Egidio
Dossier · 2026

Comment un numéro peut mentir

Un appel qui affiche le numéro de votre banque n'est pas forcément votre banque. Le spoofing — l'usurpation du numéro affiché — est une technique ancienne, encore massivement utilisée, que les protocoles récents commencent seulement à contrer.

Un mécanisme distinct du deepfake vocal

Ce dossier concerne l'usurpation du numéro affiché, pas le clonage de la voix par intelligence artificielle — un sujet distinct, traité dans le dossier IA générative & deepfake vocal. Le spoofing de numéro consiste à falsifier l'identifiant de l'appelant qui s'affiche sur l'écran du destinataire, en exploitant les protocoles historiques de téléphonie, conçus à une époque où cette vérification n'était pas un enjeu de sécurité.

Le « neighbor spoofing »

La technique la plus courante documentée par le régulateur américain (FCC) consiste à afficher un numéro partageant votre indicatif local, pour paraître familier et augmenter les chances que vous décrochiez — même si l'appelant n'a strictement aucun lien avec votre région. La même logique s'applique à l'usurpation directe du numéro d'une entreprise ou d'une administration que vous connaissez déjà. Aux États-Unis, la loi prévoit des amendes pouvant atteindre 10 000 dollars par infraction pour ce type de spoofing malveillant.

Source : Federal Communications Commission (FCC), « Caller ID Spoofing ».

La réponse technique : STIR/SHAKEN

Face à ce problème, un protocole d'authentification des appels — STIR/SHAKEN — a été déployé pour permettre aux opérateurs de vérifier qu'un numéro appelant est bien légitime avant de le transmettre. Son adoption progresse, mais reste inégale :

44 %
Part des opérateurs téléphoniques enregistrés ayant pleinement déployé STIR/SHAKEN aux États-Unis, en septembre 2025.
FCC, données au 28/09/2025.
17,5 %
Part du trafic signé et vérifié entre petits opérateurs en 2025 — contre un taux nettement plus élevé chez les grands opérateurs, créant une chaîne de vérification inégale.
TNS, 2026 Robocall Investigation Report.

Autrement dit : la vérification technique existe, mais tant qu'elle n'est pas généralisée chez tous les opérateurs d'une chaîne d'appel, un numéro usurpé peut encore transiter jusqu'au destinataire final sans être signalé comme suspect.

Spoofing

Falsification de l'identifiant affiché lors d'un appel ou d'un SMS, pour se faire passer pour un numéro de confiance.

Neighbor spoofing

Variante du spoofing utilisant un numéro partageant votre indicatif local pour paraître familier.

STIR/SHAKEN

Protocole technique permettant aux opérateurs téléphoniques de vérifier et signer l'authenticité d'un numéro appelant tout au long de la chaîne d'appel.

🔒 Tant que la vérification technique reste incomplète côté réseau, la protection côté appareil garde tout son sens : reconnaître un schéma d'appel suspect même quand le numéro affiché semble familier. Voir comment fonctionne Medusa.

Questions fréquentes

Le spoofing de numéro, ce n'est pas la même chose que le deepfake vocal ?

Non. Le spoofing falsifie le numéro qui s'affiche sur votre écran — la technique existe depuis longtemps. Le deepfake vocal clone une voix grâce à l'IA. Les deux peuvent se combiner, mais ce sont deux mécanismes distincts.

Qu'est-ce que le "neighbor spoofing" ?

Une technique qui affiche un numéro partageant votre indicatif local, pour paraître familier et augmenter les chances que vous décrochiez — même si l'appelant n'a aucun lien avec votre région.

STIR/SHAKEN protège-t-il complètement contre le spoofing ?

Pas encore totalement. Ce protocole d'authentification des appels est largement déployé chez les grands opérateurs américains, mais son adoption reste partielle chez les petits opérateurs, ce qui laisse des failles dans la chaîne.

Pour aller plus loin