Se connecter S’abonner
Cybersécurité

Phishing boosté à l’IA : où en sommes-nous en 2025 et comment se défendre vraiment

Phishing généré par IA, deepfakes, vishing, quishing : en 2025, les attaques explosent et deviennent indétectables à l’œil nu. Voici les nouvelles menaces et les défenses à mettre en place.

Tom

8 min read
Phishing boosté à l’IA : où en sommes-nous en 2025 et comment se défendre vraiment

Les emails bourrés de fautes avec un lien douteux, c’est (presque) fini.
En 2025, les campagnes de phishing sont devenues propres, personnalisées, multicanales… et souvent rédigées ou amplifiées par de l’IA générative.

Les agences européennes (ENISA, Europol), les grands acteurs de la cybersécurité et même le FBI tirent tous la même conclusion :

le phishing boosté à l’IA est en train de devenir la menace numéro 1 pour les entreprises.

Dans cet article, on fait le point sur où on en est réellement, ce qui a changé avec l’IA, et ce qu’il faut renforcer côté défense.

1. Le paysage 2025 : le phishing a changé d’échelle

Quelques tendances lourdes suffisent à poser le décor :

  • Selon ENISA, le phishing et le prétexting par email restent l’un des principaux vecteurs initiaux d’incidents dans l’UE, largement utilisés aussi bien par le cybercrime que par des acteurs étatiques.
  • Dans le secteur financier européen, ENISA constate que le phishing (email, SMS, téléphone) demeure le vecteur de fraude le plus courant, avec une montée nette des attaques de business email compromise (BEC).
  • Le rapport Zscaler ThreatLabz 2024 estime que les attaques de phishing ont augmenté de 58,2 % en 2023 par rapport à 2022, avec une montée des attaques vishing (phishing vocal) et deepfake dopées à l’IA.
  • Le rapport Hoxhunt Phishing Trends 2025 rappelle que :
    • 64 % des entreprises ont subi au moins une attaque BEC en 2024 ;
    • 80 % des campagnes de phishing visent des identifiants (Microsoft 365, Google Workspace, etc.) ;
    • environ 80 % des sites de phishing utilisent désormais HTTPS, ce qui rend le simple cadenas du navigateur largement insuffisant comme signal de confiance.

Côté IA, plusieurs études et rapports convergent :

  • KELA note une hausse de plus de 200 % des mentions d’outils IA malveillants sur les forums cybercriminels et décrit comment ces outils servent à automatiser phishing, deepfakes et malware.
  • Europol, dans son IOCTA 2025, souligne que les groupes criminels intègrent l’IA dans leurs “business models” pour automatiser les attaques, améliorer le social engineering et contourner des contrôles de sécurité.

En résumé :
👉 le phishing n’est plus seulement une question de “spam nul et grossier”, c’est devenu un produit industriel dopé à l’IA.

2. Phishing rédigé par IA : des emails qui cliquent beaucoup trop

Les grands modèles de langage (LLM) ont cassé trois freins historiques du phishing :

  1. La qualité du texte (fautes, tournures bizarres)
  2. Le temps nécessaire pour personnaliser chaque email
  3. La barrière de la langue

Des travaux académiques cités par Europol montrent que :

  • des campagnes de spear phishing entièrement rédigées par LLM peuvent atteindre jusqu’à 54 % de taux de clic,
  • contre environ 12 % seulement pour des emails rédigés manuellement par des humains.

D’autres analyses (Deepstrike, StrongestLayer, etc.) estiment que :

  • les attaques de phishing liées à l’IA générative ont augmenté de plus de 1 000 % depuis l’arrivée des grands modèles accessibles au public ;
  • des campagnes de phishing IA peuvent être créées en quelques minutes, pour un coût réduit d’environ 95 % par rapport à du social engineering “à la main”.

Concrètement, aujourd’hui un attaquant peut :

  • récupérer des infos publiques (LinkedIn, posts, organigrammes, communiqués) ;
  • demander à un LLM de rédiger par exemple :
    • “un mail crédible de la part du CFO vers [Prénom] pour valider un virement urgent” ;
    • “une relance RH à propos d’une mise à jour de paie” ;
  • traduire le tout dans la langue de la cible, avec le ton adapté.

Résultat :
👉 les indices classiques (syntaxe approximative, ton étrange, erreurs culturelles) disparaissent.
👉 même des utilisateurs “sensibilisés” peuvent se faire piéger.

3. Au-delà de l’email : vishing, deepfakes et attaques hybrides

L’IA ne se contente plus d’écrire des emails. Elle parle, imite et se montre.

3.1. Vishing & voix clonées

Les attaques de vishing (phishing vocal) explosent :

  • Des rapports de 2024–2025 montrent que le vishing peut augmenter de plus de 400 % d’une période à l’autre, avec une projection de dizaines de milliards de dollars de pertes liées aux fraudes deepfake d’ici 2027.
  • Group-IB documente une hausse de près de 200 % des fraudes liées aux deepfakes en Asie-Pacifique entre 2023 et 2024, avec des incidents à plus d’un million de dollars par cas pour certaines banques.

Techniquement, il suffit de quelques secondes de voix (podcast, interview, vidéo YouTube, TikTok, réunion enregistrée…) pour générer un clone vocal très crédible.

Scénarios typiques :

  • faux appel du “CEO” demandant un virement exceptionnel ;
  • faux technicien support d’une banque au ton très professionnel ;
  • voix d’un proche simulant une urgence (“accident”, “garde à vue”, etc.).

3.2. Deepfakes vidéo & “réunions” truquées

Les deepfakes vidéo sont passés du meme rigolo au levier de fraude majeur :

  • Dans un cas devenu emblématique, un employé d’un grand groupe a réalisé 15 virements pour un total de plus de 25 M$, après une visioconférence où tous ses interlocuteurs (CFO, collègues…) étaient en réalité des deepfakes vidéo/voix.
  • Des cas similaires chez d’autres groupes (tentatives sur des agences de pub, constructeurs auto, etc.) montrent que des exécutifs se font appeler sur Teams/WhatsApp par un “CEO” deepfake, parfois déjoué de justesse grâce à une question personnelle ou un détail qui cloche.

Là encore, on n’est plus dans le “mail suspect” :
👉 c’est une réunion visio entière qui semble légitime.

4. Nouvelles variantes : quishing, AiTM, messages sur Slack / Teams

Les rapports récents montrent que le phishing IA n’est plus cantonné à la boîte mail :

  • Quishing (QR code phishing) : hausse nette des campagnes où l’utilisateur scanne un QR code (affiche, email, faux colis, etc.) qui le redirige vers une page de phishing. Certaines études parlent d’environ +25 % sur un an.
  • Smishing (SMS) et vishing restent également très utilisés, surtout dans la finance et les services publics.
  • AiTM (Adversary-in-the-Middle) : de nombreuses campagnes utilisent une page de phishing qui intercepte en temps réel identifiants et cookies de session, permettant de bypasser le MFA et de lancer ensuite une attaque BEC.
  • Canaux collaboratifs : environ 40 % des campagnes ciblent désormais aussi des canaux comme Slack, Teams, réseaux sociaux et messageries perso, en complément de l’email.

Bref :
👉 le phishing est devenu multicanal, et l’IA aide à adapter le ton, le timing et le contenu à chaque contexte.

5. L’IA côté attaquants… et côté défense

5.1. Comment les attaquants exploitent l’IA

Les rapports KELA, Zscaler, Deepstrike et Europol décrivent un schéma récurrent :

  1. Collecte automatisée de données
    • scraping de LinkedIn, GitHub, X, sites d’entreprise, fuites de données ;
    • classification par rôle, niveau hiérarchique, service, exposé médiatique.
  2. Génération & traduction de contenus
    • rédaction de mails, scripts d’appels, messages Slack/Teams, SMS, en plusieurs langues ;
    • ajustement de la tonalité (ultra corporate, informelle, support technique, RH…).
  3. Automatisation de la campagne
    • envoi massif de variantes (polymorphisme) pour contourner les filtres ;
    • ajustement des modèles en fonction des taux de clic.
  4. Deepfakes & contournement des signaux de confiance
    • imitation vidéo/voix pour “valider” une demande ;
    • exploitation du fait que la plupart des entreprises n’ont pas de protocole spécifique anti-deepfake.

Même les grands modèles “légitimes” sont parfois sollicités :

  • Reuters rapporte par exemple qu’Anthropic a dû bloquer des tentatives d’utiliser Claude pour rédiger des emails de phishing, écrire du code malveillant et contourner des garde-fous — signe que les attaquants testent systématiquement les IA grand public.

5.2. Comment les défenseurs utilisent l’IA

Heureusement, l’IA n’est pas qu’une arme offensive. Beaucoup de rapports insistent sur le besoin de “combattre l’IA par l’IA” :

  • Détection de contenu :
    • analyse sémantique des emails (ton, intention, manipulation, usurpation) ;
    • détection de signaux psychologiques (urgence, menace, pression hiérarchique).
  • Analyse comportementale :
    • repérer qu’un employé ne se connecte jamais depuis tel pays/appareil ;
    • détecter qu’une demande de virement ne correspond pas aux habitudes.
  • Isolation & Zero Trust :
    • sandboxing ou isolation du navigateur pour les liens inconnus ;
    • segmentation d’accès pour limiter l’impact en cas de compromission.
  • Simulation & formation adaptative :
    • scénarios de phishing IA réalistes dans les programmes de sensibilisation ;
    • ajustement des campagnes de formation au niveau de chaque équipe / pays (ce que montrent, par exemple, les données de Hoxhunt).

6. Concrètement, comment se protéger en 2025 ?

6.1. Pour les particuliers

Quelques réflexes simples, mais vitaux :

  • Ne jamais se fier à la seule forme du message
    • un mail sans faute, avec logo nickel, peut être 100 % frauduleux ;
    • un appel avec une voix parfaite peut être un clone.
  • Vérifier par un canal secondaire
    • tu reçois une demande de virement “urgent” ? Rappelle ton interlocuteur sur un numéro déjà connu ou passe par un canal interne officiel ;
    • si on te presse, c’est souvent mauvais signe.
  • Se méfier des QR codes “magiques”
    • éviter de scanner les QR collés sur des affiches, distributeurs ou mails non sollicités ;
    • taper l’URL à la main pour les services sensibles (banque, impôts…).
  • Limiter tes empreintes voix/vidéo publiques
    • éviter de publier des messages vocaux publics inutilement ;
    • régler les paramètres de confidentialité sur les réseaux.

6.2. Pour les entreprises

Quelques axes prioritaires, vus dans les recommandations ENISA, Europol et des grands éditeurs de sécurité :

  1. Politiques & procédures claires
    • règles écrites pour les virements, changements d’IBAN, validation de factures ;
    • interdiction d’agir sur simple email ou appel non vérifié.
  2. Durcissement technique
    • authentification forte partout (MFA, FIDO2) + protection contre AiTM ;
    • filtrage d’email moderne (analyse de contenu, réputation, sandbox liens) ;
    • journalisation + détection d’anomalies (UEBA, SIEM, XDR).
  3. Formation continue “nouvelle génération”
    • simulations réalistes incluant IA, deepfakes, QR codes, SMS, appels ;
    • focus sur les populations à risque : finance, direction, RH, support, IT.
  4. Plan de réponse dédié aux fraudes IA
    • scénario spécifique “deepfake / CEO fraud / BEC” dans le plan de réponse à incident ;
    • procédures de gel des paiements, alerte aux partenaires bancaires, dépôt de plainte.
  5. Gouvernance des outils IA internes
    • éviter de nourrir des LLM publics avec des données sensibles (qui pourraient être réutilisées par des attaquants) ;
    • consigner les usages autorisés, les modèles acceptés, les données qui peuvent ou non être utilisées.

7. Où en sommes-nous vraiment ?

En 2025, on peut résumer la situation ainsi :

  • Le phishing classique est loin d’avoir disparu, mais il est désormais augmenté par l’IA, plus rapide, plus crédible et plus difficile à filtrer.
  • Les frontières entre texte, voix et vidéo s’effacent : un email IA peut être suivi d’un appel deepfake et d’une visio truquée.
  • Les attaquants industrialisent l’IA, mais les défenseurs commencent enfin à répliquer avec de l’IA côté détection, simulation et analyse.

La mauvaise nouvelle :

On ne peut plus se contenter de repérer “les mails mal écrits”.

La bonne :

En combinant bonnes pratiques humaines, outils techniques modernes et politiques claires, il est possible de réduire drastiquement l’impact de ces nouvelles campagnes IA-powered.

Le vrai enjeu pour les prochaines années sera moins de “tout bloquer” que de reconstruire de la confiance numérique dans un monde où n’importe quel message, voix ou visage peut être synthétique.

Sources