Un appel de votre banque, une voix familière qui imite votre conseiller, un ton professionnel et rassurant : rien ne trahit l’arnaque. Le hameçonnage vocal par IA, aussi appelé vishing IA, utilise le clonage vocal pour reproduire n’importe quelle voix à partir de quelques secondes d’enregistrement. En 2026, cette technique est accessible à des escrocs ordinaires et génère des préjudices croissants. Voici comment elle fonctionne et comment s’en protéger.
Le clonage vocal repose sur des algorithmes d’apprentissage automatique capables d’analyser les caractéristiques acoustiques d’une voix et de les reproduire avec une fidélité troublante. En 2026, certains outils accessibles en ligne peuvent générer un clone vocal exploitable à partir de quelques minutes d’enregistrement. Pour un résultat plus convaincant, il faut idéalement entre 30 minutes et plusieurs heures de voix de bonne qualité. Les sources d’enregistrement sont nombreuses : une vidéo publiée sur les réseaux sociaux, un message vocal WhatsApp, un discours disponible en ligne.
Le hameçonnage vocal par IA prend plusieurs formes selon la cible et l’objectif. Trois scénarios dominent en 2026 et méritent une attention particulière.
Le mot de passe familial : une protection simple et efficace
Convenez avec vos proches d’un mot de code connu uniquement par votre famille. En cas d’appel urgent d’un proche, demandez-lui ce mot de passe. Si la personne ne peut pas le fournir, raccrochez et rappelez directement sur le numéro habituel.
La protection repose d’abord sur un principe comportemental : ne jamais valider une action sensible sous la pression d’un appel non sollicité, même si la voix vous semble familière. Les banques, les opérateurs et les services officiels ne demandent jamais par téléphone vos codes secrets, vos mots de passe ou votre validation immédiate d’une opération.
Plusieurs réflexes concrets permettent de déjouer ces attaques. D’abord, raccrochez systématiquement si quelqu’un vous demande d’agir vite ou de garder l’appel secret. Ensuite, rappelez la personne ou l’organisme concerné sur le numéro officiel que vous connaissez déjà, pas sur un numéro fourni pendant l’appel. Par ailleurs, si vous recevez un message vocal d’un proche en situation d’urgence, appelez directement sa ligne habituelle pour vérifier. Enfin, limitez les contenus audio et vidéo que vous publiez en ligne, car ils constituent la matière première du clonage vocal.
Sur les réseaux sociaux, vérifiez la confidentialité de vos contenus : vidéos, reels, messages vocaux publics. Plus votre présence vocale est publique, plus il est facile de cloner votre voix. Cette précaution vaut aussi pour vos proches, notamment les plus âgés qui pourraient être ciblés via votre propre voix clonée.
Aucun conseiller Bouygues Telecom ne vous demandera votre code secret
Si vous recevez un appel prétendant venir de Bouygues Telecom et demandant votre mot de passe, votre code client ou votre validation d’opération par téléphone, raccrochez immédiatement et contactez le service client via les canaux officiels.
En France, la voix d’une personne bénéficie d’une double protection légale. Elle relève à la fois du droit à la vie privée (article 9 du Code civil) et des droits voisins des artistes-interprètes (article L.212-3 du Code de la propriété intellectuelle). Par ailleurs, la loi SREN du 21 mai 2024 a renforcé le cadre juridique autour des deepfakes en imposant des obligations de consentement explicite pour le clonage vocal.
Depuis août 2025, le règlement européen sur l’IA impose une obligation de transparence pour les contenus synthétiques, visuels ou vocaux. Tout système d’IA générant une voix clonée doit signaler clairement que le contenu est artificiel. La violation de ces règles expose à des sanctions pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende selon l’article 335-4 du Code de la propriété intellectuelle. Toutefois, ces règles s’appliquent aux usages légaux : les escrocs opèrent hors de tout cadre légal, ce qui rend la vigilance individuelle indispensable.
Deux outils existent, mais leurs limites les rendent peu utiles pour un particulier. L’ElevenLabs AI Speech Classifier (gratuit sur elevenlabs.io/ai-speech-classifier) détecte uniquement les voix générées par ElevenLabs : un escroc utilisant un autre outil passe à travers. Hive Moderation propose une détection audio professionnelle, mais son accès est réservé aux entreprises en formule Enterprise, sans option grand public. En pratique, aucun outil accessible ne couvre l’ensemble des générateurs vocaux. La meilleure protection reste donc comportementale : ne pas agir sous pression d’un appel non sollicité et vérifier l’identité du correspondant via un rappel sur un numéro connu.
Les opérateurs disposent de systèmes de détection des appels frauduleux, notamment via l’analyse des patterns d’appels massifs. Toutefois, un appel ciblé utilisant une voix clonée est difficile à distinguer d’un appel légitime au niveau du réseau. La vigilance individuelle reste donc la première ligne de défense.
Oui. En France, cloner la voix d’une personne sans son consentement explicite est illégal. La loi SREN de 2024 et le règlement européen sur l’IA imposent un consentement traçable pour tout usage commercial du clonage vocal. En cas d’usage frauduleux, cela constitue une atteinte au droit à la vie privée et peut engager des poursuites pénales pour escroquerie aggravée.
Sources : Cybermalveillance.gouv.fr ; Loi SREN n° 2024-449, 21 mai 2024 ; Règlement européen sur l’IA (AI Act), en vigueur août 2025 ; Blog Cyberjustice, mars 2025 ; CNIL, recommandations sur les contenus synthétiques.