Vishing: un homme au téléphone portable, symbole du hameçonnage vocal

Vishing

Comment identifier une tentative d’hameçonnage vocal?

Les escrocs appellent leurs victimes en affichant un numéro falsifié. Ils tentent de les manipuler en leur faisant peur, en leur faisant croire qu’ils appellent au nom d’une autorité, en touchant leur corde sensible ou en leur mettant la pression sous prétexte d’une urgence. Leur but caché est d’obtenir des données d’accès ou des informations de carte de crédit. Dans ce guide, vous découvrirez les tactiques utilisées et comment vous en protéger.

  •  Temps de lecture: 11 minutes
  • Dernière mise à jour: avril 2026
  • 1
    Nouvelle contribution

L'essentiel en bref

  • L’hameçonnage vocal («voice phishing» ou «vishing» en anglais) est une forme d’hameçonnage par laquelle des malfrats tentent d’obtenir des données d’accès ou des informations de carte de crédit au moyen d’un appel téléphonique ou d’un message vocal. Pour ce faire, ils tentent de manipuler leurs victimes par la peur, en faisant appel à leur respect à l’égard des autorités, à leur compassion ou en prétextant une urgence.
  • Les cybercriminels se font passer par exemple pour une banque ou une autorité: ils utilisent un logiciel leur permettant de masquer leur numéro et d’en afficher un autre (usurpation de numéro de téléphone ou «caller ID spoofing» en anglais). Si la victime fait preuve de méfiance, ils lui demandent de vérifier le numéro affiché en le recherchant dans Google.
  • En cas de doute, il suffit de raccrocher et de rappeler le numéro affiché. Ne divulguez jamais d’informations sensibles, en particulier de codes de vérification, par téléphone. Ne laissez jamais un tiers installer un logiciel de maintenance à distance sur votre ordinateur ou votre smartphone.
 Sur cette page
Qu’est-ce que l’hameçonnage vocal?
Exemples
Assurance
Comment se protéger contre l’hameçonnage vocal?
Questions et réponses

L’hameçonnage vocal: qu’est-ce que c’est?

L’hameçonnage vocal («voice phishing» ou «vishing» en anglais) consiste à tenter d’obtenir des données sensibles au moyen d’un appel téléphonique ou d’un message vocal ou de pousser la victime à accomplir une action déterminée. Les attaques par hameçonnage ciblent souvent les données d’accès, les codes de vérification valables pendant une courte durée ou les informations de carte de crédit. Souvent, les escrocs essaient d’inciter leurs victimes à approuver une transaction frauduleuse, à installer un logiciel de maintenance à distance ou à rappeler un numéro payant.

Pourquoi cette forme d’hameçonnage est-elle particulièrement sournoise? Les cybercriminels exploitent la confiance de leur interlocutrice ou interlocuteur. S’ils parviennent à lui dérober des données, ils les utilisent par exemple pour vider le compte de leur victime, usurper son identité pour effectuer des achats ou conclure des contrats en son nom, ou vendent ces informations contre rémunération sur le darknet.

Le terme «vishing» est la contraction des mots anglais «voice» et «phishing». En français, il est souvent traduit par «hameçonnage par téléphone» ou «hameçonnage vocal». Cependant, la traduction «hameçonnage par téléphone» est imprécise, car le «vishing» peut également reposer sur des messages vocaux. En outre, l’hameçonnage vocal est une forme parmi d’autres d’escroquerie par téléphone. Lors d’un appel téléphonique, les escrocs soutirent à leur victime des données dont ils prétendent avoir besoin pour une raison déterminée. En règle générale, l’escroquerie proprement dite intervient peu de temps après l’appel, au moyen des données volées.

Par contre, dans le cas de l’escroquerie par téléphone classique, les malfrats tentent la plupart du temps directement d’obtenir de l’argent de la victime. En d’autres termes, toute forme d’«hameçonnage vocal» est une escroquerie par téléphone, mais toutes les escroqueries par téléphone ne constituent pas de l’«hameçonnage vocal».

Selon la technique utilisée, l’hameçonnage vocal peut être classé en plusieurs catégories (voir exemples ci-dessous):

Usurpation de numéro de téléphone (ou «caller ID spoofing» en anglais): les escrocs modifient leur identifiant d’appelant afin que le numéro qui s’affiche sur votre téléphone ne soit pas leur véritable numéro, mais par exemple le numéro officiel de la police (117), de votre banque ou d’une autorité. Si vous rappelez le numéro qui s’affiche, vous tomberez souvent sur une personne qui fera mine de ne jamais avoir tenté de vous joindre.

Appels automatisés, aussi appelés «appels robotisés» (ou «war dialing» en anglais): les cybercriminels utilisent des logiciels pour appeler des milliers de numéros simultanément. Un message vocal automatisé invite les victimes à rappeler le numéro indiqué ou à saisir des données au moyen du clavier de leur téléphone.

Clonage vocal assisté par l’IA, également appelé «arnaque au clonage vocal»: grâce à l’intelligence artificielle, les pirates parviennent à imiter de manière très réaliste la voix d’un de vos proches ou de votre chef (p. ex. arnaque au président). Avant de recourir à ce moyen, ils recueillent généralement des informations détaillées sur votre personne.

Étant donné que le clonage vocal est dans la plupart des cas utilisé à des fins d’escroquerie patrimoniale et non pas pour extorquer des données, on ne le considère généralement pas comme une forme d’hameçonnage vocal, mais comme une escroquerie par téléphone. Toutefois, la technique du clonage vocal peut également être utilisée dans le cadre d’une attaque d’hameçonnage vocal.

«Arnaque de l’appel en absence» ou «appels wangiri» (ou encore «ping calls» en anglais): un ordinateur compose une multitude de numéros de téléphone et raccroche après la première sonnerie. Un appel manqué, souvent d’un numéro étranger, s’affiche alors sur le téléphone de la victime. Si cette dernière rappelle le numéro concerné, elle est redirigée·vers un numéro surtaxé, ce qui engendre des coûts élevés à sa charge. Les appels Wangiri ne sont pas non plus considérés de l’hameçonnage vocal, car ils ne visent pas à obtenir des données de la victime. Les rappels peuvent toutefois servir de sésame pour une attaque par hameçonnage vocal.

Fait intéressant: le terme «Wangiri» vient du japonais et signifie littéralement «(faire sonner) une fois et raccrocher». Cette technique est apparue pour la première fois en tant que phénomène de masse au Japon à la fin des années 1990. Les autorités compétentes en matière de télécommunications et les opérateurs de téléphonie mobile ont par la suite adopté ce terme dans le monde entier.

Selon l’Office fédéral de la cybersécurité (OFCS), le nombre d’appels frauduleux signalés a triplé en 2024 par rapport à l’année précédente. Sur les 63 000 cyberincidents annoncés, environ un tiers étaient des cas d’hameçonnage vocal ou d’escroquerie par téléphone.

En 2025, le nombre absolu de cas d’hameçonnage vocal et d’escroquerie par téléphone signalés a légèrement diminué. Toutefois, les attaques sont devenues plus sournoises, car les escrocs ont adopté une approche plus personnalisée. Dans certains cas, ils ont ainsi réussi à dérober plusieurs centaines de milliers de francs à leur victime.

Vous trouverez de plus amples informations à ce sujet dans le «Rapport: Les escroqueries par téléphone dans le domaine cyber» de l’OFCS

Comment fonctionne l’hameçonnage vocal?

Les escrocs se font passer pour des représentantes ou représentants d’une autorité ou d’une organisation fiable afin de gagner la confiance de leur victime. Ils tentent d’amener cette dernière à divulguer des informations sensibles ou à effectuer certaines actions. Pour ce faire, ils inventent un prétexte plausible, jouent avec les émotions de la victime, par exemple en lui faisant peur ou en faisant appel à sa compassion ou encore à son respect à l’égard des autorités, et lui mettent la pression en invoquant un délai urgent.

La voix humaine et la communication téléphonique directe permettent généralement aux malfrats d’instaurer plus facilement un climat de confiance que par des messages texte. De plus, ils affichent souvent un autre numéro que leur véritable numéro pour rendre leur appel plus crédible (usurpation de numéro de téléphone).

Si la victime exprime des doutes lors d’un appel d’hameçonnage vocal, la personne au bout du fil se réfère généralement au numéro qui s’affiche sur le téléphone de la victime et souligne que celui-ci prouve qu’elle appelle bien de la part de la banque ou de l’autorité pour laquelle elle prétend travailler. Ils demandent ensuite à la victime de vérifier le numéro affiché dans Google.

Voici quelques exemples d’hameçonnage vocal qui se sont réellement produits:

Usurpation de numéro de téléphone

FINMA (août 2025): des escrocs ont appelé des entreprises en Suisse en affichant sur le téléphone de leurs victimes le numéro de la centrale de l’Autorité de surveillance des marchés financiers (FINMA) [031 327 91 00]. Lors de cette attaque par hameçonnage vocal, les escrocs avaient pour but de mettre la main sur des données sensibles en prétextant effectuer un contrôle en matière de blanchiment d’argent.

Viseca (mars 2025): des cybercriminels ont utilisé le numéro du service d’assistance officiel de l’émetteur de cartes Viseca pour tenter d’amener des clientes et des clients de Viseca à leur communiquer par téléphone des codes de confirmation de paiement par carte de crédit.

Appels automatisés (ou «appels robotisés»)

Office fédéral de la cybersécurité OFCS (février 2026): l’OFCS a enregistré une vague d’appels automatisés diffusant un message vocal préenregistré dans lequel une personne expliquait travailler pour l’OFCS et demandait aux victimes d’installer un logiciel de maintenance à distance. Ce subterfuge visait en fait à accéder directement à l’e-banking de ces dernières.

Police (2024): en 2024, le nombre d’appels robotisés effectués au nom de la police a augmenté. Lors de ces appels, les personnes appelées recevaient par exemple un message vocal dans lequel l’auteur prétendait qu’elles étaient impliquées dans une infraction pénale. Il les menaçait de lancer un mandat d’arrêt contre elles, afin de les inciter à payer des «sûretés» en cryptomonnaies.

Arnaque au clonage vocal assisté par l’IA

Fraude au président (janvier 2026): en imitant la voix d’un partenaire commercial à l’aide de l’IA, des escrocs ont réussi à convaincre un entrepreneur du canton de Schwytz de virer plusieurs millions de francs sur un compte bancaire en Asie.

Arnaque au faux neveu 2.0 (2025): des cybercriminels ont cloné la voix de personnes grâce à des vidéos qu’elles avaient postées sur les réseaux sociaux pour tenter d’inciter leurs grands-parents à remettre de grosses sommes d’argent ou de l’or à un coursier.

Arnaque de l’appel en absence ou «appels wangiri»

Appels de la Tunisie et du Burundi (2024): en Suisse romande, de nombreux appels wangiri passés depuis la Tunisie (+216) et le Burundi (+257) ont été enregistrés. Les personnes appelées ayant rappelé le numéro en question ont permis aux malfrats de réaliser des recettes importantes, car il s’agissait de numéros surtaxés facturés à la minute.

Appels de spam en provenance de l’Albanie (2024): lors de campagnes d’appels en masse passés avec des numéros albanais (+355), des escrocs ont maintenu les personnes ayant rappelé le numéro concerné le plus longtemps possible sur une ligne payante au moyen de messages vocaux automatisés.

L’hameçonnage vocal fait souvent appel à des techniques de manipulation psychologique, notamment l’ingénierie sociale et le «pretexting»:

Ingénierie sociale: alors que le piratage classique exploite les failles techniques, l’ingénierie sociale vise à manipuler l’être humain. Les pirates tentent de soutirer des informations à leurs victimes en leur faisant peur, en faisant appel à leur respect à l’égard des autorités et à leur compassion. Très souvent, ils prétextent une urgence afin de les inciter à agir sans réfléchir. Parfois, les escrocs essaient également d’inciter leurs victimes à accomplir certaines actions en se faisant passer par exemple pour des policiers, des membres du personnel d’une banque ou d’une autorité. Ils cherchent ainsi à gagner la confiance de leurs victimes.

Pretexting: en simulant une situation d’urgence plausible nécessitant une action immédiate, les malfrats parviennent souvent à obtenir de leurs victimes des données sensibles. Un prétexte fréquemment utilisé dans les attaques par hameçonnage vocal est le suivant: une personne se fait passer pour une collaboratrice ou un collaborateur d’une banque et fait croire à la victime qu’une cyberattaque en cours menace son compte et qu’elle a besoin des données d’accès audit compte pour le protéger.

En plus de méthodes de manipulation psychologique, les escrocs ont recours à des outils techniques tels que l’usurpation de numéro de téléphone, les appels robotisés, qui permettent de lancer de nombreux appels automatisés, et les appels wangiri, destinés à provoquer des rappels sur des numéros surtaxés.

Le clonage vocal assisté par l’IA permet également aux escrocs d’imiter des voix pour accroître la crédibilité de leur stratagème. Jusqu’à présent, le clonage vocal n’était utilisé que pour l’escroquerie patrimoniale par téléphone et non pour l’extorsion de données.

Avec la cyberassurance de la Mobilière, vous jouez la carte de la sécurité.

Si vous êtes victime d’hameçonnage, la cyberassurance de la Mobilière est là pour vous aider. Apprenez-en plus sur la cyberassurance ou calculez votre prime d’assurance directement et sans engagement. Prenez ensuite votre décision en toute tranquillité.

La cyberassurance pour le quotidien numérique
Produit

Cyberassurance

Votre disque dur externe avec toutes les photos de famille qu'il contient n'a pas résisté au bain de coca accidentel ? La cyberassurance de La Mobilière vous aide à sauver vos données et à récupérer votre argent en cas d'escroquerie. 
Calculer la prime

Comment se protéger contre l’hameçonnage vocal?

Ne divulguez jamais d’informations sensibles au téléphone. Aucune banque, autorité ou entreprise sérieuse ne vous demandera de lui transmettre par téléphone un mot de passe, un code NIP ou un code de vérification. En outre, n’autorisez jamais des tiers à installer des logiciels de maintenance à distance, tels que AnyDesk ou TeamViewer, sur votre ordinateur ou votre smartphone. Si votre interlocutrice ou interlocuteur vous met la pression ou vous demande de confirmer un paiement dans une application, raccrochez.

Ne vous fiez jamais au numéro ou au nom qui s’affiche sur l’écran de votre téléphone ou de votre smartphone. En effet, les cybercriminels peuvent falsifier l’identité de l’appelant. N’oubliez jamais qu’une voix peut avoir été clonée à l’aide de l’intelligence artificielle. Convenez avec les membres de votre famille proche ou vos collègues d’un «mot de passe de sécurité», que vous pourrez demander à la personne en cas de doute. En effet, l’IA ne pourra pas connaître ce mot de passe.

Si vous manquez un appel, mieux vaut ne pas rappeler un numéro étranger que vous ne connaissez pas. Si c’est important, la personne vous laissera un message ou vous rappellera. Vous trouverez les dernières alertes et informations sur la cybercriminalité sur les plateformes Cybercrimepolice.ch et sur le site internet de l'Office fédéral de la cybersécurité (OFCS).

Il est de plus en plus difficile de reconnaître des voix générées par l’IA (deepfake vocal), car la technologie a beaucoup progressé ces dernières années. Le plus sûr est donc de raccrocher et de rappeler la personne en utilisant le numéro que vous connaissez et que vous avez enregistré.

Faites également preuve de méfiance si la voix présente des tonalités métalliques, une régularité frappante, qu’elle est dénuée de toute émotion ou si la «personne» ne fait pratiquement pas de pause pour respirer ou met long à réagir. En cas de doute, vous pouvez par exemple poser à votre interlocutrice ou votre interlocuteur une question personnelle sur une expérience que vous avez vécue ensemble, à laquelle l’IA ne pourra pas répondre.

En Suisse, les numéros avec l’indicatif 0900, 0901 et 0906 sont payants (jusqu’à 10 francs par minute). Les numéros avec l’indicatif 084x peuvent coûter jusqu’à 8,07 centimes par minute. En outre, certains numéros courts peuvent être payants, par exemple 18xx pour des services de renseignements téléphoniques.

Comme la structure des numéros varie d’un pays à l’autre, il est difficile d’identifier les numéros surtaxés étrangers. C’est pourquoi il est préférable de ne pas rappeler des numéros étrangers inconnus. Si c’est important, la personne vous rappellera.

Questions et réponses

Si vous avez divulgué des données sensibles, faites immédiatement bloquer les cartes, comptes et services en ligne concernés, tels que Twint ou Revolut. Si votre établissement financier n’est pas joignable, saisissez un code NIP ou un mot de passe erroné jusqu’à ce que la carte ou le compte soit bloqué.

Si votre compte e-banking ou le compte d’un service de paiement en ligne est concerné, vérifiez les éléments de sécurité enregistrés, tels que votre adresse e-mail, votre numéro de téléphone, vos appareils mobiles enregistrés et vos applications. Vérifiez si une connexion ou une transaction dont vous n’êtes pas à l’origine a eu lieu et, dans l’affirmative, à quelle date et à partir de quel appareil. Le cas échéant, demandez au prestataire financier ou à l’émetteur de la carte de confirmer par écrit les informations relatives aux éléments de sécurité enregistrés et, au besoin, de les adapter.

Si vous avez autorisé des escrocs à accéder à distance à votre ordinateur ou à votre téléphone portable, déconnectez immédiatement l’appareil concerné. Modifiez les mots de passe de tous vos comptes en ligne depuis un appareil non piraté et configurez l’authentification à deux facteurs partout. Faites ensuite vérifier par un spécialiste l’appareil auquel les escrocs ont pu accéder, en vue d’exclure la présence de maliciels.

Signalez l’incident à l’Office fédéral de la cybersécurité (OFCS) afin d’éviter que d’autres personnes ne connaissent le même sort que vous. Si vous avez subi un préjudice financier, déposez plainte auprès de la police.

  1. Le numéro qui s’affiche pourrait avoir été falsifié (usurpation de numéro de téléphone).
  2. La voix pourrait avoir été clonée (clonage vocal assisté par l’IA).
  3. Ne donnez jamais de mots de passe ou de codes.
  4. Si quelqu’un vous met la pression, mettez fin à l’appel.
  5. N’autorisez personne à accéder à distance à votre ordinateur ou votre smartphone.
  6. Ne rappelez pas de numéros étrangers que vous ne connaissez pas.
  7. Avant d’effectuer un virement bancaire que l’on vous a demandé de faire par téléphone, assurez-vous qu’il est légitime.

Lorsqu’il s’agit d’un cas assuré de cyberescroquerie et que la protection juridique ne parvient pas à récupérer l’argent, la cyberassurance de la Mobilière examine la possibilité d’une indemnisation pouvant aller jusqu’à 20 000 francs. En savoir plus sur la cyberassurance de la Mobilière

Important: ne sont pas couverts les dommages financiers résultant du vol physique de cartes ou d’appareils, ainsi que d’une escroquerie telle qu’une arnaque au faux neveu, une arnaque au sentiment, l’usurpation d’une fonction (p. ex. collaboratrice ou collaborateur d’une autorité ou d’un service d’assistance informatique).

L’escroquerie par téléphone classique consiste à soutirer de l’argent à la victime au téléphone. Par contre, dans la plupart des cas, l’hameçonnage vocal vise à s’emparer de données sensibles, qui seront ensuite utilisées à des fins frauduleuses. En d’autres termes, l’hameçonnage vocal prépare une escroquerie. La véritable escroquerie ne se produit généralement pas par téléphone. Néanmoins, l’hameçonnage vocal est considéré comme une forme d’escroquerie par téléphone.

Le terme générique «hameçonnage» désigne les tentatives de tromperie au moyen d’e-mails et de faux sites web visant à obtenir des données sensibles. L’hameçonnage vocal se réfère uniquement aux tentatives d’hameçonnage par téléphone ou par message vocal. Quand à l’hameçonnage par SMS, il s’agit, comme son nom l’indique, d’une tentative d’hameçonnage par SMS ou toute autre messagerie (Messenger, WhatsApp, Signal, etc.).

Alors que tous les types d’hameçonnage visaient à l’origine un grand nombre de destinataires, on observe une tendance à la personnalisation des attaques par hameçonnage. Les attaques par hameçonnage personnalisées sont également appelées «harponnage» («spear phishing»). L’hameçonnage sur des plateformes de vente comme Tutti, Ricardo ou Facebook Marketplace en est un exemple courant. Lors du processus de paiement, des escrocs tentent de faire main basse sur des données d’accès à des services de paiement en ligne tels que Twint.

La cyberassurance vous intéresse?

Calculateur de primes

Calculer la prime sans engagement

Conseil personnalisé

Demander un conseil
Avez-vous trouvé ce que vous cherchiez?

Thèmes apparentés

Les guides suivants pourraient également vous intéresser.

Person bedient einen Laptop auf dem Tisch. Daneben liegen ein Stapel Papier und eine Tasse Kaffee.
Guide

Le phishing, qu’est-ce que c’est?

Découvrez comment fonctionne l’hameçonnage et comment vous en protéger efficacement.
Junger Mann im Zug, hält sein Smartphone in der Hand. Er ist zufrieden.
Guide

Comment reconnaître une tentative d’hameçonnage?

Comment identifier un e-mail d’hameçonnage, que faire et comment réagir correctement si vous êtes victime d’un e-mail frauduleux.
Identifier une escroquerie sur Internet – exemple d’un e-mail d’hameçonnage
Guide

Identifier une escroquerie sur Internet et agir correctement

Internet nous offre d’innombrables possibilités: nous pouvons commander des produits, payer des factures en ligne ou rester en contact avec des amis. Mais cette médaille a un revers: l’escroquerie sur Internet. Nous vous montrons ici à quoi peut ressembler une escroquerie sur Internet et vous expliquons comment vous en protéger et à qui vous adresser pour les dénoncer.
Arnaques sur Twint
Guide

Comment fonctionne une arnaque sur Twint?

Notre guide vous donne un aperçu des différents types d’arnaques sur Twint et vous explique comment vous en prémunir.