Incidents associés
Dans l'un des exemples les plus audacieux de tromperie politique par l'IA à ce jour, un individu se faisant passer pour le secrétaire d'État américain Marco Rubio a utilisé des outils d'IA deepfake pour imiter sa voix et son style d'écriture dans une série de communications ciblées adressées à de hauts responsables gouvernementaux, dans le but d'« accéder à des informations ou à des comptes ».
Ce qui rend l'affaire particulièrement alarmante n'est pas seulement la sophistication technologique impliquée, mais aussi le choix de la cible. Promu secrétaire d'État lors du second mandat de l'administration Trump, Rubio occupe l'un des postes les plus en vue au niveau international du gouvernement américain. L'utilisation de l'IA pour imiter sa voix lors de conversations avec des dignitaires étrangers suggère une intention non seulement de tromper, mais potentiellement de manipuler les interactions entre États.
Cette affaire soulève également des questions sur la manière dont les numéros de téléphone privés ont été obtenus, ainsi que sur l'infiltration antérieure des communications du Département d'État – y compris des systèmes classifiés – par le Département de l'efficacité gouvernementale (DOGE), créé et jusqu'à récemment supervisé par Elon Musk.
Les fausses imitations de la voix et des messages texte de Rubio ont été révélées dans un câble confidentiel, mais non classifié, du 3 juillet, distribué à toutes les ambassades et consulats des États-Unis. Ce câble indique qu'à la mi-juin, l'application de messagerie Signal a été utilisée pour envoyer des messages générés par l'IA de « MarcoRubio ».
Le FBI avait mis en garde au printemps dernier contre une « campagne malveillante de messages texte et vocaux » dans laquelle des « acteurs malveillants » se faisaient passer pour de hauts fonctionnaires du gouvernement américain.
En mai, une IA a usurpé l'identité de Susie Wiles, la directrice de cabinet du président Trump. L'usurpateur a contacté diverses personnalités – sénateurs, gouverneurs et chefs d'entreprise – en exploitant l'accès aux contacts téléphoniques personnels de Wiles. Les autorités ont confirmé que la liste de contacts de Wiles avait été compromise, mais ont affirmé que son véritable numéro de téléphone restait sécurisé. L'usurpateur d'identité a sollicité une liste de personnes susceptibles de bénéficier de grâces présidentielles et de fonds, d'une manière qualifiée de formellement alarmante par les responsables de la sécurité nationale.
Accéder aux contacts téléphoniques d'une personne sans connaître son numéro nécessite généralement de compromettre son appareil ou les comptes cloud associés. Lors d'attaques avancées, notamment contre des cibles prestigieuses, les attaquants peuvent exploiter les vulnérabilités des applications de messagerie comme WhatsApp, Signal ou Telegram, qui demandent souvent l'accès à la liste de contacts d'un utilisateur lors de sa configuration.
Si les autorisations ne sont pas rigoureusement contrôlées, les contacts peuvent être exposés même sans compromettre le téléphone lui-même. Wiles a utilisé Signal sur son téléphone portable car elle faisait partie du groupe de discussion privé Signal créé par le conseiller à la sécurité nationale de l'époque, Mike Waltz, pour discuter des frappes aériennes du 11 mars contre les terroristes houthis au Yémen.
L'usurpation d'identité de Rubio par deepfake, utilisant le clonage vocal par IA et la messagerie synthétique, marque une escalade significative des opérations de tromperie numérique. Selon plusieurs rapports, l'auteur aurait utilisé une IA générative avancée pour imiter la voix et le style d'écriture de Rubio afin de contacter au moins trois ministres des Affaires étrangères, un gouverneur et un membre du Congrès.
Outre le clonage vocal, l'imposteur a répliqué un domaine de messagerie « @state.gov » et utilisé une fausse image de marque du Département d'État américain, issue du Bureau de la sécurité diplomatique, afin d'accroître la crédibilité de l'opération.
Il ne s'agissait pas d'une simple farce ou d'une escroquerie à des fins lucratives, car la sophistication de la tromperie suggère une tentative stratégique d'infiltration des canaux de communication diplomatiques de haut niveau. Des responsables du Département d'État ont tenté de minimiser la gravité de l'affaire, l'un d'eux ayant déclaré que la faille n'était « pas très sophistiquée ». Les analystes et les responsables de la cybersécurité se demandent si l'attaque était commanditée par un État ou si elle était le fait d'un acteur privé organisé exploitant le chaos politique et les failles technologiques.
L'usurpation d'identité se distingue par la convergence de multiples capacités d'IA : synthèse vocale, génération de langage naturel et ingénierie sociale, toutes intégrées dans un système multiplateforme ciblant les responsables et dirigeants de la sécurité nationale. Le timing soulève également des questions, car il coïncide avec des tensions géopolitiques accrues.
Le câble divulgué explique que l'usurpateur a utilisé à la fois la voix et le texte générés par l'IA pour tenter d'inciter ses cibles à fournir « des informations ou un accès à des comptes ». Il précise que des messages vocaux ont été laissés à deux personnes et que, dans au moins un cas, un SMS invitait le destinataire à poursuivre la conversation sur Signal.
Le câble avertissait explicitement le personnel diplomatique américain d'alerter ses partenaires externes de telles usurpations d'identité. En interne, le personnel a reçu pour instruction de signaler tout incident similaire au Bureau de la sécurité diplomatique, tandis que les destinataires extérieurs au département ont été invités à informer le Centre de plaintes pour cybercriminalité du FBI.
« Le Département d'État est au courant de cet incident et enquête actuellement sur la question », a déclaré le département dans un communiqué. Le Département d'État prend au sérieux sa responsabilité de protéger ses informations et prend continuellement des mesures pour améliorer sa cybersécurité afin de prévenir de futurs incidents.
Le câble divulgué compare l'usurpation d'identité de Rubio, soutenue par l'IA, à une campagne distincte menée en avril, attribuée à un acteur lié à la Russie qui a utilisé des techniques d'hameçonnage et de faux e-mails « @state.gov » pour cibler des chercheurs de groupes de réflexion, des militants, des journalistes et d'anciens fonctionnaires.
Le câble affirme qu'il n'y a pas eu de cyberattaque directe contre les systèmes du Département d'État. Il précise plutôt que la préoccupation réside dans le risque d'induire en erreur des individus par ingénierie sociale et la fuite de données personnelles, telles que des numéros de téléphone liés à des comptes officiels.
« Cette campagne ne représente aucune menace cybernétique directe pour le Département d'État, mais les informations partagées avec un tiers pourraient être exposées si les personnes ciblées sont compromises », ajoute le câble.
Le Département d'État a refusé de commenter davantage pour des « raisons de sécurité » et l'enquête en cours. La porte-parole du Département, Tammy Bruce, a également refusé de fournir des détails lors de son point de presse de mardi après-midi.
Des sources du contre-espionnage (CI) ont toutefois indiqué que l'accès apparent de l'imposteur aux coordonnées sécurisées ou privées de ministres des Affaires étrangères, d'un gouverneur américain et d'un membre du Congrès suggère une compromission bien plus profonde qu'un simple clonage vocal par IA. L'obtention de ces numéros directs implique soit un accès interne, soit une infiltration de bases de données de contacts, soit une campagne d'hameçonnage ou d'ingénierie sociale réussie ciblant des individus ou leur personnel, ce qui soulève des inquiétudes encore plus sérieuses.
Premièrement, cela suggère une probable violation ou fuite de données provenant d'un système d'annuaire de confiance, potentiellement au sein du Département d'État, d'une infrastructure de communication diplomatique classifiée ou d'une agence connexe disposant de répertoires de contacts mondiaux. Deuxièmement, cela démontre comment les adversaires intègrent de plus en plus la cyberintrusion à l'usurpation d'identité par IA pour mener des opérations d'influence de haut niveau.
L'usurpation d'identité de Rubio ne relève donc pas uniquement d'une tromperie par IA générative ; elle reflète probablement aussi une action coordonnée de renseignement visant à compromettre des canaux de communication protégés et à exploiter des protocoles de confiance utilisés en diplomatie et en gouvernance.
Si cette information se confirme, une réponse globale des services de renseignement et une réévaluation de la manière dont les données de contact sensibles sont stockées, partagées et vérifiées au sein du gouvernement américain et entre les partenaires internationaux seraient nécessaires.
Selon des sources du contre-espionnage, une vaste enquête de renseignement est actuellement menée par le Bureau de la sécurité diplomatique du Département d'État et la Division de la sécurité nationale du FBI.
Bien que l'étendue du stratagème fasse toujours l'objet d'une enquête, les responsables américains ont reconnu que l'opération constituait une grave violation du protocole diplomatique et une menace potentielle pour la sécurité nationale. Elle met également en évidence une tendance croissante à l'usurpation d'identité par l'IA visant des personnalités politiques de haut rang.
Dans les mois précédant les usurpations d'identité de Rubio, le Département de l'efficacité gouvernementale (DEGO), créé dans le cadre de la restructuration plus large de l'administration fédérale par l'administration Trump, s'est vu accorder un accès complet à de nombreux systèmes informatiques et de données fédéraux, sous prétexte d'auditer, de rationaliser et de consolider les opérations numériques. Cela incluait le Bureau des technologies diplomatiques (DT) du Département d'État, chargé de sécuriser les communications, de gérer les systèmes classifiés et de superviser l'infrastructure informatique diplomatique mondiale.
Si DOGE avait eu accès aux réseaux, annuaires ou systèmes d'identification du DT, il aurait pu créer une vulnérabilité latente. Cet accès aurait concerné les annuaires téléphoniques sécurisés, les plateformes de planification diplomatique et les systèmes de messagerie interne utilisant le domaine « @state.gov ».
Biometric Update a rapporté en février qu'un employé du DOGE aurait été « conseiller principal » au sein du Bureau des technologies diplomatiques du Département d'État, créé pour moderniser et renforcer les capacités technologiques de la diplomatie américaine.
Les principales fonctions et responsabilités de ce bureau comprennent la protection des informations sensibles et des communications diplomatiques du Département d'État contre les cybermenaces, notamment celles des adversaires étrangers et des acteurs malveillants, ainsi que la mise à niveau des systèmes et infrastructures obsolètes pour répondre aux besoins évolutifs des missions diplomatiques dans le monde entier. Cela comprend la mise en œuvre de technologies cloud, l'amélioration des canaux de communication sécurisés et l'optimisation des flux de travail numériques.
Le bureau joue un rôle essentiel dans la sécurité nationale en veillant à ce que les communications entre le Département d'État et les gouvernements étrangers restent authentiques, sécurisées et protégées contre l'espionnage ou les interférences. Il s'agit de l'un des services les plus sensibles et les plus sophistiqués du département, supervisant les systèmes informatiques des ambassades, la sécurité des e-mails, les communications chiffrées des diplomates, ainsi que le développement et l'exploitation des services cloud utilisés dans les missions américaines.
Bien qu'aucune preuve publique ne lie directement DOGE à la récente usurpation d'identité de Rubio par l'IA, la possibilité qu'un ancien point d'accès ait été exploité – que ce soit par une compromission interne, une conservation inappropriée des données ou un retrait inadéquat des systèmes des sous-traitants – ne peut être écartée, selon des sources du CI.
Cependant, compte tenu de l'opacité des mécanismes de surveillance de DOGE et de sa vaste portée numérique, il demeure un vecteur plausible par lequel des adversaires ou des initiés malhonnêtes auraient pu obtenir des coordonnées et des métadonnées falsifiables pour les communications de haut niveau du Département d'État.
L'usurpation d'identité de Rubio par l'IA augmente les enjeux de la gouvernance de l'IA, d'autant plus que la saison électorale s'intensifie et que les relations diplomatiques restent tendues sur plusieurs fronts. L'affaire Rubio est un signal clair pour les agences fédérales et les alliés internationaux : les acteurs malveillants, qu'ils soient parrainés par des États ou criminels, adaptent rapidement l'IA générative pour exploiter les vulnérabilités politiques et les failles opérationnelles de la diplomatie mondiale.
Si elles ne sont pas rapidement traitées, ces menaces d'usurpation d'identité pourraient gravement saper la confiance dans la communication diplomatique, permettre l'espionnage ou la manipulation des politiques, et introduire le chaos dans des environnements géopolitiques déjà instables. L'incident Rubio constitue donc un avertissement sévère quant à l'évolution des capacités des opérations d'influence basées sur l'IA et au besoin urgent de contre-mesures techniques et de normes internationales concernant l'utilisation des médias synthétiques dans l'exercice de la fonction publique.