Votre téléphone vibre. Un SMS d'un livreur vous avertit que votre paquet n'a pas pu être déposé. Classique. Sauf que cette fois-ci, une photo accompagne le message d'alerte. On y distingue une main tenant un carton, une camionnette de livraison en arrière-plan et, surtout, votre nom complet parfaitement imprimé sur l'étiquette d'expédition. Bluffant.
Et totalement faux.
Les escrocs viennent de franchir un palier technique redoutable en industrialisant l'usage de l'intelligence artificielle générative. Fini le texto bourré de fautes d'orthographe expédié depuis un numéro étranger. Place à l'ingénierie sociale visuelle. Sur le réseau social X, l'expert Victoir Baissait a récemment documenté cette nouvelle mutation de l'arnaque à la livraison. Les pirates combinent des données volées avec des générateurs d'images pour créer un sentiment d'authenticité foudroyant. Un œil distrait n'y verra que du feu.
L'anatomie d'un piège sur mesure
Pour comprendre comment cette mécanique opère, il faut regarder sous le capot. L'ingénierie sociale repose sur un principe intemporel : pirater le cerveau humain avant de s'attaquer à l'ordinateur. C'est le principe du cambrioleur qui, au lieu de forcer votre serrure au pied-de-biche, se déguise en facteur pour que vous lui ouvriez vous-même la porte avec le sourire.
Ici, le déguisement est tissé par des algorithmes. Mais pour que l'illusion fonctionne, il faut du carburant. Ce carburant, ce sont vos données personnelles.
Les vagues successives de piratages ayant frappé des géants de la logistique française – des prestataires comme Mondial Relay ou Colis Privé – ont inondé les marchés noirs du dark web. Les cybercriminels y puisent des listes massives contenant des noms, des adresses physiques et des numéros de suivi légitimes. Ils intègrent ensuite ces éléments dans un "prompt" (une requête) adressé à une IA génératrice d'images. Le résultat ? Une image presque toujours identique de colis et de camionnette, sur laquelle seul le nom de la victime est modifié à la volée. Une industrialisation redoutable.
La technique de l'hameçon à double fond
Le message insiste lourdement sur l'urgence : le colis est trop grand pour la boîte aux lettres, il va être retourné à l'expéditeur. L'anxiété court-circuite la rationalité. La victime clique sur le lien.
C'est là que le piège se déploie. Et il comporte deux actes distincts.
Acte 1 : La collecte furtive. Le lien redirige vers un clone parfait du site du transporteur. Pour reprogrammer la livraison, on vous réclame des frais de port dérisoires. Vous sortez votre carte bancaire. Vous saisissez les seize chiffres, la date d'expiration et le cryptogramme. L'argent n'est pas débité. La transaction semble échouer. Vous passez à autre chose. Une erreur fatale.
Acte 2 : Le faux sauveur. Le véritable hold-up commence quelques heures ou quelques jours plus tard. Votre téléphone sonne. Au bout du fil ? Le service anti-fraude de votre banque. L'interlocuteur – rassurant, professionnel, articulé – vous alerte sur des mouvements suspects sur votre compte. Pour asseoir sa légitimité, il vous récite votre adresse et les numéros de la carte que vous avez vous-même compromis lors de l'Acte 1. Le piège psychologique se referme. En pleine panique, la victime obéit aveuglément. Le faux conseiller la guide pour "annuler" les transactions. En réalité, il lui fait valider les virements qui vident son compte, ou lui fait installer une application de contrôle à distance (comme AnyDesk) pour prendre la main sur son smartphone.
Le compte est siphonné.
Comment neutraliser la menace
La sophistication technique des attaquants augmente, mais la parade reste d'une simplicité mécanique. Il suffit de briser la chaîne de confiance artificielle.
- Ne croyez jamais vos yeux : L'image n'est plus une preuve. Comme l'a récemment clarifié la direction de Mondial Relay, les sociétés de livraison n'envoient jamais de photos personnalisées de colis avec les noms de leurs clients. Ce processus n'existe pas dans la chaîne logistique réelle.
- Appliquez la règle du canal rompu : Si vous recevez une alerte (SMS, email, appel) vous demandant une action urgente, coupez immédiatement la communication. N'utilisez jamais les liens fournis dans le message.
- Vérifiez à la source : Ouvrez vous-même l'application officielle de votre transporteur ou tapez manuellement l'adresse du site web dans votre navigateur pour saisir votre numéro de suivi.
- Le tabou bancaire : Gardez en tête qu'un véritable conseiller bancaire ne vous demandera jamais de lui dicter un code reçu par SMS, ni de valider une opération sur votre application pour "bloquer une fraude". Si on vous le demande, raccrochez. C'est une escroquerie.
L'automatisation du crime numérique abaisse le coût des attaques ciblées. La paranoïa constructive n'est plus une option. C'est votre premier pare-feu.