Incidents associés
Un deepfake audio se faisant passer pour le secrétaire d'État Marco Rubio a contacté des ministres des Affaires étrangères, un gouverneur américain et un membre du Congrès avec des messages vocaux générés par l'IA imitant sa voix, selon un haut responsable américain et un câble du Département d'État daté du 3 juillet.
Il n'existe aucune preuve publique que les destinataires de ces messages, censés être conçus pour extraire des informations sensibles ou accéder à leur compte, aient été dupés par l'arnaque. Mais cet incident est le dernier exemple en date de la facilité – et de la persuasion – des arnaques vocales par IA.
Avec seulement 15 à 30 secondes de discours téléchargées sur des services comme Eleven Labs, Speechify et Respeecher, il est désormais possible de saisir n'importe quel message et de le faire lire à voix haute. Gardez à l'esprit que ces outils sont utilisés de manière parfaitement légitime pour de nombreux aspects, de l'accessibilité à la création de contenu. Cependant, comme de nombreuses technologies d'IA, ils peuvent être utilisés à mauvais escient par des acteurs malveillants.
La menace des deepfakes s'est intensifiée
Les deepfakes générés par l'IA ne sont pas nouveaux, en particulier chez les dirigeants et les fonctionnaires, mais ils deviennent un problème de plus en plus important. Il y a huit mois, j'ai signalé que plus de la moitié des responsables de la sécurité des systèmes d'information (RSSI) interrogés considéraient les deepfakes vidéo et audio comme une préoccupation croissante. Cette menace n'a fait que s'intensifier. Une nouvelle étude de Surfshark révèle qu'au cours du seul premier semestre 2025, le nombre d'incidents liés aux deepfakes a atteint 580, soit près de quatre fois plus que pour l'ensemble de l'année 2024 (150 incidents), et un nombre nettement supérieur aux 64 incidents signalés entre 2017 et 2023. Les pertes liées aux deepfakes ont également explosé, atteignant 897 millions de dollars au total, dont 410 millions au cours du seul premier semestre 2025. Le stratagème le plus courant consiste à se faire passer pour des personnalités publiques afin de promouvoir des investissements frauduleux, ce qui a déjà entraîné 401 millions de dollars de pertes.
« Les deepfakes sont devenus de véritables menaces de cybersécurité actives », m'a expliqué par courriel Aviad Mizrachi, directeur technique et cofondateur de la société de sécurité logicielle Frontegg. « Nous constatons déjà que des appels vidéo générés par l'IA parviennent à tromper des employés et à les inciter à autoriser des paiements de plusieurs millions de dollars. Ces attaques sont courantes, et il s'agit d'une arnaque qui devient incroyablement facile à déployer pour un pirate informatique. »
Une partie du problème, ajoute Mizrachi, réside dans le fait que les méthodes d'authentification traditionnelles – noms d'utilisateur, mots de passe, codes à usage unique et applications d'authentification – ne sont pas conçues pour un monde où un escroc peut cloner votre voix ou votre visage en quelques secondes. En effet, ces escroqueries n'impliquent pas nécessairement de pirater un compte : elles reposent sur la ruse d'une personne réelle pour qu'elle fournisse ses identifiants ou autorise elle-même des actions.
« Ces mesures de sécurité traditionnelles visant à vérifier l'identité d'un individu ne fonctionnent manifestement plus », a-t-il déclaré, ajoutant que la plupart des équipes de cybersécurité négligent encore les deepfakes, et c'est cette vulnérabilité que les attaquants exploitent. Une fausse voix convaincante sur un message vocal ou un appel vidéo peut persuader quelqu'un de contourner les procédures habituelles ou d'approuver un virement bancaire, même si tous les outils d'authentification sont techniquement en place.
Pour se prémunir contre ce type de tromperie, explique Mizrachi, les entreprises doivent déployer des outils de sécurité plus performants, s'appuyant sur des dispositifs physiques, comme un smartphone ou une clé de sécurité matérielle, pour prouver l'identité d'une personne. Ces outils, appelés clés FIDO2 ou WebAuthn, sont bien plus difficiles à falsifier ou à hameçonner par les pirates. Au-delà de la vérification des appareils, les systèmes de vérification intelligents peuvent également surveiller les signaux comportementaux, comme la vitesse de frappe, la localisation ou les habitudes de connexion, afin de repérer les anomalies qu'une voix clonée ne peut imiter. Ces couches supplémentaires compliquent considérablement la réussite d'une attaque de deepfake.
Margaret Cunningham, directrice de la sécurité et de la stratégie IA chez Darktrace, une société de sécurité, a déclaré que la tentative d'usurpation d'identité de Rubio démontre à quel point l'IA générative peut être facilement utilisée pour lancer des attaques d'ingénierie sociale convaincantes et ciblées.
« Cette menace n'a pas échoué parce qu'elle était mal conçue, mais parce qu'elle a manqué le moment opportun de vulnérabilité humaine », a-t-elle déclaré. « Les gens ne prennent souvent pas de décisions dans le calme et la concentration. Ils réagissent en effectuant plusieurs tâches à la fois, sous pression et guidés par ce qui leur semble familier. Dans ces moments-là, une voix fiable ou un message d'apparence officielle peuvent facilement contourner la prudence. »
Les deepfakes ont eu un impact sur les démocraties du monde entier
L'IA générative a également considérablement réduit les barrières à l'entrée en matière de manipulation des médias, la rendant plus rapide, moins chère et plus évolutive que jamais. Et elle a un impact sur les démocraties du monde entier : un récent rapport du New York Times [https://www.nytimes.com/2025/06/26/technology/ai-elections-democracy.html] a révélé que les deepfakes alimentés par l'IA ont transformé les élections dans au moins 50 pays à travers le monde, en les utilisant pour dénigrer ou diffamer leurs opposants. « C'est la nouvelle frontière des opérations d'influence », m'a expliqué Leah Siskind, chercheuse en IA à la Fondation pour la défense des démocraties. « Nous avons déjà observé d'autres cas de deepfakes de hauts fonctionnaires utilisés pour accéder à des comptes personnels, mais exploiter l'IA pour influencer les relations diplomatiques et la prise de décision constitue une escalade dangereuse. Il s'agit d'un enjeu urgent de sécurité nationale, aux graves répercussions diplomatiques. »