LES DOSSIERS DE L'INFORMATICIEN

LES DOSSIERS CYBERSECURITE

Dossiers Cybersécurité

Quand les deepfakes piratent la confiance

[Dossier publié dans l'INFOCR231] Les deepfakes s’imposent comme une nouvelle menace pour la sécurité des entreprises, offrant aux cybercriminels des outils sophistiqués pour manipuler et piéger les salariés. En permettant à des cybercriminels de se faire passer pour des dirigeants ou des figures d’autorité, ces technologies ouvrent la voie à un nouveau genre d’arnaques financières très convaincantes. Alors que les employés deviennent la cible privilégiée de ces attaques, les entreprises doivent redoubler de vigilance pour se protéger contre cette nouvelle forme d’ingénierie sociale dopée à l’intelligence artificielle.

Déjà largement visées par le phishing, le vishing et autres déclinaisons en « ing », les entreprises et leurs collaborateurs devront-ils un jour composer avec des vagues d’attaques sophistiquées par deepfakes ? Menées par des acteurs malveillants, elles consistent essentiellement à imiter une autorité – un président, un directeur financier ou un directeur général – pour demander de procéder à des opérations financières. C’est la fameuse arnaque au président. Si traditionnellement elle implique une usurpation d'identité par le biais de textos ou d'appels vocaux, les deepfakes font entrer cette menace dans une tout autre dimension.

Deepfake grandit bien vite

Mais avant, qu'est-ce qu'un deepfake ? Ils sont généralement créés à l’aide de VAE (Variational Auto Encoders), ou autoencodeurs variationnels, des réseaux informatiques d’apprentissage profond qui génèrent des médias synthétiques en encodant des images pour en extraire des caractéristiques latentes, puis en les décodant pour produire des versions modifiées. Ils peuvent superposer des visages ou des objets sur d'autres contenus, créant des résultats réalistes. « Ils sont couramment utilisés dans les outils de deepfake gratuits en ligne », explique Audra Streetman, stratège senior en sécurité chez Splunk.

Les GANs (Generative Adversarial Networks), ou réseaux antagonistes génératifs, constituent une méthode plus avancée. « Ils sont composés de deux éléments : un générateur qui crée une image et un discriminateur qui évalue le réalisme de l'image et l'affine au fil du temps », développe Audra Streetman. Dans le détail, un GAN fonctionne avec deux réseaux en compétition : l'un crée des données proches de l'original, tandis que l'autre évalue si ces données sont réelles ou fausses. Ce processus se répète jusqu'à ce que les données générées soient si réalistes qu'elles deviennent difficilement discernables des vraies. « Les GAN nécessitent une plus grande puissance de traitement et sont moins accessibles en ligne, mais ils sont considérés comme l'avenir des deepfakes réalistes », souligne Audra Streetman. Le deepfake est aussi audio et va souvent de pair avec la vidéo. De nombreux outils pour générer des voix à partir de texte, comme Eleven Labs et Parrot AI, accessibles en ligne en quelques clics, deviennent de plus en plus perfectionnés.

L’arnaque au président dopée à l’IA  

Au-delà des très médiatiques exemples de deepfakes pornographiques de Taylor Swift qui ont défrayé la chronique, le deepfake fait donc courir un risque certain pour les entreprises en termes de fraude ou d'atteinte à la réputation. Dans le cadre d'une attaque, on retrouve généralement les mêmes étapes : la reconnaissance, l’infiltration, la primo-compromission, l’élévation de privilèges, le déplacement latéral, la persistance et l’atteinte de l'objectif. Ce qui va varier ici, c’est la phase de primo-compromission. « Le phishing consiste à évaluer la probabilité qu'un employé ou un utilisateur se laisse piéger. Pour augmenter cette probabilité, il est essentiel d'être crédible. Les attaquants ont donc réalisé qu'en utilisant des outils de deepfake, qui n'étaient pas initialement conçus à cet effet, ils pouvaient inciter les utilisateurs à cliquer, en renforçant leur confiance », détaille Raphael Marichez, Chief Security Officer for Southern Europe, Palo Alto Networks.

Difficile de ne pas évoquer ici le cas le plus emblématique à ce jour. Un salarié travaillant pour une entreprise financière basée à Hong Kong a transféré 25 millions de dollars à des escrocs après avoir été trompé par des deepfakes. L’employé a en fait été piégé par un e-mail supposément envoyé par son directeur lui demandant de rejoindre une visioconférence. Méfiant dans un premier temps, il a suspecté une tentative de phishing, mais a néanmoins été rassuré une fois connecté à la conférence en voyant plusieurs de ses collègues… qui étaient en fait des deepfakes. Les cybercriminels auraient récupéré des vidéos des employés pendant des mois sur YouTube afin de créer ces fausses vidéos et vocaux préenregistrés. En effet, toute personne publique, comme une célébrité ou des cadres dont l'image est largement disponible en ligne, peut se voir utilisée dans une escroquerie de ce type.

Une confiance ébranlée

À noter toutefois que ces attaques hypersophistiquées restent rares et demandent encore beaucoup d’efforts aux criminels. Elles ne reflètent pas non plus l’essentiel de leur stratégie qui consiste bien souvent à aller au plus simple. Ce qui explique que les méthodes traditionnelles sont encore largement plébiscitées. Dans son dernier rapport annuel, Hornet Security a révélé que le phishing par courrier électronique était le procédé le plus fréquent (43,3 %), suivi des attaques par courrier comprenant, entre autres, les escroqueries aux frais avancés, l'extorsion et l'usurpation d'identité.

L’impact des deepfakes est toutefois déjà bien réel. Dans son enquête « The Deepfake Trends 2024 », Regula, éditeur de solutions de vérification d’identité, indique que 49 % des entreprises ont signalé des incidents de fraude par deepfake en 2024. L’impact financier de ce type de fraudes est en moyenne de 450 000 dollars pour les entreprises et dépasse les 600 000 dollars pour le secteur des services financiers. (Maj : des récents chiffres avancées par Surfshark le nombre d’incidents liés à des deepfakes enregistrés au premier semestre 2025 a explosé de 171 % par rapport à tous ceux recensés depuis 2017).

Deepfake as-a-service

Palo Alto met aussi en garde contre une autre menace émergente: les escroqueries deepfake basées sur le web. Début septembre, les chercheurs de l'Unit 42 de Palo Alto ont publié une étude relative à des dizaines de campagnes d'escroquerie utilisant des vidéos deepfake et mettant en scène des personnalités publiques, comme des PDG, des présentateurs de journaux et des hauts responsables gouvernementaux. Ces campagnes multilingues ciblent généralement les personnes de plusieurs pays : le Canada, le Mexique, la France, l'Italie, la Turquie, la Tchéquie, Singapour, le Kazakhstan et l'Ouzbékistan. L’entreprise de cybersécurité a identifié des centaines de domaines utilisés pour la promotion de ces arnaques, chacun ayant été consulté en moyenne 114 000 fois depuis sa mise en ligne. Dans la plupart des cas, les acteurs malveillants sont partis d’une vidéo légitime et y ont ajouté de l’audio généré par de l’IA, en utilisant une technologie de synchronisation labiale pour modifier le mouvement des lèvres afin qu'il corresponde à l'audio généré par l’IA.

Tout l’objectif de ces campagnes de phishing sauce deepfake est bien sûr d’inciter les plus crédules à se délester de quelques euros, mais pas seulement. L’année 2024 sera une année électorale particulièrement chargée, avec des élections dans soixante pays. D’où la crainte de potentiels deepfakes au service de la désinformation. À vrai dire, c’est déjà une réalité. Comme le souligne l'Unit 42, avec cet exemple survenu début 2024, aux Etats-Unis : « Un consultant politique démocrate a utilisé un deepfake audio de Joe Biden pour décourager les électeurs de l'État du New Hampshire de voter lors de la prochaine élection primaire », peut-on lire dans l’étude.

Autre découverte préoccupante de l’Unit 42, certains cybercriminels vendent des outils et des services de création de fausses vidéos et d'audio sur des forums. En toute logique, on peut redouter l’émergence d’un nouveau modèle commercial de type « deepfake as a service », qui rendrait ces technologies plus accessibles et faciliterait la création et la distribution de deepfakes à plus grande échelle.

Des outils de détection

Face au risque, il faut se prémunir. Comment ? Le premier vérificateur de l’authenticité d’une vidéo ou d’un audio, c’est l’homme – « Ce qui est difficile même pour les experts », reconnaît Audra Streetman. La tâche se complique encore avec les deepfakes audio, plus compliqués à repérer du fait de l’absence de repères visuels. « Des bruits de fond sont souvent introduits pour compliquer la détection. Les fichiers audio de faible qualité sont particulièrement difficiles à analyser, surtout en l'absence du fichier original », poursuit Audra Streetman.

Détecter un faux consiste à examiner plusieurs points de repères que les deepfakes peinent encore parfois à imiter. À savoir : l'éclairage, les reflets et les ombres ; les proportions et les distorsions des traits du visage ; le profil, le teint de la peau qui peut sembler ou trop lisse ou peu naturel ; les contours flous des visages et les mouvements des lèvres mal synchronisés avec la parole ; les dents… Mais cela pourrait ne pas durer car l’IA générative a amplifié la vitesse et la capacité de création de deepfakes convaincants. « Les signes tangibles d'un deepfake […] pourraient ne plus être aussi facilement détectables », prévient Audra Streetman.

Dans l’avenir, la détection impliquera davantage sur le recours à des outils utilisant eux-mêmes l’intelligence artificielle pour identifier si un extrait a été généré ou modifié par une IA. Certains permettent déjà de le faire – citons FakeCatcher, Deepware, Sensity AI, ou encore AI Speech Detector. L’étiquetage de contenu légitime à l'aide de méthodes de hachage cryptographique est également à l’étude. Des standards techniques ouverts, permettant aux éditeurs, créateurs et consommateurs de tracer l’origine des différents types de médias, sont d’ailleurs en cours d’élaboration (C2PA, projet Origin) et, selon Audra Streetman, ils deviendront « de plus en plus incontournables pour les organisations qui dépendent en premier lieu de leur crédibilité, comme les médias et le secteur public ». De plus, des deepfakes développés par des sociétés ayant pignon sur rue, et non par des acteurs malveillants, peuvent être équipés de technologies dites « de filigrane » pour les identifier.

Développer un scepticisme sain

Comme souvent en cybersécurité, les organisations et leurs collaborateurs ne peuvent se contenter des seuls outils de protection, mais doivent redoubler de vigilance. Les RSSI et les DSI devront mettre en place des formations et des campagnes de sensibilisation, incluant des scénarios de deepfake. « Nous allons aussi adapter et rappeler les politiques de l'entreprise, et expliquer aux collaborateurs de faire attention au contexte dans lequel cette vidéo ou cet audio leur a été présenté », ajoute Raphaël Marichez. Ils devront ainsi suivre des processus afin de vérifier si la demande est légitime ou non. Ledit processus consiste par exemple à rappeler systématiquement le numéro de téléphone de l'entreprise dont on a connaissance, ou directement la personne en charge de ce type de validation pour s'assurer de la véracité du contenu.

De manière générale, « les gens doivent développer un scepticisme sain à l'égard du contenu qu'ils consomment et apprendre à vérifier les faits de manière indépendante », ajoute Audra Streetman. Selon elle, même l’école devrait intégrer des cours d’éducation aux médias afin d’apprendre aux élèves à identifier les biais cognitifs, développant ainsi leur esprit critique. Ce qui leur permettrait d’identifier plus facilement les fausses informations, et par extension, les deepfakes.

Pour s’éviter un deuxième Hong Kong, il est également primordial de renforcer le contrôle des accès. En intégrant, par exemple, une approche Zéro Trust en amont des appels téléphoniques ou réunions à distance, avec des formes de vérification comme l'authentification multifactorielle, les mots de passe à usage unique, ou encore des vérifications et signatures supplémentaires dans le cas d’une transaction financière ou d’un virement bancaire à distance. Ce sont aussi des systèmes d'authentification continue basés sur le contexte, comme la biométrie comportementale. Cette approche analyse des éléments, tels que la manière de taper sur le clavier ou la posture lors de visioconférences. Des technologies qui, pour l'heure, sont encore en développement.

La biométrie comportementale pourrait d’ailleurs devenir centrale, alors que les analystes de Gartner prévoient que les deepfakes pourraient ébranler la confiance de 30 % des entreprises dans les solutions d'authentification biométrique du visage, d'ici à 2026. Et pour cause, Raphaël Marichez relève d’ores et déjà des fraudes sur les procédures de vérification d’identité : il s’agit « d’outils de falsification, que l'on appelle face swapping ou échange de visages, basés sur la biométrie visuelle et l’image statique », utilisés pour usurper l’identité d’autres personnes.

Des bribes de régulation

Au-delà de la boîte à outils cyber, c’est aussi la régulation qui doit encore progresser pour tenter de contrôler la prolifération des deepfakes et d’encadrer leur utilisation. Et la route est encore longue. Aux États-Unis, par exemple, « en vertu de l'article 230 de la loi américaine Communications Decency Act, les plateformes de médias sociaux ne sont pas responsables du contenu partagé par leurs utilisateurs, ce qui les incite moins à sévir contre les deepfakes », prévient Audra Streetman.

L’Europe, elle, est un peu plus sévère. Sur le papier, la loi concernant les services numériques (DSA) oblige les plateformes en ligne à mettre en place des mécanismes de notification et d'action pour les contenus illégaux, permettant aux utilisateurs de les signaler, et à déployer des mesures d'atténuation. « Si la plateforme ne réagit pas, les utilisateurs pourront faire remonter la plainte – d'abord par le biais du mécanisme interne puis par des plaintes auprès des autorités compétentes nationales et des organes de règlement des litiges extrajudiciaires », nous explique un porte-parole du cabinet de Margrethe Vestager, commissaire à la concurrence sur le départ.

Identifier les deepfakes comme tels

Les deepfakes et autres contenus générés par l'IA seront également couverts par la loi sur l'IA (AI Act). Concrètement, « ils doivent être étiquetés comme tels vingt-quatre mois après l'entrée en vigueur de la loi (août 2026). De plus, les fournisseurs (de solutions de génération de deepfake, ndlr) devront concevoir des systèmes de manière que le contenu – audio, vidéo, texte et image synthétique – soit marqué dans un format lisible par machine et détectable comme généré ou manipulé artificiellement. »

Quant aux utilisateurs qui généreraient des deepfakes ressemblant à des personnes, objets, lieux ou événements existants, par exemple, et qui apparaîtraient comme étant authentiques ou véridiques, ils devront préciser que le contenu a été généré artificiellement. Sur ce point, il est plus qu’improbable que les cybercriminels et fraudeurs en tout genre se conforment à ces obligations.

Nos derniers livres blancs

La quotidienne de l'Informaticien

Abonnez-vous gratuitement 😊

Webinar NinjaOne - Savez-vous ce qui n'est pas géré sur votre réseau ?

Vue unifiée des actifs gérés et non-gérés : comment combler le manque de visibilité IT ?

linkedin 512x154

Notre préférence

Copyright © 2026 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Rédacteur en Chef Adjoint : Victor Miget
  • Partenariats / Publicité : Antoine Foulon
    +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis