Incidents associés
Il y a quelques mois, mon père a reçu un appel téléphonique et a entendu une voix qu'il ne s'attendait pas à entendre en détresse : celle de son petit-fils… mon fils. La voix était précipitée, paniquée, suppliante. Il y avait eu un malentendu, disait-elle. Il avait été arrêté. Il devait payer sa caution immédiatement. L'appel a été bref, juste assez pour créer un moment de peur.
Mais l'appel n'était pas réel. Mon fils allait bien. La voix, cependant, lui ressemblait suffisamment pour faire hésiter mon père. Et c'est tout ce dont l'agresseur avait besoin.
Heureusement, mon père n'a fourni aucune information à l'appelant. Il m'a appelé, et j'ai pu confirmer que mon fils était sain et sauf et que l'appel était un faux. Cette révélation – qu'un inconnu avait cloné la voix de son petit-fils de manière suffisamment convaincante pour provoquer la panique – était aussi perturbante que l'idée même d'une arrestation.
La plupart d'entre nous ont déjà rencontré des versions moins fiables : des SMS frauduleux se faisant passer pour votre banque, des demandes de paiement urgentes provenant de numéros inconnus, des messages prétendant que votre identifiant Apple a été compromis. Ces messages sont souvent grossiers et faciles à repérer. Mais il s'agit là de messages de type spam, des nuisances qui mettent à l'épreuve les personnes inattentives. Le véritable danger est tout autre : des usurpations d'identité sophistiquées et ciblées, conçues non pas pour arnaquer des individus, mais pour compromettre les gouvernements.
Et si l'on peut pardonner aux gens ordinaires, comme mon père, d'hésiter dans un moment de panique, il n'y a aucune excuse lorsque ces mêmes tactiques s'infiltrent au plus haut niveau des dirigeants nationaux.
Selon un câble sensible mais non classifié, divulgué et envoyé aux ambassades et consulats américains le 3 juillet, un individu s'est fait passer pour le secrétaire d'État Marco Rubio en utilisant une voix et un texte générés par l'IA. L'imposteur a contacté au moins trois ministres des Affaires étrangères, un gouverneur américain et un membre du Congrès. Dans au moins deux cas, les messages comprenaient des messages vocaux synthétiques. Au moins une personne a reçu un SMS exhortant à maintenir le contact via la tristement célèbre application de messagerie cryptée Signal.
Il ne s'agissait pas d'une escroquerie à l'argent. Il s'agissait d'une tentative d'infiltration au plus haut niveau de la diplomatie américaine. Selon le câble du 3 juillet, l'objectif était d'obtenir « l'accès à des informations ou à des comptes ».
Cet incident fait suite à un incident précédent impliquant Susie Wiles, la cheffe de cabinet du président Donald Trump. En mai, des attaquants, qui semblaient avoir cloné sa voix et exploité ses contacts, ont contacté des sénateurs, des gouverneurs et des chefs d'entreprise et sollicité des demandes de grâce et de financement.
Les deux épisodes – Wiles et Rubio – mettent en évidence une vulnérabilité plus profonde : l'accès aux numéros privés de hauts fonctionnaires et de dignitaires étrangers. Il ne s'agit pas d'informations extraites de LinkedIn. Cela suggère soit un accès interne, soit l'exploitation de listes de contacts synchronisées automatiquement dans des applications comme Signal, soit la compromission d'un système gouvernemental stockant des annuaires diplomatiques.
De plus en plus d'éléments montrent que ces opérations ne sont pas uniquement le fait d'escrocs indépendants ou de cybercriminels. Des responsables américains au courant de l'incident d'usurpation d'identité de Rubio point ont signalé des acteurs affiliés au service de renseignement extérieur russe, suggérant une opération de renseignement étranger visant à sonder les protocoles de vérification américains et à exploiter les angles morts institutionnels.
Le risque est amplifié par les personnes qui y ont désormais accès. Le Département de l'efficacité gouvernementale (DOGE), créé sous Trump et supervisé par Elon Musk, s'est vu accorder un accès étendu [https://ash.harvard.edu/resources/understanding-doge-and-your-data/) à de nombreux systèmes informatiques fédéraux. Cela inclut le Bureau des technologies diplomatiques du Département d'État, qui héberge des outils de messagerie sécurisée et des bases de données de contacts. Que DOGE ait joué un rôle ou non dans ces incidents, les implications en matière de sécurité sont réelles. Toute faille dans les contrôles d'accès, les départs ou la journalisation des activités, que ce soit pendant le mandat de DOGE ou dans les systèmes actuels, pourrait avoir permis un ciblage persistant des responsables.
Ce timing n'est pas une coïncidence. À mesure que l'usurpation d'identité par l'IA devient plus précise, les capacités de défense du gouvernement fédéral sont démantelées. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) devrait perdre près d'un tiers de ses effectifs dans le cadre du budget 2026, des coupes qui videront de leur substance les programmes axés sur la désinformation, la détection des deepfakes et d'autres menaces cruciales pour la sécurité.
Le Département d'État indique qu'il mènera une « enquête approfondie » afin d'« empêcher que cela ne se reproduise à l'avenir ». La réponse de la Maison Blanche est toujours attendue, mais si l'on se fie à l'histoire, et c'est souvent le cas avec cette administration, elle pourrait ressembler à la réaction à l'incident de Susie Wiles. Interrogé en mai sur cette usurpation d'identité, Trump a déclaré : « Elle peut gérer la situation. » – son substitut habituel à une proposition de plan concret ou de responsabilité.
Ce que vous pouvez faire – en attendant que Washington se réveille
Alors que la coordination fédérale faiblit, les chercheurs et les agences ont publié des directives claires à l'intention du public. Voici ce qui fonctionne :
- Ne vous fiez pas aux voix – vérifiez les identités.
Même si l'identité semble provenir d'une connaissance, vérifiez-la en utilisant un deuxième moyen de contact. Raccrochez et rappelez sur un numéro confirmé. L'usurpation d'identité par IA n'est pas évidente. C'est tout l'intérêt.
- Méfiez-vous de l'urgence – en particulier des réclamations pour téléphone perdu.
Les escrocs justifient souvent un nouveau numéro en prétextant que leur téléphone est perdu ou cassé. Puis, ils réagissent rapidement : une prétendue arrestation, une crise bancaire, un problème de voyage urgent. La pression pour agir vite est l’arnaque elle-même. Ne tombez pas dans le piège.
3. Ne cliquez jamais sur les liens contenus dans des SMS non sollicités.
Les liens dans les SMS sont l’une des plus vieilles astuces, et ils sont toujours efficaces. Ils peuvent déclencher le téléchargement de logiciels malveillants ou vous rediriger vers des sites d’hameçonnage. Si votre banque ou votre fournisseur de services tente de vous contacter, rendez-vous sur son site officiel ou appelez-le directement.
4. Limitez votre exposition vocale.
Évitez de partager de longs extraits audio de haute qualité en public. Si vous êtes une personnalité publique, envisagez de créer une base de données d’empreintes vocales vérifiées auprès de votre institution ou entreprise.
5. Évitez de partager des informations.
Ne partagez jamais d’informations sensibles et n’envoyez jamais d’argent, de cartes-cadeaux, de cryptomonnaies ou d’autres actifs à des personnes que vous ne connaissez pas ou que vous n’avez rencontrées qu’en ligne ou par téléphone.
6. Signalez l’incident.
Compte tenu du désarroi qui règne à Washington, signaler un incident aussi anodin qu'un message suspect ou une voix usurpée peut paraître futile. Mais ce n'est pas le cas. En réalité, les agents des agences fédérales continuent de faire leur travail. Ils ont simplement besoin de l'aide du public pour améliorer leur travail.
Si vous recevez un message ou un appel qui vous semble légèrement anormal, qu'il provienne d'un fonctionnaire, d'un proche ou d'une organisation de confiance, signalez-le au Centre de plaintes pour cybercriminalité du FBI à l'adresse ic3.gov. L'IC3 n'est pas un service d'assistance technique. C'est le moyen par lequel les forces de l'ordre se font une idée des menaces émergentes.
Les données que vous soumettez, même sans suivi immédiat, permettent de suivre des campagnes plus vastes, de relier les cas et d'orienter les réponses nationales. Entre 2020 et 2024, l'IC3 a enregistré plus de 50 milliards de dollars de pertes déclarées. Ce chiffre augmentera si nous ne parvenons pas à contrer ces pertes.