Un email vous annonce que votre carte Vitale 2026 est prête à être expédiée. Un conseiller bancaire vous appelle pour signaler une activité suspecte — sa voix est familière, le numéro affiché est celui de votre agence. Une publicité vidéo montre une célébrité vantant un placement financier. Les trois sont des arnaques. Et les trois utilisent désormais l'intelligence artificielle pour tromper leurs victimes.
La carte Vitale : première porte d'entrée des escrocs
Depuis début 2026, des millions de Français reçoivent des SMS et emails imitant l'Assurance Maladie. Le message annonce une prétendue « carte Vitale 2026 prête à être expédiée » ou une « carte Vitale biométrique obligatoire ». Le lien redirige vers un faux site reproduisant fidèlement Ameli.fr, où les victimes saisissent leur numéro de Sécurité sociale et leurs coordonnées bancaires pour payer de prétendus frais d'expédition.
1,5 million de fraudes liées à la carte Vitale ont été signalées en 2025, en hausse de 30 % sur un an, selon les données compilées par UFC-Que Choisir. Le préjudice moyen atteint 850 euros par victime — prélevés via des achats frauduleux, des abonnements cachés ou des virements. Les seniors représentent 40 % des victimes, les actifs de 35 à 50 ans 35 %.
Rappel essentiel : une carte Vitale n'a pas de date d'expiration. L'Assurance Maladie ne demande jamais d'informations bancaires par email ou SMS. Le remplacement d'une carte perdue est gratuit.
L'intelligence artificielle transforme l'arnaque artisanale en industrie
Le phishing à la carte Vitale existait avant l'IA. Ce qui change en 2026, c'est la qualité et l'échelle. L'IA générative permet de produire des emails sans faute d'orthographe, personnalisés, imitant le ton administratif de l'Assurance Maladie. Les anciens indices d'arnaque — formulations maladroites, erreurs de grammaire, mise en page approximative — disparaissent.
Mais le vrai bouleversement se situe ailleurs. Selon une étude de Surfshark, les fraudes liées aux deepfakes ont coûté 863 millions d'euros dans le monde en 2025, contre 110 millions cumulés entre 2019 et 2023 — soit une hausse de 2 000 % en deux ans. En France, plus de 15 000 cas de deepfake vocal ont été recensés depuis janvier 2026.
Le clonage vocal illustre cette accélération. En 2023, reproduire une voix de manière convaincante nécessitait plusieurs minutes d'enregistrement. En 2026, 5 secondes d'audio suffisent — un message vocal WhatsApp, un extrait de réunion Teams. Les banques françaises signalent une multiplication des appels de faux conseillers bancaires utilisant des voix clonées combinées au « spoofing » du numéro de téléphone. Le coût moyen d'une fraude au faux dirigeant par deepfake vocal atteint 40 000 à 120 000 euros en entreprise.
350 000 euros perdus : l'affaire du faux Jean Reno
En mars 2026, un ingénieur lyonnais de 50 ans a perdu l'intégralité de ses économies — 350 000 euros — après avoir été trompé par une publicité deepfake montrant Jean Reno promouvoir une plateforme d'investissement. L'investissement initial modeste (quelques centaines d'euros) affichait des gains fictifs rapides. Un « conseiller financier » appelait régulièrement pour rassurer et encourager des versements croissants. La victime a fini par hypothéquer sa maison.
« La CNIL a utilisé pour la première fois, le 3 février 2026, le terme de "menace systémique" pour qualifier les deepfakes », rappelait un communiqué de l'institution. L'organisme identifie cinq catégories de risques : usurpation d'identité, fraude au président, sextorsion, manipulation vidéo en temps réel et contournement de systèmes biométriques.
Les chiffres d'une épidémie numérique
L'enquête du Credoc pour Cybermalveillance.gouv.fr, publiée en mars 2026, mesure l'ampleur du phénomène : 4 Français sur 10 ont été victimes de cybermalveillance en 2025. Contrairement aux idées reçues, les jeunes sont plus touchés que les seniors — 59 % des 15-24 ans ont été escroqués en ligne, contre 35 % des 40-59 ans.
Le ministère de l'Intérieur recense 453 200 infractions numériques en 2025, en hausse de 14 % sur un an et de 74 % en cinq ans. La plateforme Cybermalveillance.gouv.fr a traité 420 000 demandes d'assistance (+49,9 %), avec l'hameçonnage en tête (64 000 demandes), suivi du piratage de compte (+55 %) et des violations de données (+82 %).
Signal Spam a enregistré 6,68 millions de signalements au premier trimestre 2025. La France occupe le deuxième rang mondial des signalements (22,5 %), derrière les États-Unis.
La réponse gouvernementale : un filtre en retard et une loi à trous
Le filtre anti-arnaques, promis par Emmanuel Macron en 2022, n'a cessé d'être repoussé — avant la Coupe du monde de rugby 2023, avant les JO 2024. Sa mise en service est désormais visée pour le 1er septembre 2026. Le dispositif fonctionnera par filtrage DNS : un message d'avertissement s'affichera quand un internaute cliquera sur un lien menant à un site identifié comme frauduleux. La gestion a été transférée à l'OFAC (Office anti-cybercriminalité).
La loi anti-démarchage téléphonique, votée le 30 juin 2025, entrera en vigueur le 11 août 2026. Elle remplace le système opt-out de Bloctel par un opt-in strict : seuls les consommateurs ayant donné leur accord pourront être démarchés. Sanctions : jusqu'à 375 000 euros d'amende.
Mais ces deux dispositifs arrivent après la vague. Et ils présentent des angles morts. Le filtre DNS est contournable. La loi sur le démarchage ne vise pas spécifiquement les agents vocaux IA, qui savent déjà appeler en masse, détecter l'hésitation et contre-argumenter. L'AI Act européen, qui entre en application en août 2026, impose des obligations de transparence sur les contenus générés par IA, mais son application aux deepfakes frauduleux reste à préciser.
Comment se protéger maintenant
En l'absence de bouclier institutionnel opérationnel, la vigilance individuelle reste la première ligne de défense. Cybermalveillance.gouv.fr recommande de ne jamais communiquer d'informations sensibles par email, SMS ou téléphone non sollicité, de vérifier systématiquement l'adresse de l'expéditeur (le vrai domaine de l'Assurance Maladie est ameli.fr, pas ameli-vitale.fr) et d'activer l'authentification à deux facteurs sur tous les comptes.
En cas de doute sur un appel téléphonique — même si la voix semble familière et le numéro correct —, raccrocher et rappeler soi-même via le numéro officiel. En cas d'arnaque avérée, la plateforme THESEE permet de porter plainte en ligne, tandis que le dispositif 17Cyber offre une assistance immédiate.
