L’époque des emails de phishing truffés de fautes et des tentatives d’arnaque grossières est définitivement révolue. L’année 2026 marque en effet un véritable tournant historique : l’intelligence artificielle (IA) a transformé la cybercriminalité, la faisant passer d’une réalité artisanale à celle d’une industrie mondiale hautement automatisée et à forte capacité de croissance.
Si l'on avait affaire autrefois à des individus isolés et à la portée limitée, on fait face aujourd’hui à des réseaux organisés dotés d’outils d’IA spécialisés, de stratégies fondées sur les données et d’une scalabilité pratiquement illimitée. Pour les utilisateurs de l’e-banking et des services financiers numériques, cela signifie que les signaux d’alerte habituels (fautes d’orthographe, titre de civilité non personnalisé ou expéditeurs suspects) deviennent de moins en moins pertinents.
Alors que les instituts bancaires renforcent sans cesse leurs mécanismes de protection, les attaquants déplacent stratégiquement leur cible vers le maillon faible du système : l’humain. Dans ce contexte, l’IA sert à la fois d’amplificateur, d’outil de précision et de vecteur d'illusion ultraréaliste.
Deepfake et Voice Cloning : quand l’identité devient une proie
L’évolution la plus dangereuse est sans aucun doute le deepfake, c’est-à-dire la capacité à cloner des voix et à générer des vidéos plus vraies que nature. S'il fallait autrefois des heures d’enregistrement, quelques secondes chipées sur les réseaux sociaux ou un message vocal suffisent aujourd'hui pour créer un « jumeau numérique » tout à fait convaincant.
- La fraude au PDG 2.0 :
Lors d’une visioconférence apparemment normale, un dirigeant ordonne de procéder à un virement urgent. Sa voix, son visage et même ses tics de langage : tout est parfait. Mais en réalité, cette personne ne participe pas à la visioconférence. - L’appel d’urgence :
Les victimes reçoivent l’appel d’un prétendu membre de leur famille en situation d’urgence. L’IA ne se contente pas seulement d'imiter la voie, mais crée un scénario complet qui inclut le stress, les émotions et les bruits d’ambiance.
Personnalisation de masse grâce aux LLM
Les grands modèles de langage (Large Language Model, LLM), tels que ChatGPT, Gemini ou Claude, sont des systèmes d’IA entraînés sur des volumes de données gigantesques, dans le but de générer des textes logiques et de résoudre des tâches complexes. Ces LLM permettent de mettre au point des arnaques personnalisées, parfaitement contextualisées et opérées en temps réel. Au lieu de recourir à des mails génériques envoyés en masse, les pirates utilisent l’IA pour créer des scénarios hyper personnalisés et d'un réalisme trompeur. Pour ce faire, les systèmes analysent des informations accessibles au public, comme par exemple les profils sur les réseaux sociaux, les sites web d’entreprises ou les communiqués de presse, et les recoupent entre elles pour créer des histoires parfaitement crédibles. C’est ainsi que sont générées des demandes de paiement ou des références à un projet réel, déjouant ainsi les soupçons.
Force est également de constater que la barrière de la langue n’existe plus dans ce domaine : les IA modernes sont en effet non seulement capables de traduire correctement les contenus, mais aussi de les adapter aux différentes réalités culturelles et linguistiques. Les fraudeurs peuvent ainsi s’exprimer parfaitement en allemand standard, en suisse allemand voire même dans des dialectes régionaux, ce qui les rend bien plus authentiques qu’auparavant.
Une autre différence majeure réside dans l’interactivité : alors que les emails de phishing classiques étaient statiques, les systèmes dopés à l’IA réagissent aujourd’hui de manière dynamique. Capables de converser de manière convaincante, ils peuvent fournir des explications plausibles et répondre aux objections en adaptant leur argumentation en fonction des réactions de la victime et ce, en temps réel. Il en résulte une forme de communication quasiment impossible à distinguer des interactions humaines réelles.
Automatisation et industrialisation : quand la fraude devient un modèle d’affaires
Les fraudes s’opèrent aujourd’hui à l’échelle industrielle :
- Crime-as-a-Service :
Des criminels vendent des outils d’IA « clés en main », des services de deepfake ou des campagnes d’arnaque complètes sur le Darknet, support technique et mises à jour comprises. - L’A/B testing de la fraude :
Les attaques sont optimisées comme des campagnes marketing. Différentes variantes sont ainsi testées, les taux de réussites analysés, et les stratégies ajustées en continu. - Modèles de fonctionnement 24/7 :
Les systèmes d’IA travaillent jour et nuit, sans pause, et ne se fatiguent jamais, ce qui augmente l’efficacité des attaques.
Le piège psychologique : quand l’ingénierie sociale est poussée à l’extrême
Au-delà des progrès technologiques, les attaques continuent de cibler le comportement humain. L’IA renforce en effet des leviers psychologiques bien connus et les utilise avec une précision sans précédent. Les escrocs jouent très souvent sur le sentiment d’urgence, en faisant croire aux victimes qu’elles doivent agir immédiatement pour éviter le pire. Parallèlement, ils mettent en scène un rapport d’autorité, à travers notamment de prétendues instructions émanant d’un supérieur hiérarchique, d’une banque ou d'une autre autorité. Le caractère rare est également utilisé à travers la suggestion d’une opportunité unique ou limitée dans le temps. Les criminels misent également sur l’instauration d’un climat de confiance, en se faisant passer par exemple pour des personnes connues ou en évoquant des relations personnelles.
Stratégies de protection possibles
Aujourd’hui, les solutions techniques ne suffisent plus à elles seules. Tout repose sur le renforcement du « pare-feu humain », soit sur la conscience et la vigilance des utilisateurs. L’IA peut également être utilisée pour la détection des fraudes, mais les méthodes actuelles ne sont pas encore fiables.
- Utiliser systématiquement l’authentification à deux facteurs (2FA), la sécurité biométrique et les confirmations de transaction.
- En cas de demandes de paiement inhabituelles, utiliser toujours un deuxième canal de vérification. Pour rappeler une personne ou un institut bancaire, le numéro à composer doit toujours être le numéro officiel, connu.
- Ne jamais céder à la pression du temps, qui est un moyen de manipulation classique. Les instituts sérieux ne fixent jamais de délais irréalistes.
- En cas de doute, appliquer le « principe du double contrôle ».
- Moins on publie de données personnelles (sur les réseaux sociaux par exemple), moins on est vulnérable.
