Fraude par deepfake dans l’entreprise : quand le PDG au téléphone n’est pas le PDG

En février 2024, un responsable financier à Hong Kong a transféré 25 millions de dollars – après un appel vidéo avec le CFO présumé. Tous les participants à l’appel étaient des deepfakes. Cet incident marque un tournant : l’ingénierie sociale n’est plus limitée aux e-mails et aux appels téléphoniques. L’IA rend possible la fraude d’identité en temps réel.

L’essentiel

• Fraude par deepfake de 25 millions de dollars à Hong Kong (février 2024)
• Le clonage de voix ne nécessite que 3 secondes de matériel audio (Microsoft VALL-E)
• Détection des deepfakes par les humains : taux de réussite inférieur à 50 pour cent
• Dommages liés à la fraude au PDG en 2023 : 2,7 milliards USD dans le monde (FBI IC3)

Du phishing par e-mail à l’appel vidéo deepfake

La fraude classique au PDG fonctionne par e-mail : « Veuillez transférer immédiatement 200 000 EUR sur ce compte, confidentiel. » Le taux de réussite a diminué avec l’augmentation de la sensibilisation. Les deepfakes portent le jeu à un nouveau niveau : lorsque le PDG appelle personnellement – par vidéo ou téléphone – la méfiance diminue considérablement.

La technologie est étonnamment accessible. Le clonage de voix avec des outils comme ElevenLabs ou Resemble AI produit des copies de voix convaincantes à partir de quelques secondes d’audio. Les deepfakes vidéo en temps réel sont plus complexes, mais l’investissement en vaut la peine pour des cibles de haute qualité.

L’anatomie d’une attaque par deepfake

L’incident de Hong Kong a suivi un schéma : d’abord un e-mail de phishing en préparation, puis une invitation à un appel vidéo urgent. Lors de l’appel, plusieurs personnes étaient présentes – toutes générées par l’IA. L’environnement familier (Teams/Zoom), les visages connus et la dynamique de groupe ont éliminé la méfiance.

La préparation utilise des données publiquement disponibles : les profils LinkedIn, les interviews YouTube, les apparitions dans des podcasts et les sites web d’entreprises fournissent le matériel d’entraînement pour la voix et l’apparence.

Pourquoi la détection technique (encore) ne suffit pas

La détection des deepfakes est une course aux armements. Les détecteurs actuels analysent les artefacts : clignement des yeux peu naturel, éclairage incohérent, désynchronisation audio-vidéo. Cependant, chaque nouvelle génération de modèle réduit ces artefacts. Le taux de détection chez les humains est inférieur à 50 pour cent – à peine mieux qu’un lancer de pièce.

Les solutions techniques (provenance du contenu, norme C2PA, filigranes numériques) sont en développement, mais pas encore disponibles à grande échelle. À court terme, le processus humain reste la défense la plus importante.

Contre-mesures : processus plutôt que technologie

La défense la plus efficace : le principe des quatre yeux pour toutes les transactions financières au-dessus d’un seuil, rappel via un canal indépendant (« Je vous rappelle sur votre numéro de bureau »), mots de code préétablis pour les instructions sensibles et la règle claire : aucun appel vidéo ou téléphonique ne peut autoriser seul un paiement.

Ces processus ne coûtent rien et peuvent être mis en œuvre immédiatement. Ils sont la seule défense qui fonctionne également contre les deepfakes futurs, plus parfaits – car ils vérifient l’identité via un deuxième canal indépendant.

Key Facts

Incident de Hong Kong : 25 millions USD de dommages causés par un appel vidéo deepfake (février 2024)

Fraude au PDG au total : 2,7 milliards USD de dommages en 2023 (rapport FBI IC3)

Clonage de voix : 3 secondes d’audio suffisent pour une copie de voix convaincante (VALL-E)

Questions fréquentes

Puis-je détecter les deepfakes ?

C’est difficile. Faites attention à : des mouvements de lèvres peu naturels, des changements d’éclairage étranges, l’absence de micro-mouvements sur le visage, un léger retard audio. Mais : ne vous fiez jamais à cela – utilisez toujours un deuxième canal de vérification.

Sommes-nous concernés en tant que PME ?

Oui. L’effort pour le clonage de voix est minimal. Même sans deepfake vidéo, un appel convaincant « du directeur général » à la comptabilité suffit. La barrière diminue chaque jour. Les mesures de protection procédurales sont pertinentes pour toute taille d’entreprise.

Une assurance cyber aide-t-elle contre la fraude par deepfake ?

Cela dépend de la police. De nombreuses assurances cyber couvrent les dommages liés à l’ingénierie sociale, mais avec des sous-limites (souvent 250 000 à 500 000 EUR). La fraude au PDG est parfois couverte par des polices Crime/Fidelity. Vérifiez votre contrat pour une mention explicite de « fraude d’identité » ou « ingénierie sociale ».

Articles connexes

• Tendances de la cybersécurité 2026 : les 7 développements que les décideurs en matière de sécurité doivent connaître
• Guerre hybride et désinformation : la menace cyber sous-estimée pour les entreprises
• Palantir et l’avenir de la cybersécurité : l’IA comme arme stratégique

Plus du réseau MBF Media

• Cloud Magazin – Cloud, SaaS & infrastructure IT
• myBusinessFuture – Numérisation, IA & Business
• Digital Chiefs – Leadership de pensée C-Level

Source de l’image : Pexels / Markus Winkler

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow