Aller au contenu principal
Regards ActuelsL'essentiel, en profondeur.
France

Arnaque carte Vitale :
comment l'IA fait évoluer les pièges

Phishing à la carte Vitale, voix clonées, faux conseillers bancaires : l'intelligence artificielle s'est invitée dans les arnaques en ligne et fait basculer la France dans une autre échelle. État des techniques, des chiffres officiels et du calendrier de la réponse publique.

Mis à jour le mardi 5 mai 2026 — 13h08
6 min
Thomas Renaud
Logo de Grok sur un smartphone devant le mot Deepfake en rouge, illustration des arnaques par intelligence artificielle
4 Français sur 10 ont été victimes d'une cybermalveillance en 2025, selon le Crédoc.© Jonathan Raa / NurPhoto via AFP
Mise à jour — 2 mai 2026. Le rapport d'activité 2025 de Cybermalveillance.gouv.fr, publié le 28 mars 2026, fait état de 504 810 demandes d'assistance (+20 % sur un an). Le filtre anti-arnaques, géré par l'Office anti-cybercriminalité (OFAC), est désormais visé pour le 1ᵉʳ septembre 2026. La loi du 30 juin 2025 sur le démarchage téléphonique entre en application le 11 août 2026.
L'Essentiel
  • 4 Français sur 10 victimes de cybermalveillance en 2025 (Crédoc, février 2026)
  • 453 200 atteintes numériques enregistrées en 2025 par les forces de sécurité, +14 % sur un an, +87 % en cinq ans (ministère de l'Intérieur)
  • 504 810 demandes d'assistance traitées par Cybermalveillance.gouv.fr en 2025 (+20 %)
  • Pertes mondiales liées aux deepfakes estimées à 863 millions de dollars en 2025, contre 110 millions cumulés entre 2019 et 2023 (Surfshark)
  • La CNIL a employé pour la première fois le terme de « menace systémique » à propos des deepfakes le 3 février 2026

Un email annonce que votre carte Vitale 2026 est prête à être expédiée — il vous suffit de régler quelques euros de prétendus frais de port. Une voix familière, au téléphone, vous alerte sur une activité suspecte de votre compte bancaire. Une vidéo montre une personnalité connue vantant un placement miracle. Trois scénarios différents, un même contexte : l'intelligence artificielle s'invite désormais dans les arnaques en ligne — à des degrés divers selon le canal — et toutes trois progressent à grande vitesse.

La carte Vitale : la porte d'entrée préférée des escrocs

Depuis le début de 2026, des SMS et emails imitant l'Assurance Maladie circulent en masse. Le message annonce une prétendue « carte Vitale 2026 » prête à être expédiée, ou une « carte Vitale biométrique obligatoire ». Le lien renvoie vers un faux site qui reproduit l'apparence d'ameli.fr. La victime y saisit son numéro de Sécurité sociale et ses coordonnées bancaires pour régler de prétendus frais d'expédition. Une fois ces données captées, elles sont revendues ou utilisées pour des prélèvements frauduleux.

Trois rappels simples permettent de couper court à ce type de message. Une carte Vitale n'a pas de date d'expiration : aucun « renouvellement 2026 » n'est en cours. L'Assurance Maladie ne demande jamais de coordonnées bancaires par email ou SMS. Le remplacement d'une carte Vitale, en cas de perte ou de vol, est gratuit et se fait depuis le compte ameli.

L'IA fait passer l'arnaque artisanale à l'industriel

Le phishing à la carte Vitale n'a rien de nouveau. Ce qui change en 2026, c'est sa qualité. Les emails et SMS produits avec l'aide d'une IA générative ne contiennent souvent plus les fautes d'orthographe et les formulations maladroites qui servaient autrefois de signal d'alerte. Le ton est administratif, le français correct, la mise en page proche du vrai.

Mais la vraie bascule se joue côté audio et vidéo. Selon une étude de Surfshark, les pertes mondiales liées aux fraudes par deepfake ont atteint 863 millions de dollars en 2025, contre 110 millions cumulés sur la période 2019-2023 — soit près de huit fois plus en deux ans. La CNIL a, pour la première fois, qualifié les deepfakes de « menace systémique » dans une communication publiée le 3 février 2026.

Le clonage vocal illustre le saut technologique. Là où il fallait il y a quelques années plusieurs minutes d'enregistrement pour reproduire une voix de manière convaincante, quelques secondes suffisent désormais : un message vocal partagé sur une messagerie, un extrait de réunion en ligne. Couplé au « spoofing » — l'usurpation du numéro affiché —, le clonage vocal permet aux escrocs de passer pour un conseiller bancaire ou un proche.

Les chiffres d'une bascule numérique

L'enquête 2025 du Crédoc, reprise par Cybermalveillance.gouv.fr en février 2026, donne une mesure du phénomène : 4 Français sur 10 ont été victimes de cybermalveillance en 2025. Contrairement à une intuition courante, les jeunes y sont plus exposés que les seniors — les moins de 25 ans représentent 59 % des victimes selon le baromètre, devant les actifs de 40 à 59 ans, à environ 35 %.

Côté forces de sécurité, le ministère de l'Intérieur a recensé 453 200 atteintes numériques en 2025, en hausse de 14 % sur un an et de 87 % sur cinq ans. La plateforme Cybermalveillance.gouv.fr a, de son côté, traité 504 810 demandes d'assistance en 2025 (+20 %), avec l'hameçonnage en tête des menaces.

Sur le canal email, le baromètre 2025 de l'association Signal Spam recense plus de 6,68 millions de signalements pour le seul premier trimestre 2025 — une volumétrie qui place la France parmi les premiers contributeurs mondiaux aux signalements de spam.

La réponse publique arrive après la vague

Le filtre anti-arnaques, promesse d'Emmanuel Macron en 2022, n'a cessé d'être repoussé — d'abord avant la Coupe du monde de rugby 2023, puis avant les Jeux olympiques 2024. Un projet de décret notifié à la Commission européenne fixe désormais sa mise en service au 1ᵉʳ septembre 2026. Le dispositif fonctionnera par filtrage DNS : un message d'avertissement s'affichera quand un internaute cliquera sur un lien identifié comme frauduleux. La gestion a été confiée à l'Office anti-cybercriminalité (OFAC).

La loi n° 2025-594 du 30 juin 2025 sur le démarchage téléphonique entre en application le 11 août 2026. Elle remplace le système opt-out de Bloctel par un opt-in strict : seuls les consommateurs ayant donné leur accord pourront être démarchés, à peine d'amendes pouvant atteindre 375 000 euros pour les personnes morales.

Mais ces deux dispositifs arrivent après la vague, et présentent des angles morts. Un filtre DNS est techniquement contournable. La loi sur le démarchage cible la prospection commerciale, sans traiter spécifiquement les usages malveillants d'IA vocale — appels automatisés, voix clonée, agents conversationnels. Le règlement européen sur l'intelligence artificielle (AI Act), entré en vigueur le 1ᵉʳ août 2024 et pleinement applicable au 2 août 2026, prévoit des règles de transparence pour les contenus générés par IA — leur application aux deepfakes frauduleux reste à préciser.

Comment se protéger maintenant

En l'absence de bouclier institutionnel pleinement opérationnel, la vigilance individuelle reste la première ligne de défense. Cybermalveillance.gouv.fr recommande de ne jamais communiquer d'informations sensibles par email, SMS ou téléphone non sollicité, de vérifier systématiquement l'adresse de l'expéditeur (le seul domaine officiel de l'Assurance Maladie est ameli.fr) et d'activer l'authentification à deux facteurs partout où c'est possible.

Une règle simple permet de neutraliser la plupart des appels suspects, même quand la voix semble familière et que le numéro affiché est correct : raccrocher, puis rappeler soi-même via le numéro officiel imprimé sur sa carte bancaire ou trouvé sur le site officiel. En cas d'arnaque avérée, la plateforme THESEE permet de porter plainte en ligne, et le dispositif 17Cyber offre une assistance immédiate.

L'essentiel

  • 4 Français sur 10 victimes de cybermalveillance en 2025 (Crédoc, février 2026)
  • 453 200 atteintes numériques enregistrées en 2025 par les forces de sécurité, +14 % sur un an, +87 % en cinq ans (ministère de l'Intérieur)
  • 504 810 demandes d'assistance traitées par Cybermalveillance.gouv.fr en 2025 (+20 %)
  • Pertes mondiales liées aux deepfakes estimées à 863 millions de dollars en 2025, contre 110 millions cumulés entre 2019 et 2023 (Surfshark)
  • La CNIL a employé pour la première fois le terme de « menace systémique » à propos des deepfakes le 3 février 2026

Questions fréquentes

Existe-t-il une « carte Vitale 2026 » ou « biométrique » à renouveler ?
Non. La carte Vitale n'a pas de date d'expiration, et aucune campagne officielle de « carte Vitale 2026 » ou « biométrique obligatoire » n'a été lancée par l'Assurance Maladie. Tout SMS ou email demandant des frais d'expédition ou des coordonnées bancaires pour recevoir une nouvelle carte est une arnaque.
Comment reconnaître un email officiel de l'Assurance Maladie ?
Le seul domaine officiel est ameli.fr. L'Assurance Maladie ne demande jamais de coordonnées bancaires ni de numéro de Sécurité sociale par email ou SMS. En cas de doute, ne pas cliquer sur le lien : se rendre directement sur ameli.fr ou sur l'application officielle.
Que faire si l'on a déjà cliqué et fourni ses informations ?
Faire opposition immédiatement sur sa carte bancaire, changer les mots de passe associés, signaler l'arnaque à Signal Spam (pour les emails) et à Cybermalveillance.gouv.fr (pour assistance). En cas de préjudice, déposer plainte via la plateforme THESEE ou auprès d'un commissariat.
Qu'est-ce qu'un deepfake vocal ?
C'est une voix générée ou clonée par un système d'intelligence artificielle à partir d'un échantillon audio existant. Aujourd'hui, quelques secondes d'enregistrement suffisent pour produire une imitation convaincante. Couplé à l'usurpation du numéro affiché (« spoofing »), un deepfake vocal permet à un escroc de se faire passer pour un conseiller bancaire, un employeur ou un proche.
Quand le filtre anti-arnaques sera-t-il actif ?
Selon le projet de décret notifié à la Commission européenne en mars 2026, sa mise en service est désormais visée pour le 1ᵉʳ septembre 2026. Géré par l'Office anti-cybercriminalité (OFAC), il fonctionnera par filtrage DNS : un avertissement s'affichera quand un internaute cliquera sur un lien identifié comme frauduleux.

Thomas Renaud

Partagez cet article

Sur le même sujet

Plus d'actualités France

Voir tout
Dany Laprince à la Cour de Cassation de Paris le 23 janvier 2025
France

Dany Leprince :
comment fonctionne la révision de procès en France

Condamné à la perpétuité en décembre 1997 pour le quadruple meurtre de Thorigné-sur-Dué (Sarthe), Dany Leprince a comparu le 7 mai 2026 devant la Cour de révision et de réexamen. L'avocat général a rendu un avis favorable à un nouveau procès. Décision attendue le 2 juillet 2026.

L'ancien président Nicolas Sarkozy quitte la salle d'audience du Palais de Justice après que le parquet a requis une peine de sept ans de prison à son encontre lors de son procès en appel dans le financement libyen, le 13 mai 2026 à Paris
France

Sarkozy procès libyen en appel :
7 ans requis, décision le 30 novembre

Le parquet général a requis le 13 mai 2026 sept ans de prison, 300 000 € d'amende et cinq ans d'inéligibilité contre Nicolas Sarkozy au procès en appel du financement libyen. L'ancien chef de l'État est qualifié d'« instigateur » d'un « pacte de corruption » avec Kadhafi. Décision le 30 novembre 2026.

Nicolas Sarkozy quittant le tribunal lors du procès en appel du financement libyen présumé de sa campagne de 2007
France

Procès Sarkozy financement libyen :
la rupture avec Guéant

Au procès en appel du financement libyen présumé de la campagne 2007, la rupture publique entre Nicolas Sarkozy et son ancien bras droit Claude Guéant s'est jouée à la barre. Phase d'interrogatoires close le 29 avril, plaidoiries en mai, verdict attendu après le 3 juin 2026.

À ne pas manquer

Jeune femme consultant son téléphone dans son lit la nuit, illustrant le doomscrolling et l'anxiété
Santé

Peur de la guerre en France :
87 % des Français inquiets selon ELABE

Sondage ELABE des 31 mars et 1er avril 2026 : 87 % des Français inquiets face à la guerre, dont 44 % très inquiets — un bond de 12 points en deux semaines. La war anxiety est un sujet de santé publique sans dispositif adapté.

Pétrolier géant vu du ciel dans un terminal pétrolier avec cuves de stockage
Monde

Chocs pétroliers :
ce que cinquante ans de crises ont coûté aux Français

Quatre chocs pétroliers en cinquante ans : 1973, 1979, 2008, 2026. Quatre déclencheurs, quatre mécanismes, quatre niveaux de protection française. Ce que chaque crise a laissé derrière elle — et ce que 2026 change.

Pancarte Aveu negocié Vérité sacrifiée lors de la manifestation des avocats contre la loi Darmanin sur le plaider-coupable criminel, Paris, 13 avril 2026
Politique

Plaider coupable au criminel :
la réforme qui divise la France

Darmanin veut permettre de plaider coupable pour les meurtres et viols. Aux États-Unis, 97 % des condamnations passent par ce système — mais des innocents plaident coupable. En France, 80 000 avocats se mobilisent contre.

Hall vide de l'aéroport de Munich Terminal 2, tableau d'affichage Lufthansa avec annulations massives, avril 2026
Économie

Vols annulés :
ce que les compagnies ne disent pas

L'AIE alerte sur six semaines de réserves de kérosène en Europe, l'IATA prévoit +20 à 40 % de tarifs cet été. Lufthansa supprime 20 000 vols, Transavia ajuste mai-juin, Air France-KLM amortit grâce à 87 % de couverture. Ce que vous pouvez exiger.

Newsletter Regards Actuels

L'essentiel, en profondeur. Chaque vendredi.

Gratuit · Désabonnement en un clic