Le phishing par email reste omniprésent, mais le smishing (SMS) et le vishing (appels vocaux) connaissent une croissance fulgurante. Dopés par l’IA et les services de messagerie de masse, ces modes d’attaque deviennent des menaces de premier plan pour les entreprises. Analyse des tendances, secteurs visés et stratégies de protection efficaces.
Le phishing par email reste une menace majeure, mais il n’est plus seul. Depuis 2024, les variantes que sont le smishing (via SMS) et le vishing (via appels téléphoniques ou messages vocaux) connaissent une croissance spectaculaire. Selon le rapport annuel de CrowdStrike, les attaques de vishing ont bondi de 442 % entre le premier et le second semestre 2024. De son côté, l’APWG (Anti-Phishing Working Group) souligne une progression continue du smishing, qui représente désormais une part significative des attaques mondiales.
Les cybercriminels utilisent le smishing et le vishing car ces canaux inspirent souvent plus de confiance qu’un simple email. Un appel téléphonique ou un SMS peut sembler légitime et être plus difficile à vérifier. Contrairement au phishing email, où l’on peut analyser l’adresse d’expédition ou un en-tête, la validation d’un numéro de téléphone est plus complexe.
De nombreuses attaques récentes l’ont démontré, notamment celles attribuées au groupe Scattered Spider, qui a usurpé l’identité d’employés auprès de services d’assistance pour obtenir des réinitialisations de mots de passe. Ces campagnes ont touché de grands détaillants britanniques et des entreprises américaines, prouvant l’efficacité du vishing comme porte d’entrée.
D’après l’APWG, les domaines SaaS/Webmail (23,3 %) et les réseaux sociaux (22,5 %) arrivent en tête des secteurs visés. La finance (11,9 %) et le commerce de détail (10,9 %) suivent de près. Ces chiffres montrent que les attaquants ne ciblent pas uniquement les banques, mais également les acteurs de l’e-commerce et les plateformes numériques, où circulent d’énormes volumes de données sensibles.
Sur le plan géographique, les États-Unis restent la cible prioritaire, suivis par le Royaume-Uni, l’Inde, le Canada et l’Allemagne.
Les attaques de smishing et de vishing échappent souvent aux radars des équipes SOC. Les smartphones utilisés par les employés sont généralement des appareils personnels, hors du périmètre de supervision. De plus, un appel vocal ou un SMS malveillant n’est pas aussi facilement filtré qu’un email.
Cela dit, des solutions existent. Les outils de Mobile Threat Defense (ex. Microsoft Defender for Endpoint, Lookout, Zimperium) permettent désormais de bloquer les liens malveillants reçus par SMS ou via des applications de messagerie, et d’alerter les équipes de sécurité. En complément, les systèmes d’exploitation et certains opérateurs proposent des mécanismes de filtrage ou de signalement de spams téléphoniques.
La prévention absolue est illusoire, mais les entreprises peuvent réduire fortement les risques en adoptant une approche proactive :
Le phishing ne se limite plus aux emails : le smishing et le vishing s’imposent désormais comme des menaces stratégiques. Portées par l’IA et l’industrialisation des services SMS/voix, ces attaques brouillent les repères traditionnels de la cybersécurité. Les entreprises qui sauront anticiper et adapter leurs défenses renforceront non seulement leur sécurité, mais aussi la confiance de leurs clients et partenaires.