Deepfakes et vishing : quand l'IA devient une arme contre les PME

Ce qui a changé avec l'IA générative

L'arnaque au président existe depuis des années : un escroc se fait passer pour le dirigeant par email et demande un virement urgent à la comptabilité. Ce qui est nouveau, c'est la qualité de l'imitation. Des outils disponibles gratuitement permettent aujourd'hui de cloner une voix à partir de 30 secondes d'audio — un extrait d'interview, une vidéo LinkedIn, un message vocal. Le résultat est indiscernable pour la plupart des gens.

En 2024, une entreprise hongkongaise a perdu l'équivalent de 25 millions de dollars après une visioconférence entièrement composée de deepfakes — le "directeur financier" et ses collègues étaient tous des avatars générés par IA.

Les nouvelles formes d'attaque

Le vishing (voice phishing) IA : un appel téléphonique avec la voix clonée du dirigeant, du responsable IT, ou d'un fournisseur de confiance. L'objectif : obtenir un virement, des identifiants, ou l'installation d'un logiciel à distance.

La fausse vidéoconférence : un interlocuteur en visio dont le visage et la voix sont générés en temps réel. Des outils comme HeyGen ou D-ID permettent déjà des substitutions de visage en direct avec une latence minimale.

L'email ultra-personnalisé généré par IA : plus de fautes d'orthographe, plus de formulations maladroites. L'IA génère des emails de phishing parfaitement rédigés, adaptés au contexte de l'entreprise cible, à partir d'informations publiques (LinkedIn, site web, communiqués de presse).

Les signaux qui restent détectables (pour l'instant)

• L'urgence et la confidentialité : "Ne parlez de ça à personne", "Il faut agir maintenant, je suis en réunion" — ce sont des signaux d'alarme, quelle que soit la voix.
• La demande sort du processus habituel : un virement qui ne passe pas par la procédure standard, une demande d'identifiants par téléphone, une instruction qui contourne un collègue habituel.
• Micro-latences et artefacts audio : les voix clonées ont parfois des latences légèrement anormales, des respirations mécaniques, ou des transitions brutales. Ça s'améliore rapidement, mais reste un signal à court terme.

Ce qu'on peut faire concrètement

Aucun de ces dispositifs n'est high-tech. C'est justement là que réside leur force.

Le mot de code verbal : une phrase ou un mot connu uniquement en interne. Pas besoin de le changer souvent — juste de l'avoir. Toute demande inhabituelle par téléphone ou visio se vérifie avec ce code via un canal séparé.

La règle des deux canaux : toute demande de virement ou de changement de coordonnées bancaires reçue par un canal (email, téléphone) doit être confirmée via un second canal indépendant — un appel vers le numéro habituel du contact, jamais celui fourni dans le message.

Un seuil de validation pour les virements : définissez un montant au-dessus duquel un virement ne peut pas partir sans une confirmation vocale — via le numéro enregistré en interne, pas celui communiqué dans la demande. Simple, efficace, difficile à contourner même avec une voix clonée.

La sensibilisation : la seule vraie défense

Aucun filtre technique ne détecte encore fiablement les deepfakes en temps réel. La défense est humaine : des processus qui ne peuvent pas être court-circuités par une voix convaincante, et des équipes qui savent que la technologie peut mentir. Un exercice de simulation — un faux appel de vishing en interne — vaut mieux que dix présentations PowerPoint.