Chiffres clés

• 41 % des attaques de phishing utilisent désormais des canaux autres que l’e-mail, notamment les SMS, les appels vocaux et les codes QR.
• Le smishing, le vishing et le quishing sont les tactiques de phishing qui connaissent la croissance la plus rapide - et elles ciblent directement les utilisateurs mobiles.
• Les dépenses mondiales en sécurité des e-mails devraient doubler d’ici 2032, mais l’investissement dans la sécurité mobile reste à la traîne.
• Des défenses alimentées par l’IA émergent pour détecter et stopper les attaques d’ingénierie sociale sur tous les canaux - pas seulement l’e-mail.
• Les utilisateurs mobiles sont plus distraits et moins prudents, ce qui en fait des cibles de choix pour les cybercriminels.

Quand les phish sortent de la boîte de réception

Imaginez l’arnaque de phishing classique : un e-mail douteux, un lien suspect, une demande urgente de votre mot de passe. Pendant des décennies, l’e-mail a été le terrain de chasse des cybercriminels. Mais dans les eaux troubles de la cybersécurité, les phish ont appris à nager ailleurs. En 2025, les attaquants ne se contentent plus de rôder dans votre boîte de réception - ils s’infiltrent désormais dans vos messages texte, vos appels téléphoniques, et même ces codes QR à l’apparence innocente dans votre café préféré.

Selon TechMagic, un impressionnant 41 % des incidents de phishing exploitent désormais plusieurs canaux, ciblant les victimes là où elles sont les plus vulnérables : sur leurs appareils mobiles. Ce n’est pas qu’une question de chiffres ; c’est un véritable bouleversement du crime numérique. À mesure que nos vies professionnelles et personnelles se confondent sur nos téléphones, les arnaques aussi. SMS de numéros inconnus, appels du “support informatique”, codes QR promettant un accès rapide - tout cela sert de nouvel appât.

Smishing, Vishing, Quishing : la menace mobile expliquée

Le smishing (phishing par SMS) attire les victimes via des textos, souvent en se faisant passer pour des banques ou des services de livraison. Le message semble urgent, et d’un simple clic, le piège se referme - les utilisateurs atterrissent sur de faux sites conçus pour voler leurs identifiants. Le vishing (phishing vocal) porte l’arnaque à votre oreille, avec des escrocs utilisant des numéros usurpés pour se faire passer pour des contacts de confiance et soutirer des informations sensibles lors d’un appel. Le quishing, la dernière variante, cache le danger dans les codes QR : scannez-en un au restaurant ou lors d’un événement, et vous pourriez être redirigé vers une page malveillante.

Qu’est-ce qui rend ces tactiques si efficaces ? Contrairement à l’e-mail, elles contournent la plupart des défenses traditionnelles. Les coûteux filtres de messagerie de votre entreprise ne voient rien dans vos SMS, appels ou scans de QR. Les utilisateurs mobiles, souvent distraits et confiants, sont plus enclins à réagir rapidement - exactement ce que recherchent les criminels.

Pourquoi les anciennes défenses ne fonctionnent plus

Les entreprises dépensent des milliards pour la sécurité des e-mails - Fortune Business Insights prévoit que le marché atteindra 10,68 milliards de dollars d’ici 2032. Pourtant, l’investissement dans la sécurité mobile n’en représente qu’une fraction. Résultat : les attaquants trouvent des proies faciles sur les téléphones, où même les pare-feux les plus sophistiqués sont impuissants. Le comportement humain devient le maillon le plus faible.

Les violations très médiatisées le prouvent. Le piratage de Twilio en 2023, par exemple, a commencé par un simple phishing par SMS et a entraîné une cascade de comptes compromis. Dans un autre cas, le vishing a été utilisé pour tromper des employés d’une grande banque et obtenir des codes d’accès, contournant toutes les défenses numériques.

La nouvelle ligne de front : une défense centrée sur l’humain et alimentée par l’IA

À mesure que les criminels exploitent la “couche humaine”, la sécurité doit évoluer. Place aux outils dopés à l’IA, capables de lire et comprendre les messages, et non plus seulement de rechercher des mots-clés. Ces systèmes peuvent détecter des schémas suspects en temps réel - signalant une fausse demande informatique ou un QR code douteux avant qu’il ne soit trop tard. L’attention se déplace de l’appareil vers la personne qui l’utilise, en apprenant aux utilisateurs à s’arrêter et à se poser des questions, pas seulement à cliquer et à faire confiance.

La bataille ne se joue plus seulement sur la technologie, mais sur la capacité à déjouer les ingénieurs sociaux qui exploitent nos habitudes. Dans cette nouvelle ère, la sensibilisation et les défenses adaptatives sont aussi importantes que les pare-feux et les filtres. Les phish ont quitté la boîte de réception ; la question est : suivrons-nous avec notre sécurité ?

WIKICROOK

• Phishing : Le phishing est un cybercrime où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
• Smishing : Le smishing est une arnaque numérique qui exploite des SMS trompeurs pour voler des données personnelles ou de l’argent aux victimes, souvent en se faisant passer pour des entités fiables.
• Vishing : Le vishing est une arnaque téléphonique où les attaquants se font passer pour des entités de confiance afin de voler des informations sensibles ou de l’argent via des appels trompeurs.
• Quishing : Le quishing est une cyberattaque où des escrocs utilisent des codes QR pour diriger les victimes vers des sites malveillants ou voler des informations sensibles lors du scan.
• Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des pirates pour inciter les gens à révéler des informations confidentielles ou à fournir un accès non autorisé à des systèmes.