Escroquerie de deepfake de PDG : comment les dirigeants peuvent déjouer la contrefaçon vocale
7 min. de lecture
Quelques secondes d’audio suffisent pour cloner une voix de manière convaincante. Il devient alors possible de reproduire au téléphone un directeur général donnant l’ordre d’un virement urgent. Un antivirus n’y peut rien. La protection passe par un processus de vérification strict avant chaque paiement. Les dirigeants et les équipes financières ont besoin de règles convenues qui s’appliquent avant que l’argent ne circule.
Les points clés en bref
- La barrière est basse : Quelques secondes d’audio disponible publiquement suffisent pour produire un clone vocal utilisable. Les messages vocaux, interviews et appels fournissent le matériau nécessaire.
- L’oreille n’est pas une protection : Des études montrent que les humains peinent à identifier de manière fiable les voix clonées. Celui qui se fie à sa propre ouïe n’a aucune défense.
- Des règles claires plutôt que l’instinct : Un rappel via un canal connu, des mots de code convenus et le principe du double contrôle lors des paiements stoppent la fraude plus efficacement que n’importe quelle solution purement technique.
À lire aussi :Clones vocaux IA : comment les entreprises DACH se protègent / AI-Phishing : les filtres e-mail deviennent aveugles
Pourquoi les dirigeants sont la cible privilégiée
Qu’est-ce qu’un deepfake ? Un deepfake est un média créé ou altéré par intelligence artificielle qui imite trompeusement une personne réelle dans sa voix, son visage ou les deux. Pour le clone vocal, un court échantillon audio suffit pour que le système fasse prononcer à une personne des phrases qu’elle n’a jamais dites.
Ce qui est nouveau, ce n’est pas la technique, c’est l’outil. Dans ce que l’on appelle la fraude au président, un attaquant se fait passer pour un directeur général ou un directeur financier et ordonne un virement urgent vers un nouveau compte. Autrefois, cela passait par des e-mails falsifiés. Aujourd’hui s’y ajoute l’appel avec la voix familière, et dans les cas les plus élaborés, même une fausse visioconférence.
Les dirigeants sont des cibles attrayantes parce que leur voix est disponible publiquement et que leurs instructions font autorité. Conférences, interviews et apparitions en podcast fournissent abondamment du matériau audio. Une affaire connue dans un groupe d’ingénierie à Hong Kong a montré comment un employé a viré une somme à deux chiffres en millions après une visioconférence falsifiée. Les attaquants misent sur l’autorité et l’urgence, une combinaison destinée à court-circuiter les étapes de vérification.
Pourquoi la technologie seule ne suffit pas
L’espoir naturel est de disposer d’un outil capable de détecter les falsifications. De tels détecteurs de deepfakes existent et sont utiles. Mais une entreprise ne peut pas s’y fier entièrement, car les faux s’améliorent aussi vite que les systèmes de détection.
La perception humaine est encore plus défaillante. Des études montrent que les humains ne parviennent pas à identifier de manière fiable les vidéos deepfake de haute qualité, et que beaucoup sont incapables de distinguer avec certitude une voix clonée d’une voix réelle. L’ouïe, sur laquelle beaucoup souhaitent compter en cas d’urgence, ne constitue donc pas un contrôle fiable. Ce qui est fiable en définitive, c’est uniquement le processus organisationnel.
Le guide de vérification pour la direction et l’équipe financière
Une protection efficace repose sur quelques règles strictement définies, que chaque ordre de paiement doit respecter. Il est essentiel que ces règles soient établies à l’avance et ne puissent pas être remises en question en cas d’urgence.
Comment vérifier
- Rappel via un numéro connu, choisi soi-même
- Mot de code convenu pour les instructions sensibles
- Principe des quatre yeux pour toute validation de paiement
- Limites de validation fixes et second canal de confirmation
Ce sur quoi on ne peut pas compter
- La voix semble authentique
- Le numéro affiché paraît familier
- L’appelant connaît des détails internes
- L’instruction vient du sommet de la hiérarchie
L’étape la plus importante est le rappel. Toute personne recevant un ordre de paiement inhabituel rappelle via un numéro qu’elle a elle-même recherché, et non via celui communiqué lors de l’appel. À cela s’ajoute un mot de code convenu, permettant de distinguer les instructions authentiques des instructions falsifiées, ainsi que le principe des quatre yeux, selon lequel aucun paiement critique ne peut être validé par une seule personne. Des formations de sensibilisation maintiennent ces règles à l’esprit, car un processus n’est utile que si quelqu’un l’applique au moment décisif.
Le rôle du RGPD et de NIS2
Les voix et les visages sont des données à caractère personnel. Quiconque traite des enregistrements vocaux à des fins de vérification ou de détection de falsifications opère dans le champ d’application du RGPD et doit disposer d’une base juridique solide ainsi que de règles de suppression claires. Les procédures biométriques exigent une vigilance particulière.
Pour de nombreuses entreprises, NIS2 s’y ajoute. La directive impose aux entités concernées une gestion adéquate des risques ainsi que la notification des incidents significatifs. Une fraude par deepfake réussie causant des dommages importants peut en relever. La protection contre le clonage vocal devient ainsi non plus une simple question financière, mais une composante des obligations en matière de sécurité et de conformité.
Foire aux questions
De quelle quantité de matériel audio un attaquant a-t-il besoin pour cloner une voix ?
Très peu. Selon les rapports, quelques secondes d’enregistrement vocal suffisent pour reproduire une voix de manière exploitable. Les dirigeants s’exprimant souvent en public, le matériel est fréquemment accessible librement, par exemple dans des interviews, des conférences ou des podcasts.
Peut-on reconnaître une voix clonée à l’oreille ?
Difficilement de manière fiable. Des études montrent que la majorité des personnes ne parvient pas à distinguer avec certitude une falsification vocale bien réalisée d’une voix authentique. C’est pourquoi le son ne doit jamais constituer le critère de validation d’un paiement, seul un processus de vérification convenu à l’avance peut en tenir lieu.
Quelle est la mesure individuelle la plus efficace ?
Le rappel via un canal indépendant, choisi soi-même. Quiconque contre-vérifie une instruction inhabituelle en rappelant via un numéro connu, et non via celui communiqué lors de l’appel, agit précisément sur la pression temporelle qu’exploite la fraude.
Un outil de détection de deepfakes suffit-il comme protection ?
Pas en tant que protection unique. Ces outils constituent un complément utile, mais les falsifications s’améliorent en permanence. Seule la combinaison de règles organisationnelles – rappel, mot de code et principe des quatre yeux – et de collaborateurs formés est véritablement fiable.
Devons-nous régler cela d’un point de vue conformité ?
Dans de nombreux cas, oui. Le traitement de données vocales relève du RGPD, et pour les entités soumises à NIS2, la protection contre ce type d’attaques fait partie de la gestion des risques requise, y compris les obligations de notification. La protection contre le clonage vocal est donc également une obligation de conformité.
Recommandations de la rédaction
Plus du réseau MBF Media
Image de titre : générée par IA (juin 2026)