L’IA au service des pirates : comment les attaques de phishing ont changé en 2026
Les attaques de phishing en 2026 ne ressemblent plus à ce qu’elles étaient il y a trois ans. L’époque des emails bourrés de fautes d’orthographe envoyés par un “prince nigérian” est révolue. L’intelligence artificielle a transformé le phishing de fond en comble — rendant les attaques plus précises, plus personnalisées et infiniment plus difficiles à détecter. Ce guide explique comment les pirates utilisent l’IA aujourd’hui et ce que tu peux faire pour te protéger.
Ce qui a changé avec l’IA
Pendant des années, le phishing se repérait facilement : mauvaise orthographe, mise en page grossière, contexte incohérent, urgence criante et adresse email suspecte. Les filtres anti-spam apprenaient à les bloquer, et les utilisateurs apprenaient à les ignorer.
Puis les LLMs (Large Language Models) comme GPT-4 et ses successeurs sont devenus accessibles à tous — y compris aux criminels.
Les nouvelles techniques de phishing alimentées par l’IA
1. Le spear phishing à grande échelle
Le spear phishing (hameçonnage ciblé) existait avant l’IA, mais nécessitait beaucoup de travail manuel : rechercher la cible, comprendre son contexte, écrire un message sur mesure. Réservé aux attaques de haut niveau contre des cadres ou des institutions.
Avec l’IA, ce travail peut être automatisé à grande échelle. Un script collecte automatiquement des informations sur une cible via LinkedIn, son site web d’entreprise, ses posts sur les réseaux sociaux, les articles de presse qui la mentionnent — puis génère un email parfaitement adapté en quelques secondes.
Exemple concret : tu reçois un email qui mentionne le nom de ton responsable, ton projet récent, et une demande qui s’inscrit parfaitement dans le contexte de ton travail actuel. L’email est rédigé dans un français impeccable, avec un ton qui correspond exactement à celui de ton milieu professionnel. C’est de l’IA.
2. Le voice phishing (vishing) par clonage de voix
En 2025 et 2026, des cas documentés montrent des fraudeurs qui clonent la voix d’un supérieur hiérarchique pour appeler des employés et leur demander de faire des virements ou de partager des identifiants.
Avec 15 à 30 secondes d’audio (disponible dans une vidéo YouTube, un podcast, une réunion Zoom enregistrée), un outil d’IA peut générer une voix quasi-indiscernable de l’original.
Au Canada, plusieurs entreprises ont signalé des pertes à la suite de ce type d’attaque.
3. Les emails sans liens suspects
Les filtres anti-phishing analysent les liens dans les emails pour détecter les URLs malveillantes. Les attaquants IA ont contourné ça : ils envoient des emails sans aucun lien suspect, en engageant simplement la conversation. Une fois que tu réponds et que tu sembles réceptif, ils envoient le lien ou te dirigent vers une autre communication.
4. Le phishing par QR code (quishing)
Les filtres d’emails analysent le texte et les URLs. Pas les images. Les attaquants embarquent des QR codes dans leurs emails — l’email passe les filtres, et l’utilisateur est redirigé vers une fausse page de connexion quand il scanne le code avec son téléphone.
Cette technique a explosé en 2025 et cible particulièrement les environnements professionnels (faux codes QR de “validation de compte Microsoft” ou “mise à jour de sécurité”).
5. Les deepfakes vidéo dans les réunions
Des cas rapportés en 2025-2026 montrent des fraudeurs qui se joignent à des appels Zoom ou Teams en utilisant une fausse vidéo en temps réel, se faisant passer pour un collègue ou un cadre. La technologie de deepfake en temps réel est désormais accessible avec un ordinateur ordinaire.
6. Le phishing adaptatif
Les LLMs permettent de créer des agents de phishing qui s’adaptent en temps réel à tes réponses. Si tu poses des questions de vérification, l’IA répond de façon cohérente. Si tu montres des signes de suspicion, elle change d’approche. C’est une conversation, pas un email statique.
Pourquoi les défenses traditionnelles ne suffisent plus
Les filtres anti-spam basés sur des listes noires et des patterns de texte sont dépassés. Les contenus générés par IA sont uniques, sans les marqueurs habituels.
La règle “cherche les fautes d’orthographe” ne fonctionne plus. L’IA écrit mieux que la plupart des humains.
“Je connaîtrais un vrai email de mon collègue” — non, pas si c’est un clone de voix ou un deepfake.
Les formations de sensibilisation classiques (formation annuelle, simulations de phishing basiques) ne préparent pas aux attaques adaptatives et multimodales de 2026.
Les défenses qui fonctionnent en 2026
Pour les individus :
1. Vérifie par un canal différent. Si tu reçois un email inhabituel de ton patron ou d’un collègue (demande de virement, partage d’identifiants, urgence), rappelle-le via le numéro que tu as dans tes contacts — pas le numéro dans l’email. C’est la règle la plus importante.
2. Ralentis face à l’urgence. L’IA est conçue pour créer de la pression. L’urgence est une technique de manipulation. Prendre 60 secondes pour vérifier peut t’éviter de perdre des milliers de dollars.
3. FIDO2/Passkeys contre le phishing de credentials. Si tu utilises des passkeys ou des clés de sécurité physiques (YubiKey), ton identifiant ne peut pas être volé via phishing — la clé est liée à un domaine spécifique et ne fonctionne pas sur les fausses pages.
4. Méfie-toi des QR codes dans les emails. Surtout ceux qui demandent de se “connecter” ou “valider” quelque chose.
5. Appelle si le montant est significatif. Aucune demande de virement ou d’accès sensible ne devrait être approuvée uniquement par email.
Pour les entreprises :
1. Zero Trust : ne pas faire confiance à l’identité basée sur l’email seul. Toute demande sensible nécessite une vérification multi-canal.
2. DMARC, DKIM, SPF : s’assurer que ces protocoles sont correctement configurés pour éviter que ton domaine soit usurpé dans des attaques contre tes clients ou partenaires.
3. Formations de simulation avancées : tester les employés avec des simulations de phishing qui reproduisent les techniques actuelles — pas juste des emails avec des fautes d’orthographe.
4. Processus de vérification des virements : toute demande de virement au-dessus d’un certain seuil doit être verbalement confirmée avec la personne concernée.
5. Surveillance des communications : des outils comme Microsoft Defender ou les SIEM modernes peuvent détecter des patterns de comportement inhabituels même si le contenu du message semble légitime.
Les cibles prioritaires en 2026
L’IA a rendu les attaques ciblées accessibles pour de petites cibles. Les criminels ne visent plus seulement les grandes entreprises. Les PME, les professionnels indépendants, les comptables, les avocats, les gestionnaires de patrimoine sont désormais ciblés précisément parce qu’ils gèrent des actifs significatifs avec des défenses moins robustes.
Exemple d’attaque réelle (cas type 2025)
Une PME québécoise reçoit un email de ce qui semble être son comptable, demandant un changement de coordonnées bancaires pour le prochain virement. L’email utilise exactement le même style que les vraies communications du comptable (l’IA a été entraînée sur ses emails précédents, obtenus via une compromission partielle de son compte).
Le virement de 85 000$ part vers un compte en Hongrie. Le vrai comptable n’était au courant de rien.
Ressources pour aller plus loin
Le Centre canadien pour la cybersécurité publie des alertes régulières sur les campagnes de phishing actives au Canada. C’est une ressource fiable, mise à jour régulièrement.
Tu veux évaluer la résistance de tes employés aux attaques de phishing par IA ? Je conduis des simulations de phishing avancées et des formations adaptées aux menaces de 2026. Contacte-moi à khalid@sequr.ca.
Voir aussi : Deepfake et fraude : comment les reconnaître avant de te faire piéger — Vol de credentials : comment les pirates volent tes accès
