Deepfakes, arnaques à l’IA : quand n’importe qui peut devenir escroc

« Il n’y a pas si longtemps, réaliser un deepfake convaincant demandait des heures de travail, des compétences techniques pointues et un matériel coûteux. Aujourd’hui, en quelques secondes, votre voix, vos expressions, votre visage peuvent être reproduits à l’identique. »

Lors d’une conférence de presse organisée mardi 26 mai, la directrice de l’école de cybersécurité Cybersup, Manon Pellat, a pointé l’évolution fulgurante des technologies de deepfake et l’accessibilité croissante de ces outils : « Les barrières à l’entrée se sont effondrées ! »

À titre d’exemple, l’outil de génération vidéo Synthesia. Accessible pour une cinquantaine d’euros, « moins chère qu’un abonnement Spotify sur un an », la plateforme a récemment servi à un influenceur pour se faire passer pour une jeune fille de 14 ans et piéger un pédocriminel, a rappelé Manon Pellat.

Les faux ordres de virement dans le top 3

Loin de se limiter à quelques usages médiatisés présentés comme « vertueux », les technologies de deepfake ont surtout accéléré les modes opératoires des cybercriminels.

Les auteurs des « arnaques au président », qui devaient autrefois « passer des heures à imiter une voix, récupérer des informations ou fabriquer de faux supports », disposent désormais d’outils capables de produire en quelques minutes des contenus d’un réalisme saisissant.

Conséquence directe : ces faux ordres de virement figurent désormais dans le top 3 des cybermenaces recensées par Cybermalveillance.gouv.fr, et représentent près de 380 millions d’euros de préjudice en France en 2024.

Manon Pellat a également évoqué l’affaire Arup à Hong Kong. En février 2024, un directeur financier reçoit un mail suspect qu’il choisit d’ignorer. Quelques jours plus tard, il participe à une visioconférence avec – pense-t-il – ses collègues. Les échanges semblent cohérents, naturels, crédibles… Pourtant, tous les participants visibles à l’écran avaient été générés par IA.

Convaincu d’échanger avec des interlocuteurs légitimes, le directeur financier effectue alors, sur leurs instructions, plusieurs virements frauduleux. Résultat : près de 25 millions de dollars transférés frauduleusement.

La directrice de Cybersup a également alerté sur l’explosion du phishing – ou hameçonnage -, cette pratique qui consiste à envoyer des SMS ou mails frauduleux pour soutirer des données personnelles ou bancaires en usurpant l’identité d’un tiers. « Entre le premier semestre 2024 et le premier semestre 2025, ces attaques ont augmenté de 700 % », a-t-elle affirmé.

« Le maillon faible est humain »

« Les attaques n’ont pas fondamentalement changé », a toutefois nuancé Laurent Biagiotti, directeur pédagogique de Cybersup. « Le point d’entrée reste le même : un mail, un SMS, un lien. Ce sont surtout les outils qui se sont perfectionnés. Aujourd’hui, avec un ordinateur classique à 1200 euros et un bon processeur graphique, il devient très simple de reproduire une voix à l’identique. »

Cette évolution bouleverse les réflexes habituels face aux menaces cyber : les fautes d’orthographe ou les formulations maladroites, autrefois révélatrices d’un phishing, ont quasiment disparu. « Le maillon faible n’est presque jamais technique, il est humain », a insisté Laurent Biagiotti.

Pour y faire face, la formation apparaît désormais comme le principal levier de défense. Mais pas une formation théorique, a souligné Manon Pellat. L’enjeu consiste plutôt à confronter directement les salariés aux méthodes utilisées par les criminels : simulations de phishing, démonstrations de deepfakes ou mises en situation réalistes. « Il faut faire vivre l’attaque avant qu’elle n’arrive réellement ».

L’objectif de la directive européenne NIS 2, en cours de transposition en France, est donc d’imposer un socle minimal de cybersécurité à toutes les organisations, quelle que soit leur taille.

Parmi les mesures recommandées figurent notamment la double validation des virements sensibles, l’authentification à deux facteurs pour les accès critiques, l’organisation régulière de simulations d’attaques par phishing ou encore le recours à une facturation électronique sécurisée et traçable.

« Les attaquants ont toujours entre six et 18 mois d’avance »

Les entreprises ne sont toutefois pas totalement démunies face à cette montée en puissance des cyberattaques. « Les défenseurs ont aussi leurs armes », a rappelé Laurent Biagiotti, citant notamment les SOC – pour Security operations centers – de plus en plus utilisés dans les entreprises.

Véritables « tours de contrôle » numériques, ces centres de supervision permettent de surveiller en temps réel l’activité d’un système informatique afin de détecter des comportements anormaux avant qu’une attaque ne se déclenche.

« Concrètement, ce sont des ensembles de logiciels reliés à des tableaux de bord, des alertes et des journaux d’activité qui donnent une vision instantanée de l’état du réseau », a expliqué le directeur pédagogique de Cybersup.

Dans les grandes entreprises, ces SOC prennent parfois la forme de salles remplies d’écrans affichant en continu des indicateurs de sécurité, des codes couleurs et des alertes en temps réel. « Dès qu’un comportement inhabituel est détecté, une alerte est envoyée. Le système est capable d’anticiper certaines menaces avant même qu’elles ne se concrétisent », a précisé Laurent Biagiotti.

Une logique comparable à celle de la sécurité physique : « Un cambrioleur observe souvent les failles d’une maison avant de passer à l’acte. En cybersécurité, c’est pareil. Les attaquants testent les systèmes, repèrent les vulnérabilités, et les outils de supervision permettent justement de détecter ces signaux faibles. »

Des entreprises françaises comme Mailinblack développent d’ailleurs des solutions de détection automatique des menaces reposant sur l’intelligence artificielle. Mais malgré ces avancées, la bataille reste déséquilibrée. « Les attaquants ont toujours entre six et 18 mois d’avance sur nous », a-t-il reconnu.

La France tente de combler son retard

Alors qu’une véritable culture du hacking s’est rapidement développée en Israël, en Corée, en Iran ou encore au Brésil dès l’époque des consoles Nintendo et SEGA, la France s’est longtemps tenue à distance des enjeux de cybersécurité, a estimé Laurent Biagiotti.

Un retard confirmé par Manon Pellat : « En 2020, lorsque je proposais des formations en cybersécurité, je n’avais quasiment aucun concurrent, parce que personne ne s’y intéressait réellement. »

Pour autant, les spécialistes interrogés estiment que la France est désormais en train de combler progressivement son retard. « On rattrape », a relativisé Laurent Biagiotti, notamment grâce à une meilleure sensibilisation et à une prise de conscience plus large des entreprises et des institutions.

Reste un paradoxe majeur : alors que les besoins en experts cyber explosent, les recrutements demeurent particulièrement difficiles. En cause, selon les intervenants, une logique de recrutement jugée trop rigide. « On demande aujourd’hui cinq ans d’expérience pour des métiers qui, parfois, n’existaient même pas il y a cinq ans », a regretté le directeur pédagogique.

Par ailleurs, la cybersécurité « reste perçue comme un centre de coûts plutôt que comme un investissement stratégique. Les équipes cyber doivent constamment se battre pour obtenir des budgets. Et lorsqu’une entreprise recrute enfin, elle cherche le profil parfait et polyvalent au lieu de former ses collaborateurs. »