Le support informatique, ce maillon que l'authentification forte ne protège pas

Le support informatique, ce maillon que l'authentification forte ne protège pas

Inutile désormais de casser un mot de passe ou de dérober un téléphone. Il suffit d'appeler le support informatique d'une entreprise, d'emprunter la voix d'un de ses salariés et de demander à l'agent au bout du fil de réinitialiser un mot de passe, puis de basculer la double authentification vers un nouvel appareil. Cette voix n'est pas celle d'un imitateur doué : c'est un clone, fabriqué à partir de quelques secondes d'audio glanées dans un webinaire ou sur une messagerie vocale.

C'est l'attaque qui s'est imposée en 2026, et elle contourne presque tout ce que les équipes de sécurité ont bâti depuis dix ans. Les outils achetés pour vérifier une identité fonctionnent toujours. C'est le processus humain construit autour d'eux qui cède.

Le déroulé de l'attaque

Tout part de la matière première, la voix. Les outils de clonage vocal reconstituent aujourd'hui une copie convaincante à partir de quelques secondes d'enregistrement, et la plupart des cadres en laissent filtrer bien davantage sans y prêter attention, entre les conférences, les résultats financiers commentés en public, les podcasts ou le simple message d'accueil d'un répondeur. Cet échantillon est ensuite injecté dans un modèle de synthèse vocale (la même technologie qui lit les livres audio à voix haute), ce qui autorise l'attaquant à taper n'importe quelle phrase et à la faire prononcer dans la voix de la cible, en direct pendant un appel.

Vient ensuite l'ingénierie sociale. L'attaquant joint le support en se faisant passer pour le salarié, le plus souvent avec un prétexte d'urgence : bloqué juste avant un comité de direction, en déplacement à l'étranger, téléphone hors service. La voix clonée porte la demande, quelques recherches en sources ouvertes livrent le matricule et le nom du responsable, et l'agent, formé avant tout pour rendre service, réinitialise le mot de passe ou réenrôle la MFA (authentification multifacteur, cette deuxième étape de connexion comme un code reçu sur le téléphone) sur un appareil que contrôle l'attaquant. Le compte lui appartient dès lors, avec tout ce qu'il ouvre. C'est le scénario téléphonique qu'avait employé le groupe Scattered Spider pour pénétrer MGM Resorts et Caesars Entertainment en 2023, à une nuance près : le clonage vocal efface la dernière difficulté, puisqu'il n'est plus utile d'être un imitateur de talent quand la voix de synthèse est quasi parfaite.

• Dans un avis public de décembre 2024, le FBI alertait déjà sur le recours à l'IA générative, voix clonées de proches ou de dirigeants comprises, pour rendre les montages frauduleux plus crédibles et plus difficiles à déceler.
• Selon le rapport State of Voice-Based Fraud 2026, 84 % des organisations de la finance et de la distribution disent avoir subi des attaques vocales d'un niveau de sophistication moyen à élevé sur l'année écoulée, et 77 % rangent le vishing (hameçonnage vocal visant les collaborateurs internes) parmi les menaces sérieuses.
• Ce même rapport décrit la manœuvre évoquée ici : contourner la MFA automatisée en appelant le support pour réclamer des réinitialisations de mots de passe et des changements de paramètres d'authentification.

Pourquoi la voix ne prouve plus qui vous êtes

Le coût retombe d'abord sur les équipes chargées des identités. Un seul appel réussi au support livre à un inconnu une session authentifiée et active, c'est-à-dire précisément ce que les courtiers en accès initiaux revendent ensuite aux groupes de rançongiciels. Les intrusions de 2023 chez MGM, conduites par ce biais, ont coûté près de cent millions de dollars, et leurs auteurs ne disposaient même pas d'une voix synthétique. Pour votre organisation, le basculement est immédiat et dérangeant : si le support peut réinitialiser un identifiant ou réenrôler la MFA sur la foi d'un appel et de quelques réponses à des questions secrètes, ce processus a cessé d'être fiable, et vos dirigeants sont les plus faciles à cloner de toute la maison, car ce sont leurs voix qui circulent le plus. La leçon à emporter en réunion de sécurité tient en une phrase : reconnaître la voix d'un collègue a longtemps suffi, et cet automatisme s'est mué en faille, de la même façon que le vieux réflexe de traquer les fautes d'orthographe dans un courriel d'hameçonnage a perdu son sens le jour où l'IA s'est mise à les écrire.

Les bons réflexes

1. Sortez la voix et les questions secrètes des contrôles d'identité du support. Exigez un facteur de possession avant toute réinitialisation de mot de passe ou de MFA : un code à usage unique adressé à un appareil déjà enrôlé, un appel vidéo où l'agent voit le badge de l'entreprise, ou une vérification en présentiel. Une voix clonée récite des réponses, mais elle ne produit pas un jeton physique qu'elle ne détient pas.
2. Adoptez une authentification résistante à l'hameçonnage. Les clés de sécurité matérielles et les passkeys fondées sur le standard FIDO arriment la connexion à un appareil physique : même un attaquant qui a berné le support ne peut rediriger une application de validation vers son propre téléphone. Le guide de la CISA sur la MFA résistante à l'hameçonnage détaille la marche à suivre.
3. Instaurez une règle de rappel pour les demandes sensibles. Pour un virement, une modification de MFA ou toute requête urgente parvenue par la voix, raccrochez et rappelez la personne sur un numéro déjà connu. Une voix clonée ne peut pas passer l'appel depuis le vrai téléphone du dirigeant, et les deux minutes nécessaires valent bien mieux que l'alternative. Le FBI formule la version grand public de ce conseil dans son avis de décembre 2024, en recommandant de convenir à l'avance d'un mot de passe verbal.

À retenir

La voix était la preuve d'identité la plus banale, celle que personne ne songeait à mettre en doute, et c'est exactement pour cela qu'elle est devenue une cible. La parade ne tient pas à des agents plus méfiants ni à des oreilles plus fines. Elle consiste à retirer la voix humaine de la boucle de vérification pour la remplacer par ce qu'une IA ne sait pas falsifier : une clé physique, un code sur un appareil de confiance, un appel passé vers un numéro que vous connaissez déjà. Inscrivez la procédure de réinitialisation du support à l'ordre du jour de votre prochaine revue de sécurité, car c'est sans doute la cible la plus exposée de tout votre périmètre.