État de la menace — mai 2026

Tendances de fond — mai 2026

1. Le deepfake vidéo temps réel franchit le seuil de viabilité opérationnelle. Plusieurs cas remontés en PME française entre le 10 et le 22 mai d'appels Microsoft Teams avec deepfake vidéo en temps réel pour la fraude au président. Virements détournés entre 50 et 180 k€ par tentative. Ce n'est plus un risque théorique — c'est documenté, mesurable, en croissance. La défense ne change pas (rappel obligatoire par canal différent sur tout virement urgent), mais le seuil d'attention bascule. Alerte de référence sur cette technique.

2. L'IA générative a fini de faire disparaître les signaux d'alerte classiques. Les "fautes d'orthographe" comme indice de phishing, c'est terminé en 2026. Les campagnes utilisent des modèles de langage qui produisent du français propre, parfois meilleur qu'un email RH lambda. La détection doit désormais reposer sur les invariants techniques : domaine d'expéditeur, URL de destination, demande de coordonnées sensibles hors contexte. Pas sur la qualité du français ou le ton.

3. Les [deepfakes](/glossaire#deepfake) investissement saturent Meta et TikTok. Bernard Arnault, Xavier Niel, Élise Lucet, Yann Barthès — toutes les figures à forte audience française sont usurpées en publicité vidéo pour promouvoir de fausses plateformes crypto. Meta reste l'écosystème le plus exposé, TikTok progresse vite. Le casting choisi par les attaquants n'est pas aléatoire : c'est celui dont les archives vidéo sont les plus abondantes et donc les plus faciles à deepfaker proprement. Alerte détaillée.

4. Les usurpations administratives forment un système cohérent. DGFIP, CAF, Ameli, ANTAI, ANTS, préfectures — la mécanique fake-admin-site est désormais industrialisée. Pub Google Ads au-dessus du résultat officiel, design administratif crédible, soit surfacturation d'une démarche gratuite, soit collecte d'un kit complet d'identité. Le créneau "remboursement / régularisation / amende" reste l'angle dominant parce qu'il s'appuie sur une crédibilité institutionnelle automatique côté victime.

5. Le vishing bancaire « virement de sécurité » s'industrialise sur toutes les enseignes. Mai 2026 a vu trois grandes banques touchées en cascade : Crédit Agricole, Boursorama, Crédit Mutuel. Mode opératoire strictement identique d'une enseigne à l'autre, signe que les opérateurs frauduleux packagent l'attaque et la diffusent en série régionale.

Marques les plus usurpées en mai 2026

Top signalements croisés (Signal-Spam + Cybermalveillance + remontées presse + Reddit r/arnaque) :

1. Engie / EDF — créances impayées, factures fictives
2. Amazon — compte bloqué, livraison
3. La Poste / Chronopost / Colissimo / Cdiscount — colis en attente (famille la plus active en SMS)
4. DGFIP / impots.gouv.fr — remboursement, régularisation
5. Ameli / Sécurité Sociale — carte Vitale, remboursement
6. ANTAI — amendes routières
7. Banques de détail — Crédit Agricole, Boursorama, Crédit Mutuel, BNP, Société Générale
8. Netflix — paiement refusé, abonnement
9. PayPal — activité inhabituelle (vague maintenant neutralisée)
10. Microsoft / Apple — faux support technique via popups

Canaux d'attaque — répartition observée

• SMS : toujours premier en volume. Leviers principaux : colis, factures énergie, créances, démarches administratives. Famille smishing-paiement entièrement basée sur le levier "petit montant + 3DS"
• Email : surface massive, phishing automatisé via templates IA. Servent aussi de vecteur pour les pubs deepfake investissement (via redirections)
• Téléphone : faible volume mais haut impact unitaire. Vishing bancaire côté particuliers + voice cloning PDG côté PME
• Marketplace : Leboncoin, Vinted, Facebook Marketplace — variantes acheteur/vendeur
• Web : faux sites administratifs (ANTAI, Ameli, DGFIP, ANTS, préfecture), popups support technique
• Visio professionnelle : Microsoft Teams, Zoom — nouvelle frontière depuis mi-mai 2026

Nouvelles techniques observées en mai 2026

• Deepfake vidéo temps réel sur Teams / Zoom — saut qualitatif majeur de l'année
• Domaines en `.shop` et `.top` : explosion d'usage, plus rapides et moins chers à créer que des .fr ou .com. Cycle d'enregistrement à takedown : 5-10 jours
• Faux 3D Secure : capture du code SMS bancaire au moment du paiement frauduleux — module commun à toutes les vagues SMS de la famille smishing-paiement
• Compromission de comptes hôteliers Booking : exploitation de la messagerie authentique pour envoyer des demandes de re-paiement aux clients réels
• Comptes mules e-money : utilisation accrue de banques néo et e-money européennes comme intermédiaires de blanchiment

Conseils synthétiques

• Particuliers : tout SMS / email demandant un paiement avec lien direct = suspect par défaut. Retape l'URL officielle dans le navigateur, ne clique jamais sur le lien fourni. Si la demande concerne un service auquel tu es abonné, vérifie via l'app officielle
• Entreprises et collectivités : procédure de double validation obligatoire sur tout changement de RIB fournisseur ou virement urgent hors-procédure. Mot de passe verbal partagé pour les ordres critiques par téléphone ou visio. Sensibilisation régulière du service comptable
• Réseaux sociaux : ne jamais cliquer sur une pub d'investissement promettant un rendement garanti, encore moins quand une célébrité l'endosse. Aucune célébrité française ne promeut secrètement une plateforme crypto
• Investisseurs crypto : aucune plateforme légitime ne te demandera jamais ta seed phrase. La règle est unique et sans exception
• Signalement : 33700 (SMS), Signal-Spam (email), cybermalveillance.gouv.fr (général), PHAROS (contenu illicite), AMF (plateformes d'investissement frauduleuses)

Sources et chiffres