Fraude vocale et vishing en 2026 : entretien avec Louis Thibault, spécialiste en prévention de la fraude

Le Centre antifraude du Canada recensait, au premier trimestre 2026, plus de 47 000 signalements de fraude téléphonique vocale — soit une hausse de 38 % par rapport à la même période en 2025. Derrière ce chiffre, une réalité technologique nouvelle : des réseaux criminels organisés exploitent désormais des outils d’intelligence artificielle capables de cloner une voix humaine en quelques secondes, de la transformer en temps réel, et de la déployer lors d’appels ciblant des particuliers comme des entreprises. Le vishing — contraction de voice et de phishing — n’est plus une arnaque artisanale. C’est une industrie.

Pour comprendre ces mécanismes et, surtout, pour apprendre à s’en défendre, Hélène Roux, rédactrice pour Sentinelle Numérique, a rencontré Louis Thibault, spécialiste en prévention de la fraude téléphonique. Intervenant régulièrement auprès du Centre antifraude du Canada depuis 2019, Louis Thibault a contribué à l’identification de douze réseaux de fraude vocale ciblant des victimes canadiennes entre 2021 et 2026. Il accepte de décrypter, avec une franchise rare, les rouages exacts de ces arnaques — et les réflexes simples qui permettent d’y échapper.

Louis Thibault
Spécialiste en prévention de la fraude téléphonique, intervenant auprès du Centre antifraude du Canada depuis 2019. A contribué à l'identification de 12 réseaux de fraude vocale ciblant le Canada entre 2021 et 2026.
Portrait éditorial — personnage fictionnel

Le vishing en 2026 : une menace qui se réinvente

Hélène Roux — Louis Thibault, le terme « vishing » existe depuis les années 2000. Pourquoi en parle-t-on comme d'une menace nouvelle en 2026 ? Qu'est-ce qui a fondamentalement changé ?

Louis Thibault — La mécanique du vishing n'a pas changé : un arnaqueur appelle, se fait passer pour quelqu'un de légitime, crée une urgence et vous soutire de l'argent ou des données. Ce qui a radicalement changé, c'est l'infrastructure. Avant 2023, un arnaqueur avait besoin d'un accent convaincant, d'une bonne improvisation, et d'une liste de numéros achetée sur le darkweb. Aujourd'hui, il a accès à des outils d'IA générative qui font le travail de persuasion à sa place.

Nous observons trois ruptures technologiques majeures depuis 2024. Premièrement, le clonage vocal est devenu trivial : des outils accessibles en ligne peuvent reproduire une voix à partir de trois à six secondes d’audio source. Deuxièmement, la synthèse vocale en temps réel permet à un arnaqueur de parler dans sa langue maternelle pendant qu’un système transforme sa voix en direct — en français québécois, avec l’accent et les intonations de votre banquier habituel. Troisièmement, les données disponibles sur les victimes potentielles se sont considérablement enrichies : les réseaux sociaux, les fuites de données, les annuaires en ligne permettent aux réseaux criminels de cibler avec une précision chirurgicale.

Le résultat, c’est que l’arnaque est désormais personnalisée, vocalement crédible, et opérée à grande échelle simultanément. Ce n’est plus de l’artisanat. C’est une chaîne de production.

La voix IA : comment le clonage fonctionne concrètement

Hélène Roux — Vous évoquez le clonage vocal en temps réel. Pouvez-vous expliquer concrètement comment un arnaqueur clone la voix d'un proche ? Que faut-il comme matériau source ?

Louis Thibault — C'est la question qui fait le plus froid dans le dos, parce que la réponse est : très peu de chose. Les modèles de clonage vocal actuels — ceux qu'on retrouve sur des plateformes comme ElevenLabs, mais aussi des outils bien moins connus et moins encadrés circulant dans des forums spécialisés — peuvent produire un clone exploitable à partir de cinq à dix secondes d'audio propre. Une vidéo TikTok, un message vocal WhatsApp, une story Instagram avec de la parole : c'est suffisant.

Pour le clonage en temps réel, le principe est différent. L’arnaqueur n’utilise pas la voix de la cible comme source — il utilise la voix de la victime visée comme cible de transformation. Autrement dit : il parle normalement, et un logiciel transforme sa voix en direct pour qu’elle ressemble à celle d’un proche de la victime. Ce système s’appelle une conversion voix-à-voix, et il existe des implémentations open source de cette technologie depuis fin 2023.

Ce que ça signifie concrètement, c’est qu’un appel qui semble être votre fils ou votre mère n’est plus une garantie de légitimité. Nous avons documenté des cas où des personnes âgées ont envoyé des milliers de dollars parce qu’elles reconnaissaient la voix d’un enfant « en détresse ». La voix est devenue un vecteur de fraude à part entière. Sur ce sujet, je recommande aux lecteurs de se documenter sur les arnaques à l’IA et aux deepfakes — les mécanismes sont très proches.

Les deepfakes vocaux et visuels partagent les mêmes infrastructures techniques et les mêmes circuits de distribution. Notre interview de l’analyste OSINT spécialisé en désinformation IA explore en détail les outils de vérification disponibles et les limites actuelles de la détection automatique — une lecture complémentaire essentielle pour saisir l’ampleur du phénomène.

Pour approfondir la dimension technologique de ces outils, le magazine i-actu.fr publie régulièrement des analyses détaillées sur les avancées de l’IA générative audio — un éclairage utile pour comprendre à quelle vitesse ces capacités évoluent.

Les quatre scénarios de vishing les plus répandus au Canada en 2026

Hélène Roux — Quels sont les scénarios de vishing que vous observez le plus fréquemment au Canada en ce moment ? Y a-t-il des schémas récurrents ?

Louis Thibault — Oui, et ils sont remarquablement stables dans leur structure, même si les prétextes évoluent. Je vais vous en décrire quatre qui représentent, selon nos données, plus de 80 % des signalements.

Le premier, c’est l’arnaque bancaire classique amplifiée par la voix synthétique. Vous recevez un appel d’un « agent de sécurité » de votre banque qui vous avertit d’une activité suspecte sur votre compte. La voix est professionnelle, le numéro affiché ressemble au numéro officiel de la banque — c’est du spoofing, on y reviendra. L’agent vous demande de confirmer votre identité en donnant votre code PIN ou un code reçu par SMS. C’est là que la fraude se consomme.

Le deuxième scénario, c’est l’arnaque aux proches en détresse. Un appel d’urgence, une voix qui ressemble à votre enfant ou à votre petit-enfant, qui dit être en accident, en garde à vue, ou à l’hôpital. Il a besoin d’argent immédiatement. Un « avocat » ou un « policier » prend ensuite le relais pour vous expliquer comment envoyer l’argent discrètement.

Le troisième : les arnaques gouvernementales. Un agent de l’ARC (Agence du revenu du Canada) vous appelle pour un « arriéré d’impôt ». Vous devez payer immédiatement par carte prépayée ou virement pour éviter une arrestation. Ces arnaques jouent sur la peur de l’autorité.

Le quatrième est plus récent : l’arnaque à la portabilité de numéro. L’arnaqueur vous appelle en prétendant être votre opérateur téléphonique, évoque un problème sur votre ligne, et vous convainc de valider une demande de transfert de numéro. Une fois votre numéro transféré vers une SIM qu’il contrôle, il a accès à tous vos codes SMS d’authentification à deux facteurs.

Anatomie d’une arnaque bancaire : le déroulé minute par minute

Hélène Roux — Prenons le scénario du faux agent de banque. Pouvez-vous nous décrire le déroulé exact d'un appel frauduleux, de la première sonnerie jusqu'au moment où la victime réalise ce qui s'est passé ?

Louis Thibault — Je vais vous décrire un cas composite, basé sur plusieurs dizaines de témoignages que nous avons recueillis. Le déroulé est presque toujours identique.

Tout commence par un SMS, souvent reçu la veille ou quelques heures avant l’appel : « Activité inhabituelle détectée sur votre compte Desjardins. Si ce n’est pas vous, appelez le [numéro] ou attendez notre contact. » Ce SMS est du smishing — il prépare le terrain psychologique. La victime est déjà en état d’alerte.

L’appel arrive. Le numéro affiché est identique ou très proche du numéro officiel de la banque — le spoofing de numéro est facile et peu coûteux. Une voix professionnelle, calme, avec un léger accent québécois, se présente : « Bonjour, je suis Marc Tremblay, agent de sécurité chez Desjardins. Nous avons détecté une tentative d’accès non autorisé à votre compte depuis l’Ontario. » Première étape : valider la crédibilité. L’agent cite les quatre derniers chiffres de votre carte — données achetées dans une fuite ou devinées statistiquement. Il mentionne votre nom, votre ville, parfois le solde approximatif de votre compte.

Deuxième étape : créer l’urgence. « Si vous ne confirmez pas votre identité maintenant, nous devrons bloquer votre compte dans les dix prochaines minutes. » Le temps est compressé. La victime n’a pas le loisir de réfléchir.

Troisième étape : récolter le sésame. « Pour débloquer la situation, j’ai besoin que vous me lisiez le code que vous venez de recevoir par SMS. » Ce code, c’est l’OTP de validation — il permet à l’arnaqueur, qui a déjà tenté de se connecter à votre compte, de finaliser l’opération.

La victime réalise souvent ce qui s’est passé le lendemain matin, quand elle constate un virement qu’elle n’a pas initié. À ce stade, dans la majorité des cas, l’argent a déjà été dispersé sur plusieurs comptes intermédiaires.

Les phrases qui paralysent : le vocabulaire de l’urgence fabriquée

Hélène Roux — Vous parlez d'urgence fabriquée. Quelles sont les phrases exactes que les arnaqueurs utilisent pour créer cet état de panique ?

Louis Thibault — C'est l'une des choses les plus importantes à connaître, parce que reconnaître ces formules vous permet de sortir du mode réactif et de reprendre le contrôle. Voici les plus fréquentes, organisées par mécanisme psychologique.

L’urgence temporelle : « Vous avez dix minutes avant que votre compte soit bloqué définitivement. » — « Je dois valider votre identité avant la fermeture des bureaux. » — « Si vous raccrochez, je ne pourrai plus vous aider. »

La menace d’autorité : « Un mandat d’arrêt sera émis à votre nom si vous ne réglez pas maintenant. » — « Les policiers sont en route, mais vous pouvez encore résoudre ça par téléphone. » — « Votre dossier sera transmis au département des fraudes si vous ne coopérez pas. »

La mise en confiance par le secret : « Ne parlez de cet appel à personne — votre compte pourrait être compromis davantage. » — « Surtout ne contactez pas votre banque habituelle pour l’instant, nous enquêtons sur un employé interne. »

La menace implicite de perte : « Les fonds frauduleux ont déjà quitté votre compte. Nous pouvons les récupérer, mais seulement si vous agissez maintenant. »

Ce que toutes ces phrases ont en commun, c’est qu’elles cherchent à court-circuiter votre pensée critique. Elles activent l’amygdale — la partie du cerveau qui gère la peur — et désactivent le cortex préfrontal qui vous permettrait d’évaluer la situation rationnellement. Dès que vous entendez l’une de ces formules, c’est un signal d’alarme. Votre vraie banque ne parle jamais comme ça.

Comment raccrocher sans tomber dans le piège de la politesse

Hélène Roux — Beaucoup de victimes disent qu'elles n'osaient pas raccrocher de peur d'être impolies ou d'aggraver une vraie urgence. Comment gérer ce dilemme ?

Louis Thibault — Ce blocage est extrêmement fréquent, et les arnaqueurs le connaissent et l'exploitent. La politesse est une norme sociale profondément ancrée, et rompre une conversation téléphonique — même avec un inconnu — provoque un inconfort réel. Les arnaqueurs jouent précisément là-dessus : ils maintiennent un ton professionnel et courtois pour que raccrocher semble être un acte grossier, voire dangereux.

La solution, c’est de préparer une phrase d’extraction que vous pouvez utiliser sans réfléchir, dans n’importe quelle situation. Voici celle que je recommande : « Je rappelle sur le numéro officiel. » Pas d’explication, pas d’excuse, pas de question. Vous raccrochez, vous cherchez le numéro au dos de votre carte bancaire ou sur le site officiel (jamais via Google), et vous appelez.

Une deuxième phrase utile : « Je dois en parler à un proche avant de continuer. » Une vraie banque, un vrai service gouvernemental, un vrai policier — personne ne vous refusera ce délai. Si l’interlocuteur insiste pour que vous restiez en ligne, c’est la preuve définitive que quelque chose ne va pas.

Je dis souvent aux personnes que j’accompagne : raccrocher sur un arnaqueur n’est pas de l’impolitesse. C’est de l’hygiène numérique. Et si par extraordinaire c’était une vraie urgence, elle ne sera pas perdue en deux minutes — vous rappellerez sur le bon numéro.

Le vishing en entreprise : l’arnaque du PDG vocal cloné

Hélène Roux — Le vishing cible-t-il aussi les entreprises, au-delà des particuliers ?

Louis Thibault — Massivement, et avec des montants en jeu qui font pâlir les fraudes aux particuliers. L'arnaque du « PDG vocal cloné » — ou *voice CEO fraud* — est l'une des plus dévastatrices que nous ayons documentée ces deux dernières années au Canada.

Le schéma type : un directeur financier de PME reçoit un appel d’urgence d’une voix qui ressemble à celle de son PDG. Le PDG est en déplacement, une acquisition confidentielle est en cours, un virement de 75 000 à 400 000 dollars doit être effectué avant la fin de journée vers un compte étranger. Le caractère confidentiel de l’opération justifie de ne pas passer par les procédures habituelles.

Pour cloner la voix du PDG, les réseaux criminels utilisent des sources publiques : interviews données à des médias économiques, podcasts, conférences filmées sur YouTube, vidéos LinkedIn. Quelques minutes d’audio suffisent. La sélection des cibles se fait via des annuaires d’entreprises et des bases de données de fuites — les arnaqueurs savent souvent quel directeur financier travaille avec quel PDG, et depuis combien de temps.

La parade, et je la recommande à toutes les PME sans exception : mettre en place un code verbal de vérification pour tout virement urgent. Un mot ou une phrase convenu à l’avance, connu uniquement des personnes autorisées à valider des transferts. Si l’appelant ne peut pas le fournir, le virement ne part pas. C’est simple, gratuit, et radical. Pour les entreprises qui veulent approfondir leur posture de sécurité numérique, Industrie du Futur propose des ressources utiles sur la protection des organisations face aux menaces numériques émergentes.

Ce que les opérateurs téléphoniques font — et ne font pas

Hélène Roux — Le spoofing de numéros — afficher un faux numéro d'appelant — est une technique centrale du vishing. Pourquoi les opérateurs téléphoniques ne l'ont-ils pas éliminée ?

Louis Thibault — C'est la question qui fâche, et je vais être honnête : les opérateurs en font plus qu'avant, mais pas encore assez, et les raisons sont à la fois techniques et économiques.

Sur le plan technique, les réseaux téléphoniques reposent encore largement sur le protocole SS7, conçu dans les années 1970, qui ne vérifie pas l’authenticité du numéro affiché. Le standard STIR/SHAKEN, adopté progressivement aux États-Unis depuis 2021 et en cours de déploiement partiel au Canada, vise précisément à authentifier les numéros d’appel. Mais son déploiement est inégal, et les réseaux criminels ont rapidement trouvé des contournements : appeler depuis des juridictions où le standard n’est pas appliqué, ou passer par des opérateurs intermédiaires complaisants.

Sur le plan économique, les appels robotisés — qu’ils soient frauduleux ou légitimes — représentent un volume de trafic considérable. Filtrer agressivement les appels potentiellement frauduleux implique des risques de faux positifs : bloquer des appels légitimes de numéros d’entreprises, de services gouvernementaux, de services d’urgence.

Ce que vous pouvez faire concrètement : activer les filtres anti-spam proposés par votre opérateur (Bell, Telus et Rogers ont tous des options de blocage d’appels suspects), installer une application de détection d’appels frauduleux, et ne jamais vous fier au numéro affiché comme preuve d’authenticité. Ce numéro est une donnée qui peut être falsifiée — rien de plus.

Questions rapides : idées reçues sur le vishing

Hélène Roux — Pour clore cet entretien, un tour rapide des idées reçues sur le vishing. Vrai ou faux ?

Louis Thibault — Avec plaisir.

« Si je reconnais la voix, c’est que l’appel est légitime. » Faux. Complètement faux en 2026. Comme nous l’avons vu, une voix peut être clonée à partir de quelques secondes d’audio public. La reconnaissance vocale n’est plus un indicateur de confiance.

« Ma banque ne m’appellera jamais pour me demander mon code PIN. » Vrai. Et à étendre à tout code, tout mot de passe, tout OTP reçu par SMS. Aucune institution légitime ne vous demandera un code reçu par SMS lors d’un appel entrant.

« Les arnaqueurs ciblent surtout les personnes âgées. » Faux — ou plutôt, incomplet. Les arnaques aux aînés sont réelles et documentées, mais les données du Centre antifraude montrent que les 25-40 ans perdent en moyenne davantage d’argent par incident. La tranche 25-40 ans est plus souvent ciblée par les arnaques d’investissement et les fraudes bancaires sophistiquées, parce qu’elle a davantage d’actifs numériques et de comptes à gérer.

« Si le numéro qui s’affiche est celui de ma banque, l’appel vient de ma banque. » Faux. Le spoofing de numéro est trivial et peu coûteux. Le numéro affiché ne prouve rien.

« Signaler une tentative de vishing ne sert à rien. » Faux. Chaque signalement alimente les bases de données du Centre antifraude du Canada, qui servent à identifier les réseaux, à alerter les opérateurs, et à informer les enquêtes policières. Les profils psychologiques des victimes et les données de signalement ont permis de démanteler plusieurs réseaux en 2025.

« Une arnaque vocale IA sonne toujours faux. » Faux — et de moins en moins vrai à chaque trimestre. En 2022, les voix synthétiques avaient un rendu robotique identifiable. En 2026, les meilleurs modèles sont indiscernables pour la majorité des gens dans un contexte d’appel téléphonique compressé. Ne comptez pas sur votre oreille pour détecter la fraude.

« Si j’ai été victime, je n’ai aucun recours. » Faux. Contactez votre banque dans les 24 heures — certaines transactions peuvent être annulées. Déposez une plainte au Centre antifraude du Canada et auprès de votre service de police local. Votre banque peut initier des procédures de rappel de fonds dans certains cas. Ne renoncez pas par honte.

La phrase à retenir

Hélène Roux — Si vous deviez résumer cet entretien en une seule phrase que chaque lecteur emportera avec lui, laquelle choisiriez-vous ?

Louis Thibault — **« Je rappelle sur le numéro officiel. »**

C’est tout. Cette phrase, prononcée immédiatement dès que vous avez un doute, suivie d’un raccrochage, élimine 95 % des risques de vishing. Elle est polie, elle est neutre, elle ne compromet rien si l’appel était légitime, et elle vous sort immédiatement du scénario que l’arnaqueur a préparé. Il a planifié chaque objection possible, chaque résistance possible — mais il n’a rien prévu pour quelqu’un qui raccroche calmement et rappelle sur le bon numéro.

L’arnaque au vishing repose sur la continuité de l’appel. C’est pendant cet appel que la manipulation se construit, que l’urgence est fabriquée, que le consentement est extorqué. Dès que vous raccrochez, le scénario s’effondre.

Une dernière chose : parlez de ces arnaques autour de vous. Expliquez à vos parents, à vos enfants, à vos collègues. La connaissance collective est le meilleur vaccin. Les arnaqueurs misent sur la honte et le secret — ne jouons pas leur jeu. Si vous voulez comprendre comment retracer une fraude et en identifier les responsables, d’autres ressources sur Sentinelle Numérique peuvent vous aider.

Entretien réalisé par Hélène Roux, rédactrice Sentinelle Numérique.