Le FBI met en garde contre des arnaques vocales utilisant l'IA et se faisant passer pour des fonctionnaires du gouvernement américain

Le FBI a mis en garde contre une campagne sophistiquée de vishing et de smishing utilisant des mémos vocaux générés par l'IA pour se faire passer pour de hauts responsables américains et cibler leurs contacts.

Le FBI a émis une alerte concernant une menace croissante : des individus malveillants utilisent l'intelligence artificielle (IA) pour imiter la voix de hauts fonctionnaires américains. Ces mémos vocaux générés par l'IA , combinés à des SMS trompeurs, sont utilisés pour cibler des responsables gouvernementaux, anciens et actuels, ainsi que des personnes figurant dans leurs contacts.

Selon l'annonce du FBI, depuis avril 2025, ces « acteurs malveillants » utilisent des techniques appelées « smishing » (par SMS ou messages texte) et «  vishing » (par messages vocaux) pour créer des mémos semblant provenir de hauts fonctionnaires américains. L'objectif est d'instaurer un climat de confiance et d'établir un lien avec les personnes ciblées. Le FBI a explicitement déclaré : « Si vous recevez un message prétendant provenir d'un haut fonctionnaire américain, ne présumez pas qu'il est authentique. »

Selon le FBI, une fois le contact établi, les malfaiteurs tentent d'accéder aux comptes personnels de leurs cibles. Une méthode consiste à insérer des liens malveillants dans ces messages. Lorsque les victimes cliquent, la conversation est redirigée vers une autre plateforme de messagerie, supposément plus sécurisée. En réalité, ces liens mènent probablement à des sites web malveillants conçus pour voler des identifiants de connexion ou installer des logiciels malveillants.

Le FBI met en garde contre un potentiel effet cascade : une compromission réussie pourrait en entraîner plusieurs autres. Ces « acteurs malveillants » peuvent utiliser des comptes compromis pour cibler d'autres responsables américains ou leurs associés, et les informations volées peuvent servir à créer des usurpations d'identité convaincantes ou à lancer de nouvelles attaques d'ingénierie sociale. Le FBI a également averti que « les coordonnées obtenues grâce à des stratagèmes d'ingénierie sociale pourraient également être utilisées pour usurper l'identité de contacts afin d'obtenir des informations ou des fonds ».

Bien que le FBI n'ait pas révélé l'identité des responsables américains usurpés, son annonce indique que la plupart des cibles sont « des hauts fonctionnaires, actuels ou anciens, du gouvernement fédéral ou des États américains, ainsi que leurs contacts ». Cela suggère une campagne de grande envergure ciblant des personnes disposant d'informations ou d'un accès potentiellement sensibles.

En décembre 2024, le FBI s'inquiétait de l'utilisation croissante de l'IA générative par des criminels pour mener diverses fraudes financières à grande échelle. Cette technologie permet de créer des textes, des images, des fichiers audio et des vidéos réalistes, facilitant ainsi la tromperie de victimes peu méfiantes, les incitant à envoyer de l'argent ou à tomber dans le piège d'autres escroqueries. De plus, les experts ont constaté une augmentation significative du recours au clonage vocal par IA. Selon un rapport de CrowdStrike, l'utilisation de cette technologie comme arme a connu une hausse spectaculaire de 442 % entre le premier et le second semestre 2024.

Ce dernier avertissement du FBI met en lumière la multiplication des outils d'IA sophistiqués utilisés pour des attaques d'ingénierie sociale , ce qui représente un risque important pour des personnalités influentes et, potentiellement, pour la sécurité nationale. L'agence appelle à la vigilance lors de la réception de messages non sollicités, en particulier ceux prétendant provenir de hauts fonctionnaires.

Max Gannon, responsable du renseignement chez Cofense, a commenté la dernière annonce en déclarant : « Bien que l'alerte IC3 indique que « les acteurs malveillants utilisent généralement des logiciels pour générer des numéros de téléphone qui ne sont pas attribués à un téléphone mobile ou à un abonné spécifique », il est important de noter que les acteurs de la menace peuvent également usurper des numéros de téléphone connus d'organisations ou de personnes de confiance, ajoutant ainsi une couche supplémentaire de tromperie à l'attaque. »

« De plus, le filtrage téléphonique ne détecte généralement pas lorsque le numéro est usurpé, ce qui donne un faux sentiment de sécurité aux utilisateurs qui comptent sur leur téléphone pour les avertir lorsqu'il s'agit d'un appel frauduleux », a expliqué Max.