Le phishing reste la porte d’entrée la plus utilisée par les cybercriminels. Mais en 2025, ce n’est plus le simple email mal orthographié que l’on pouvait repérer facilement il y a quelques années. Désormais, l’intelligence artificielle (IA), les deepfakes, et même les QR codes transforment ces attaques en opérations sophistiquées, difficiles à détecter, y compris par les entreprises équipées de solutions de cybersécurité avancées.
Quand l’IA devient l’alliée des cybercriminels
L’essor de modèles d’IA générative comme GPT-5 a ouvert la voie à un nouveau type de phishing. Les cybercriminels utilisent ces outils pour produire :
- Des emails parfaitement rédigés, sans faute, personnalisés selon le profil de la cible.
- Des voix synthétiques capables d’imiter le ton d’un supérieur hiérarchique lors d’un appel téléphonique.
- Des visages deepfakes utilisés dans des visioconférences frauduleuses pour convaincre des collaborateurs de valider des virements bancaires.
En 2025, 1,2 % de l’ensemble des emails envoyés chaque jour (soit environ 3,4 milliards) relèvent du phishing. L’automatisation par IA permet d’industrialiser ces attaques à moindre coût.
L’essor du “Quishing” : le phishing via QR codes
Longtemps considérés comme pratiques et sûrs, les QR codes deviennent un outil de choix pour les attaquants. Le “quishing” consiste à envoyer un code (dans un email, une affiche ou même un faux ticket d’événement) qui redirige la victime vers un site frauduleux.
Ce type d’attaque présente deux avantages majeurs pour les cybercriminels :
- Il contourne les filtres de sécurité des emails, souvent incapables d’analyser le contenu d’un QR code.
- Il exploite la confiance des utilisateurs, habitués à scanner ces codes dans les restaurants, transports ou services publics.
Une étude récente montre que le taux de clic (ou plutôt de scan) des QR codes malveillants rivalise avec celui des emails classiques, et tend à croître rapidement, notamment en Afrique où le mobile-first domine.
Les chiffres qui inquiètent en 2025
Les dernières statistiques confirment l’ampleur du problème :
- Les attaques de phishing ont augmenté de 1 265 % depuis l’arrivée des IA génératives.
- Plus de 80 % des organisations dans le monde déclarent avoir subi au moins une tentative réussie de phishing en 2024–2025.
- En Afrique, les notifications de scams frauduleux ont bondi jusqu’à 3 000 % dans certains pays (source : INTERPOL).
- Les ransomwares, souvent déclenchés via du phishing, connaissent une recrudescence en Afrique du Sud, Égypte et Nigéria, mais aussi dans les pays d’Afrique francophone émergents.
Ces chiffres traduisent une réalité : le phishing n’est plus une nuisance isolée mais un risque systémique qui met en péril aussi bien les petites PME que les grandes institutions financières.
Les nouvelles cibles : PME et particuliers en Afrique francophone
Si les grandes multinationales investissent massivement dans des solutions de cybersécurité, ce n’est pas le cas des PME africaines, souvent peu protégées et dépendantes d’outils numériques basiques.
- Les campagnes ciblant les PME de l’Afrique de l’Ouest se multiplient, profitant de la faible sensibilisation des employés.
- Les particuliers, de leur côté, reçoivent des messages frauduleux via WhatsApp ou Telegram, souvent en langue locale, ce qui augmente leur efficacité.
Exemple courant : un QR code envoyé dans un groupe WhatsApp communautaire, soi-disant pour “recevoir une subvention agricole”, renvoie en réalité vers un site qui dérobe les identifiants bancaires.
Vers des contre-mesures plus sophistiquées
Face à l’évolution du phishing, les solutions de défense se perfectionnent :
- PhishParrot, un projet open source récent, simule différents environnements pour démasquer les sites frauduleux qui ne se révèlent qu’à certaines configurations (mobile vs desktop, localisation IP, etc.).
- Les IA défensives se multiplient : elles analysent les métadonnées, les comportements de navigation et les modèles d’écriture des messages pour identifier des signaux faibles indétectables par un humain.
- Les entreprises africaines commencent à adopter des outils de Zero Trust Security, réduisant l’impact des compromissions même si un employé se fait piéger.
Conseils pratiques pour les utilisateurs et PME
Pour se protéger, quelques règles de base restent incontournables :
- Vérifier l’URL avant de saisir ses identifiants.
- Se méfier des QR codes provenant de sources non officielles.
- Former régulièrement les employés à repérer les signaux suspects.
- Activer la double authentification pour tous les services critiques.
- Maintenir à jour les systèmes et applications.
Le phishing en 2025 illustre une course permanente entre attaquants et défenseurs. L’intelligence artificielle, qui sert aux cybercriminels, est aussi un outil puissant pour renforcer la cybersécurité.
Mais la première barrière reste l’humain : la vigilance et la sensibilisation demeurent les armes les plus efficaces, notamment dans des environnements à faible couverture numérique sécurisée comme l’Afrique francophone.
Sources : Securelist (Phishing & Scam Trends 2025), ArXiv (LLM phishing & Quishing, PhishParrot), KeepNetLabs, SentinelOne, INTERPOL Cybercrime Report