Marie, une retraitée parisienne de 78 ans, a perdu 500 euros début 2026 après avoir suivi les instructions d'une fausse conseillère Orange. Son histoire n'est qu'un exemple parmi des milliers. Les escroqueries par usurpation d'identité téléphonique explosent, touchant toutes les générations. Google a annoncé le 2 juin 2026 une réponse technique inédite : son application Téléphone vérifie désormais que votre interlocuteur est bien celui qu'il prétend être, grâce à un système de « poignée de main numérique » via le protocole RCS. Voici comment fonctionne cette protection et ce qu'elle change pour les utilisateurs français.
« Coucou maman, c'est moi » : l'arnaque qui fait des ravages chez les 16-25 ans
Les techniques d'usurpation d'identité se sont diversifiées et industrialisées. Après des années d'avertissements, l'escroquerie téléphonique a trouvé un nouveau terrain de jeu : le répertoire de votre smartphone. Faux SMS de colis, faux conseiller bancaire, faux enfant en détresse — les exemples concrets ne manquent pas.
Le scénario bien rodé du faux fils en détresse et du conseiller bancaire
Revenons à Marie. En janvier 2026, elle reçoit un appel d'une femme se présentant comme employée du service client Orange. La voix est posée, professionnelle. La fausse conseillère alerte Marie sur un « problème technique » touchant sa ligne Sosh. Pour le résoudre, elle lui demande de composer un autre numéro, à cinq reprises. Personne ne répond jamais. Quelques jours plus tard, la retraitée découvre la facture : 500 euros d'appels surfacturés. Comme le rapporte Le Monde, il lui faudra insister auprès de Sosh pour obtenir le remboursement de la moitié de la somme.
Le mécanisme psychologique est identique pour les plus jeunes. Depuis fin 2022, Cybermalveillance.gouv.fr alerte sur l'arnaque « Coucou maman/papa ». L'escroc envoie un SMS en se faisant passer pour l'enfant de la victime, prétextant avoir perdu ou cassé son téléphone. Il donne un nouveau numéro et invite à échanger sur WhatsApp. Une fois la conversation engagée, il réclame de l'argent pour un achat urgent ou un problème financier, par virement ou via des coupons PCS. Ces techniques exploitent la confiance qu'inspire un nom ou une photo affichés sur l'écran du téléphone.
Pourquoi les jeunes adultes sont les nouvelles cibles privilégiées des réseaux comme Darcula
En décembre 2025, Google a porté plainte devant un tribunal américain contre le réseau Darcula, un groupe sinophone spécialisé dans le smishing — l'hameçonnage par SMS. L'enquête conjointe de la télévision norvégienne NRK, de la radio bavaroise Bayerische Rundfunk et du Monde a révélé le fonctionnement interne de ce groupe. Opérant depuis au moins 2023, Darcula vend à d'autres cybercriminels un logiciel baptisé Magic Cat, capable d'automatiser l'envoi de SMS frauduleux à des milliers de numéros. Chaque client accède à des dizaines de faux sites usurpant l'identité d'entreprises comme La Poste ou Chronopost. Le réseau a déjà volé les identifiants bancaires de milliers de Français.
Les chiffres donnent le vertige. Clubic rapporte que l'Observatoire de la satisfaction client 2026 de l'ARCEP indique que 43 % des possesseurs de mobile ont été contactés par des inconnus se plaignant d'avoir reçu un appel depuis leur numéro — un phénomène en hausse de 9 points en un an. Plus d'un Français sur cinq subit cette situation chaque semaine. Les 16-25 ans, hyper-connectés et souvent moins méfiants, sont devenus des cibles privilégiées pour le smishing. La fonctionnalité de Google arrive à un moment critique.
L'industrialisation du smishing : quand les escrocs passent à l'échelle
Le réseau Darcula n'est pas un cas isolé. Cybermalveillance.gouv.fr constate depuis 2020 une forte croissance de l'hameçonnage par SMS, une tendance qui ne fait que s'accentuer. Les cybercriminels profitent du développement des services d'information par SMS adoptés par les administrations, banques et sociétés de livraison pour usurper leur identité. L'intérêt du smishing réside dans sa difficulté de détection : contrairement aux courriels frauduleux, souvent repérables à leur orthographe ou leur mise en page, les SMS sont plus faciles à imiter. Les fausses alertes de colis, les faux messages des impôts ou de l'Assurance Maladie se multiplient, rendant la vigilance de plus en plus difficile.
Comment l'IA de Google sonne la fin de la récré pour les usurpateurs
Si le constat est alarmant, la réponse de Google, annoncée le 2 juin 2026, est aussi radicale qu'inédite : l'application Téléphone vérifie désormais en temps réel que votre interlocuteur est bien celui qu'il prétend être. Fini la simple suspicion, la machine tranche.
« Ce n'est peut-être pas [Nom] » : une alerte qui change tout lors d'un appel entrant
Votre téléphone sonne, le nom de votre fille apparaît. Mais au lieu de la photo habituelle, l'écran reste vide. L'historique des appels ne mentionne plus le contact mais « Inconnu ». Et un message s'affiche : « Ce n'est peut-être pas [Nom]. Quelqu'un essaie peut-être d'appeler depuis le numéro de votre contact. » Un bouton « Raccrocher » bien visible vous invite à couper court.
La journaliste Lily Hay Newman, pour Wired, a vécu la démonstration en direct. Elle a entendu sa propre voix générée par intelligence artificielle, un deepfake vocal parfait, lors d'un appel frauduleux simulé. L'alerte s'est affichée immédiatement. Google supprime également la photo du contact de l'interface d'appel et modifie l'entrée dans l'historique en « Inconnu ». Ce n'est plus un simple filtre anti-spam — c'est une authentification active qui intervient pendant l'appel, pas après.
400 milliards de dollars de dommages : pourquoi Google a décidé d'agir
Le chiffre est sidérant : plus de 400 milliards de dollars de pertes mondiales liées aux escroqueries par usurpation d'identité, selon les estimations d'INTERPOL citées par Google dans son annonce officielle. La FTC américaine a recensé 2,95 milliards de dollars de pertes aux États-Unis pour la seule année 2024. Les pertes liées aux deepfakes vocaux ont augmenté de 340 % entre 2023 et 2025. Les escroqueries aux faux proches, faux banquiers et vishing (phishing vocal) sont devenues systémiques. Google ne se contente pas de colmater les brèches. Sa plainte contre le réseau Darcula montre une volonté de traquer les cybercriminels. Mais la contre-mesure technique est désormais à la hauteur de la menace : une protection intégrée au niveau de la couche réseau, capable de déjouer les deepfakes vocaux et l'usurpation de numéros.
De la découverte au déploiement : la genèse d'une fonctionnalité
La première trace de cette fonctionnalité remonte à une analyse du code de l'application Google Phone par Android Authority le 18 mai 2026. Des chaînes de caractères dans le code de la version 222.0.913376317 pour Pixel révélaient une future alerte « Someone may be pretending to call from your contact's number » avec une option de raccrocher. Moins de deux semaines plus tard, Google officialisait le déploiement mondial. La rapidité entre la découverte et le lancement témoigne de l'urgence ressentie par l'entreprise face à l'explosion des deepfakes vocaux.
« Digital Handshake » : le serrement de main numérique qui authentifie vos proches
Derrière l'alerte se cache une prouesse technique : une « poignée de main numérique » (digital handshake). Contrairement aux systèmes de blocage classiques qui comparent des numéros à des listes noires, la solution de Google vérifie l'identité de l'appelant via un signal cryptographique.
RCS chiffré de bout en bout : la clé qui manquait au réseau téléphonique classique
Le système repose sur le protocole RCS (Rich Communication Services), le successeur du SMS, désormais chiffré de bout en bout. Quand un contact appelle, son téléphone envoie un signal de confirmation silencieux. Si l'appelant est un imposteur qui a usurpé le numéro, ce signal est absent. Google contacte alors silencieusement le vrai téléphone du contact pour confirmer qu'il n'est pas en train d'appeler.
Dave Kleidermacher, vice-président sécurité Android, a expliqué à Wired : « Si vous m'appelez et que nous sommes mutuellement dans les contacts l'un de l'autre, un signal silencieux est envoyé. Si l'appelant est un usurpateur, ce signal est absent et nous vérifions auprès de votre véritable appareil. » Cette ingénierie est plus robuste que le protocole STIR/SHAKEN utilisé par les opérateurs téléphoniques, qui vérifie le numéro mais reste vulnérable aux appels internationaux.
Deepfakes vocaux et numéros fantômes : pourquoi la voix ne suffit plus
Le FCC américain le rappelle : falsifier un numéro est techniquement trivial avec le Caller ID Spoofing. Les escrocs peuvent afficher n'importe quel numéro sur l'écran de leur victime. Avec l'essor des deepfakes vocaux, même un message vocal peut être truqué. La journaliste de Wired l'a vécu : sa propre voix, générée par IA, était parfaitement reconnaissable.
Le digital handshake coupe court à ce problème. Même si la voix est parfaite, l'absence de certificat RCS trahit l'imposteur. C'est un changement de paradigme : on ne fait plus confiance à la voix ou au numéro, mais à la preuve cryptographique. Google a construit la fonctionnalité sur RCS, un standard ouvert, permettant à d'autres applications et fabricants d'adopter cette technologie.
Le signal silencieux : comment l'échange se déroule en coulisses
Le processus est entièrement automatisé et ne nécessite aucune action de l'utilisateur. Lorsqu'un contact enregistré dans votre répertoire vous appelle, son téléphone génère un jeton cryptographique unique lié à sa session RCS. Ce jeton est transmis silencieusement pendant l'établissement de l'appel. Votre téléphone vérifie ce jeton auprès du serveur RCS. Si la vérification échoue — parce que l'appelant a usurpé le numéro — l'alerte s'affiche. L'ensemble de l'échange prend moins d'une seconde et ne perturbe pas la sonnerie. Le mécanisme est conçu pour fonctionner même en l'absence de connexion internet stable, grâce à une mise en cache des certificats de confiance.
Android 12, RCS activé, appli Google : la check-list pour activer la protection
Cette fonctionnalité n'est pas un mythe, elle se déploie activement à partir de juin 2026. Mais elle ne fonctionne pas sur n'importe quel téléphone. Voici exactement ce qu'il faut vérifier.
Samsung, Xiaomi, OnePlus : le casse-tête de la compatibilité en France
Les conditions sont strictes. Il faut Android 12 minimum, ainsi que les applications Google Phone (Téléphone), Google Messages et Google Contacts installées. TechCrunch précise que les deux interlocuteurs — appelant et appelé — doivent utiliser Phone by Google. Le contact doit être dans votre répertoire.
Le piège pour les utilisateurs Samsung : bien que Samsung ait adopté Google Messages par défaut, de nombreux Galaxy utilisent encore Samsung Phone, qui est incompatible. Ars Technica explique que les utilisateurs de Samsung doivent potentiellement passer à Phone by Google. Les utilisateurs de OnePlus et Xiaomi peuvent installer Phone by Google depuis le Play Store.
| Marque | Modèles compatibles | Action nécessaire |
|---|---|---|
| Google Pixel | Tous (Android 12+) | Activé par défaut |
| Samsung Galaxy | Série S, A, M, J | Installer Phone by Google |
| Xiaomi Redmi | Tous (Android 12+) | Installer Phone by Google |
| OnePlus | Tous (Android 12+) | Installer Phone by Google |
| Autres marques | Android 12+ | Vérifier Phone by Google sur Play Store |
Activer la fonction en 30 secondes : le pas-à-pas pour votre Pixel ou Galaxy
La procédure est simple. Ouvrez Paramètres, puis Application Téléphone. Cherchez l'option « Détection d'appels frauduleux » et activez-la. Vérifiez que le RCS est actif dans Google Messages : Paramètres > Messages RCS > Activer. Sur les Pixel, la fonction est activée par défaut. Sur les autres appareils, il faut peut-être la chercher dans les paramètres avancés.
Une contrainte forte : l'appelant doit aussi utiliser Google Phone. Si votre entourage utilise une autre application, la détection ne fonctionnera pas. Google mise sur l'adoption massive du RCS, mais le déploiement prendra du temps. Le déploiement mondial commence par les Pixel, puis s'étend aux autres appareils compatibles.
Les limites pratiques du déploiement en France
En France, la situation est particulière. De nombreux utilisateurs de Samsung Galaxy utilisent encore l'application Samsung Phone par défaut, sans savoir qu'elle n'est pas compatible. Les utilisateurs de Xiaomi et OnePlus doivent activement installer Phone by Google depuis le Play Store. Le ministère de l'Économie, via economie.gouv.fr, rappelle que la vigilance reste déterminante, même avec ces nouveaux outils. Google recommande de vérifier régulièrement les mises à jour de l'application Téléphone pour bénéficier des dernières améliorations de la détection.
Les failles du bouclier : numéros fixes, inconnus et appels professionnels
Un outil génial n'est pas un outil parfait. Pour crédibiliser l'article, explorons les angles morts de la fonctionnalité. Le lecteur doit savoir à quoi il reste exposé.
Le piège des numéros fixes et des proches non équipés
La fonctionnalité ne marche que si les deux parties utilisent l'écosystème Google Phone. Quid des appels depuis un téléphone fixe — très fréquents pour les escroqueries aux faux conseillers ? Quid des contacts qui utilisent un vieil Android ou un iPhone ? Dans ces cas, aucun signal RCS n'est émis, mais aucun faux-positif non plus. L'alerte ne s'affiche simplement pas. Il faut le dire clairement : ce n'est pas une protection universelle.
Les escrocs le savent et adaptent leurs techniques. Si la protection se généralise, ils basculeront vers les appels depuis des fixes ou des appareils non compatibles. Google le reconnaît : la fonctionnalité est un bouclier, pas une armure complète. Les utilisateurs d'iPhone, qui représentent environ 25 % du marché français, restent exclus de cette protection, tout comme les utilisateurs de vieux smartphones Android ne pouvant pas installer Google Phone.
Vie privée : Google peut-il savoir qui sont vos contacts ?
Wired a posé la question à Google. La réponse est rassurante : le mécanisme ne stocke pas les métadonnées des appels dans le cloud. La « poignée de main » est entièrement locale et chiffrée de bout en bout. Personne, pas même Google, ne peut voir qui parle à qui. Le signal silencieux est éphémère et ne laisse pas de trace. Google affirme que le système utilise un chiffrement de bout en bout qui empêche toute interception.
Reste le risque de faux positifs. Un téléphone perdu, un rejet de l'appel par l'autre appareil, un bug réseau peuvent déclencher une alerte injustifiée. L'outil est solide, mais pas infaillible. Google promet des mises à jour pour affiner la détection. En cas de faux positif, l'utilisateur peut signaler l'erreur via l'application Téléphone, ce qui permet à Google d'améliorer ses algorithmes.
Les appels professionnels et les numéros inconnus : la zone grise
La fonctionnalité ne protège que contre les usurpations de contacts du répertoire. Les appels provenant de numéros inconnus — comme ceux des faux conseillers bancaires ou des faux livreurs — ne déclenchent pas l'alerte. Google mise sur d'autres mécanismes pour ces appels, comme le filtrage anti-spam classique et les « appels bancaires vérifiés » annoncés en partenariat avec Revolut, Itaú et Nubank. Mais pour l'instant, un appel d'un numéro inconnu usurpant l'identité de votre banque ne sera pas détecté par cette fonctionnalité spécifique.
Bloctel, 33700 et Google : qui gagne vraiment la guerre du spam ?
Où se situe cette innovation face à l'arsenal français ? Entre Bloctel, le 33700 et le protocole STIR/SHAKEN, le paysage est déjà dense. La nouveauté de Google bouleverse la hiérarchie des solutions.
D'un filtrage passif à une vérification cryptographique : la différence de niveau
Bloctel est une liste d'opposition au démarchage téléphonique. Le 33700 permet de signaler les spams vocaux et SMS frauduleux a posteriori. STIR/SHAKEN (aussi appelé MAN) vérifie le numéro au niveau de l'opérateur mais reste vulnérable aux appels internationaux.
Google agit en amont, pendant l'appel. Le digital handshake vérifie l'identité réelle de l'appareil, pas seulement le numéro. C'est un saut technologique qui rend obsolète la simple répression administrative. Pour ceux qui veulent creuser les solutions existantes, notre guide complet sur le spam téléphonique détaille chaque option. Contrairement à Bloctel qui nécessite une inscription volontaire, la détection de Google est activée par défaut sur les Pixel et disponible sur les autres appareils compatibles.
Les limites des solutions françaises face aux deepfakes
Bloctel et le 33700 sont des outils de signalement et de prévention, mais ils ne peuvent rien contre un deepfake vocal parfait. Une fois l'arnaque commise, le signalement permet d'enquêter, mais l'argent est souvent perdu. Cybermalveillance.gouv.fr rappelle que l'hameçonnage est la première menace pour les entreprises et la troisième pour les particuliers. Les solutions françaises sont efficaces pour le démarchage commercial, mais insuffisantes face aux escroqueries ciblées par deepfake.
L'avenir des « appels vérifiés » : banques, administrations et services
Forbes rapporte que Google a annoncé le 12 mai 2026 une fonctionnalité d'« appels bancaires vérifiés » en partenariat avec Revolut, Itaú et Nubank. Eugene Liderman, directeur de la sécurité Android, a déclaré : « En améliorant la protection contre les escroqueries bancaires, nous assurons qu'Android reste la plateforme la plus sécurisée. »
La logique est la même : un appel de votre banque sera authentifié par ce mécanisme. Cela ouvre la voie à un monde où tous les appels importants — administration, santé, livraison — pourraient être certifiés. Le standard RCS, ouvert, permet à d'autres applications et fabricants d'adopter cette technologie. L'initiative est prometteuse, mais son adoption massive prendra des années.
La complémentarité des solutions : pourquoi il ne faut pas tout miser sur Google
Même avec la détection de Google, les solutions françaises conservent leur utilité. Bloctel reste efficace pour réduire le volume d'appels de démarchage. Le 33700 permet de signaler les tentatives qui passent à travers les mailles du filet. STIR/SHAKEN continue de protéger contre l'usurpation de numéros au niveau des opérateurs. La complémentarité est la clé : Google agit sur les appels entre contacts, les solutions françaises couvrent le reste. Pour une protection maximale, il est conseillé d'utiliser ces outils en parallèle.
Le réflexe qui sauve : même avec la détection Google, raccrochez au moindre doute
La fonctionnalité de Google est une avancée majeure, mais elle ne remplace pas les bons réflexes. Le dernier mot doit revenir à l'utilisateur et à sa capacité à couper court.
Ne jamais rappeler un numéro suspect, vérifier par un autre canal
Même avec la détection activée, les conseils intemporels restent valables. Ne rappelez jamais un numéro suspect. Contactez la personne ou l'organisme via un canal de confiance : son numéro officiel, son application bancaire, un appel sur son vrai téléphone. Cybermalveillance.gouv.fr le répète : appelez directement votre enfant sur son numéro habituel pour confirmer un message suspect. N'envoyez jamais d'argent avant d'avoir formellement identifié votre interlocuteur.
La détection de Google élimine les doutes quand elle s'active. En son absence, le doute doit subsister. L'ère de l'authentification automatique commence, mais l'instinct reste la dernière ligne de défense. Si quelque chose vous semble étrange dans la voix ou le comportement de votre interlocuteur, raccrochez. Vous aurez toujours le temps de vérifier par un autre moyen.
Les gestes qui sauvent : signaler et bloquer
Si vous recevez un appel suspect, signalez-le au 33700 en envoyant « spamvocal » suivi du numéro. Bloquez le numéro dans votre répertoire. Si vous avez été victime d'une escroquerie, contactez immédiatement votre banque. Si vous avez communiqué des éléments sur vos moyens de paiement, faites opposition via le service interbancaire au 0 892 705 705. Economie.gouv.fr recommande de conserver les preuves : messages reçus, captures d'écran, numéros d'appel. Ces éléments seront utiles pour déposer plainte.
L'éducation numérique : la meilleure protection à long terme
La technologie de Google est une avancée, mais l'éducation reste la meilleure protection. Apprenez à vos proches — parents, grands-parents, enfants — à reconnaître les signes d'une tentative d'escroquerie. Expliquez-leur le principe du digital handshake et ses limites. Montrez-leur comment vérifier un appel suspect. Cybermalveillance.gouv.fr propose des ressources gratuites pour sensibiliser son entourage. La vigilance collective est plus efficace que n'importe quelle protection technique.
Conclusion
La détection d'appels frauduleux de Google marque un tournant dans la lutte contre l'usurpation d'identité téléphonique. Pour la première fois, un outil technique permet de vérifier qu'un appelant est bien celui qu'il prétend être, déjouant les deepfakes vocaux et les numéros fantômes. C'est un bouclier inédit qui change la donne face à une industrie criminelle estimée à 400 milliards de dollars.
Mais ce bouclier a ses angles morts : il ne protège pas contre les appels depuis des fixes, les contacts non équipés de Google Phone, ou les tentatives qui contournent le RCS. La vigilance personnelle et les réflexes citoyens — signalement au 33700, inscription sur Bloctel, vérification par un canal indépendant — restent indispensables dans un monde où l'IA des escrocs progresse aussi vite que les défenses. L'authentification automatique est une avancée majeure, mais elle ne remplacera jamais le doute salutaire.
