précises et ciblées :

  • Avez-vous moins de 72 ans ?
  • Êtes-vous propriétaire de votre logement ?

Cette capacité d'adaptation est la clé du succès de l'arnaque. La victime a l'impression de parler à un véritable conseiller qui s'intéresse à sa situation, ce qui désarme sa méfiance.

3. Le but final : le recontact et l'escroquerie

L'IA n'est qu'une première couche. Son rôle est de filtrer les milliers d'appels pour identifier les profils les plus prometteurs (personnes âgées, propriétaires, intéressées par les économies d'énergie). Une fois la victime "chaude" qualifiée, l'IA l'informe qu'un conseiller expert la recontactera. C'est à ce moment qu'un escroc humain prend le relais pour la phase finale de l'arnaque : vente sous pression de contrats surévalués, collecte de données bancaires, etc.

Comment une telle arnaque est-elle techniquement possible ?

Monter une telle opération peut sembler complexe, mais les technologies nécessaires sont devenues étonnamment accessibles.

Des technologies IA accessibles

La génération de voix (Voice Cloning) et les agents conversationnels ne sont plus l'apanage des géants de la tech. De nombreuses startups (comme ElevenLabs) et des plateformes comme Google Cloud ou Microsoft Azure proposent des API (interfaces de programmation) pour ces services. Le coût est relativement faible : quelques centimes d'euros par appel généré. Il n'est pas nécessaire d'avoir un budget de plusieurs centaines de milliers d'euros, mais plutôt des compétences pour assembler ces différentes briques technologiques.

L'anonymat par la multiplication

Pour masquer leurs traces, les fraudeurs utilisent deux techniques principales :

  • L'achat de numéros VoIP : Il est très facile et peu coûteux d'acheter des lots de numéros de téléphone virtuels.
  • L'usurpation d'identité de l'appelant (spoofing) : Cette technique permet d'afficher un numéro de téléphone différent de celui d'où l'appel est réellement émis. Les escrocs peuvent ainsi utiliser des milliers de numéros (français et étrangers) pour contourner les listes noires et donner une illusion de proximité.

Comment se protéger ?

Face à cette menace, la vigilance est le meilleur remède. Voici quelques réflexes à adopter pour les entreprises et les particuliers.

Pour les entreprises

  • Surveillez votre e-réputation : Suivez de près les avis sur Google, les réseaux sociaux et les forums. Une soudaine vague d'avis négatifs peut être le premier signal d'alerte.
  • Communiquez de manière transparente : Si vous êtes victime, comme l'a fait *Nova Énergie, alertez vos clients sur votre site officiel et via vos canaux de communication.
  • Déposez plainte : Même si les chances de retrouver les auteurs sont faibles, une plainte est essentielle pour la constitution d'un dossier et la sensibilisation des autorités.

Pour les particuliers

  • Méfiez-vous des appels non sollicités, même s'ils semblent provenir d'un numéro local ou d'une entreprise que vous connaissez.
  • Ne divulguez jamais d'informations personnelles (âge, statut de propriétaire, informations bancaires) à un interlocuteur non identifié.
  • Le réflexe clé : raccrochez et rappelez. Si un appel vous semble suspect, raccrochez et prenez contact avec l'entreprise en utilisant le numéro officiel trouvé sur son site web ou sur vos factures.

Sources

Qu'est-ce que le Vishing IA ?

Le Vishing IA est une forme d'escroquerie par téléphone qui utilise une intelligence artificielle pour mener une conversation interactive et adaptative, contrairement aux simples messages préenregistrés.

Comment savoir si un appel est généré par une IA ?

C'est de plus en plus difficile. Méfiez-vous des voix trop parfaites, de légères hésitations anormales, ou d'une incapacité à répondre à des questions complexes ou imprévues. Le meilleur réflexe est de raccrocher et de rappeler l'entreprise via un numéro officiel.

Que faire si je suis victime d'une arnaque au démarchage téléphonique ?

Ne communiquez aucune information personnelle. Notez le numéro de l'appelant et le contenu de la conversation. Déposez plainte au commissariat ou sur le site de la gendarmerie et signalez l'arnaque sur la plateforme www.cybermalveillance.gouv.fr.

Une entreprise peut-elle être tenue pour responsable si son identité est volée par une IA ?

Non, l'entreprise victime d'usurpation d'identité n'est pas responsable des actes des fraudeurs. Cependant, elle doit réagir rapidement pour protéger sa réputation et alerter ses clients, comme l'a fait Nova Énergie.

Est-ce que l'arnaque de Nova Énergie est un cas isolé ?

Non, ce n'est probablement qu'un exemple parmi d'autres. Les technologies de Vishing IA étant de plus en plus accessibles, ce type d'arnaque est amené à se développer et à viser des entreprises de toutes tailles et de tous secteurs.

Sur le même sujet

Arnaque téléphonique Sécurité
Scams et clonage de voix

Votre voix, la nouvelle cible des arnaques téléphoniques

Vous recevez un appel d'un numéro inconnu. Un faux sondage, une erreur de numéro, un démarchage insistant... Vous raccrochez, un peu agacé. Mais si le véritable but de l'appel n'était pas de vous vendre quelque chose, mais de voler votre voix ? Cette menace, autrefois de la science-fiction, est aujourd'hui bien réelle. Les arnaques par téléphone, ou vishing (voice phishing), prennent une tournure inquiétante en visant à capturer votre empreinte vocale pour la cloner.

Dark Web Cybersécurité
Ventes de prompts privés sur le dark web

Sur le dark web, les ventes de prompts privés (pré-prompt) se multiplient

Un nouveau marché souterrain prend de l'ampleur sur le dark web : celui des prompts privés. Ces instructions confidentielles qui pilotent les intelligences artificielles sont désormais vendues comme des marchandises rares. Pourquoi cette valeur soudaine ? Qui sont les acheteurs ? Et surtout, quels risques cela représente-t-il pour la sécurité des systèmes IA ?

Agent Code
Anthropic et campagne de hacking automatisée

Anthropic révèle une campagne de hacking automatisée par l'IA

Le 13 novembre 2025, Anthropic a publié un rapport faisant état de la première campagne d'espionnage cybernétique orchestrée par l'IA. Selon l'entreprise, des pirates informatiques parrainés par l'État chinois ont utilisé leur outil Claude Code pour automatiser une série d'attaques sophistiquées contre environ trente organisations mondiales. Cette découverte marque un tournant dans la cybersécurité, illustrant comment l'intelligence artificielle peut devenir une arme redoutable entre de mauvaises mains.

Mustafa Suleyman Microsoft
Portrait de Mustafa Suleyman

Qui est Mustafa Suleyman, l'architecte d'une IA humaniste ?

Figure incontournable de l'intelligence artificielle, Mustafa Suleyman est l'actuel PDG de Microsoft AI. Son parcours marqué par la co-fondation de DeepMind (rachetée par Google) et d'Inflection AI lui confère une perspective unique sur l'évolution du secteur. Il est particulièrement reconnu pour son engagement en faveur d'une IA éthique et centrée sur l'humain, une vision qu'il promeut activement à travers ses responsabilités et ses écrits.

Cybersécurité Whisper Leak
Analyse technique de l'attaque Whisper Leak

Qu'est-ce qu'une attaque "Whisper Leak" ?

En novembre 2025, l'équipe de sécurité de Microsoft a révélé une nouvelle classe de vulnérabilité affectant les grands modèles de langage (LLM) : l'attaque "Whisper Leak".
Cette attaque par canal auxiliaire (side-channel attack) ne compromet pas le chiffrement, mais exploite les métadonnées du trafic réseau pour déduire le sujet des conversations avec une IA. Pour les développeurs et les architectes logiciels, comprendre ce vecteur d'attaque est devenu essentiel pour concevoir des systèmes d'IA robustes et respectueux de la vie privée.

Musique Breaking Rust
Walk My Walk Breaking Rust IA Country

"Walk My Walk" : une chanson country entièrement réalisée par une IA se classe première aux États-Unis

"Walk My Walk", une chanson country entièrement générée par intelligence artificielle, a atteint la première place du classement Billboard Country Digital Song Sales. Ce succès inattendu signe non seulement une première historique, mais soulève également des questions fondamentales sur l'avenir de la création musicale et la place de l'IA dans un domaine jusqu'ici plutôt préservé.