Les deepfakes constituent un problème croissant pour toute organisation connectée à Internet. Ils peuvent être particulièrement dangereux lorsqu’ils sont utilisés comme armes par les États-nations et les cybercriminels.
« Lorsque les gens pensent aux deepfakes, ils imaginent souvent de fausses vidéos ou des appels vocaux clonés », a noté Arif Mamedov, PDG de Regula Forensics, un développeur mondial d’appareils médico-légaux et de solutions de vérification d’identité. « En réalité, le risque le plus important est bien plus profond. Les deepfakes sont dangereux car ils attaquent l’identité elle-même, qui est le fondement de la confiance numérique. »
« Contrairement à la fraude traditionnelle, qui repose sur des données volées ou divulguées, les deepfakes permettent aux criminels de recréer des personnes existantes ou de créer des personnes entièrement nouvelles – avec des visages, des voix, des documents et un comportement crédible », a-t-il déclaré à TechNewsWorld. « Ces identités peuvent sembler légitimes dès la première interaction. »
Il a expliqué que les deepfakes créent trois risques importants. Premièrement, l’authentification échoue lorsque la reconnaissance faciale, l’authentification vocale ou la numérisation de documents reposent sur des signaux statiques ou rejouables. Deuxièmement, la fraude évolue rapidement. L’IA permet de générer simultanément des milliers de fausses identités, transformant ainsi la fraude en processus industriel. Et troisièmement, les deepfakes créent une fausse confiance. Ils contournent souvent les contrôles existants, de sorte que les organisations pensent qu’elles sont protégées alors que la fraude se développe discrètement.
« Nos recherches de 2025 montrent que les deepfakes ne remplacent pas la fraude traditionnelle : ils l’amplifient, révélant d’anciennes faiblesses et les rendant beaucoup plus coûteuses », a-t-il ajouté.
Comment les Deepfakes sapent le jugement humain
Mike Engle, directeur de la stratégie chez 1Kosmos, une société de vérification d’identité numérique et d’authentification sans mot de passe dont le siège est à Iselin, dans le New Jersey, a expliqué que la sécurité traditionnelle suppose qu’une fois qu’une personne est authentifiée, elle est légitime. « Les deepfakes brisent cette hypothèse », a-t-il déclaré à TechNewsWorld.
« L’IA peut désormais usurper l’identité de manière convaincante de dirigeants, d’employés, de candidats ou de clients à l’aide de voix, de visages et de documents synthétiques, permettant ainsi aux attaquants de contourner les workflows d’intégration, d’assistance et d’approbation qui n’ont jamais été conçus pour détecter les identités fabriquées », a-t-il déclaré. « Une fois qu’une fausse identité est enregistrée, tous les contrôles en aval – MFA, VPN, SSO – finissent par protéger l’attaquant plutôt que l’organisation. »
Les deepfakes ne brisent pas les systèmes en premier : ils brisent le jugement humain, a soutenu David Lee, directeur technique de Saviynt, une société de gouvernance des identités et de gestion des accès à El Segundo, en Californie.
« Lorsqu’une voix ou une vidéo sonne bien, les gens se déplacent rapidement, ignorent la vérification et supposent que l’autorité est légitime », a-t-il déclaré à TechNewsWorld. « C’est ce qui rend les deepfakes si efficaces. Une voix exécutive crédible peut autoriser des paiements, annuler des processus ou créer une urgence qui court-circuite la prise de décision rationnelle avant que les contrôles de sécurité n’entrent en jeu. »
« Comme pour toute fraude ou escroquerie, une escroquerie basée sur le deepfake met en danger toute entreprise, mais particulièrement les entreprises plus petites ou à faible marge, où les impacts financiers peuvent avoir un effet disproportionné sur la santé et la viabilité de l’entité », a ajouté James E. Lee, président de l’Identity Theft Resource Center (ITRC), une organisation à but non lucratif consacrée à minimiser les risques et à atténuer l’impact de la compromission d’identité et de la criminalité, à San Diego.
« Les deepfakes peuvent entraîner des violations de données ; une perte de contrôle des processus, des systèmes et des équipements ; et finalement des impacts financiers sous la forme de pertes réelles, ainsi que de dépenses non budgétisées », a-t-il déclaré à TechNewsWorld.
Les attaques Deepfake s’accélèrent
La prolifération de l’IA semble avoir accru l’activité des adversaires. « Les rapports de cybersécurité et les avertissements réglementaires indiquent tous une augmentation exponentielle », a observé Ruth Azar-Knupffer, co-fondatrice de VerifyLabs, un développeur de technologie de détection des deepfakes, à Bletchingley, en Angleterre.
« Les acteurs malveillants exploitent de plus en plus les outils d’IA accessibles, tels que les générateurs open source de deepfakes, pour créer efficacement des contrefaçons convaincantes », a-t-elle déclaré à TechNewsWorld. « La prolifération des communications numériques, telles que les appels vidéo et les réseaux sociaux, a élargi les possibilités d’attaque, faisant des deepfakes un vecteur croissant d’escroquerie et de désinformation. »
Mamedov de Regula a ajouté que la raison pour laquelle l’utilisation des deepfakes s’accélère est simple. « Les outils sont bon marché ou gratuits, les modèles sont largement disponibles et la qualité des résultats dépasse désormais celle pour laquelle de nombreux systèmes de vérification ont été conçus », a-t-il expliqué.
« Ce qui était autrefois un effort individuel pour créer un deepfake convaincant est désormais un écosystème plug-and-play », a-t-il poursuivi. « Les fraudeurs peuvent acheter des ‘kits de personnalité’ complets à la demande : visages synthétiques, voix truquées, histoires numériques. Cela marque le passage d’une fraude manuelle à petite échelle à une fabrication d’identité à l’échelle industrielle. »
Il a cité les données de Regula montrant qu’environ une organisation sur trois a déjà été victime de fraude deepfake. « C’est la même fréquence que les menaces de longue date telles que la fraude documentaire ou l’ingénierie sociale », a-t-il déclaré. « L’usurpation d’identité, la fraude biométrique et les deepfakes font désormais partie intégrante du manuel de lutte contre la fraude grand public. »
Nouvel outil, vieille tromperie
L’une des façons dont les organisations s’attaquent au problème des deepfakes est la formation. Par exemple, KnowBe4, une société de formation en cybersécurité bien connue basée à Clearwater, en Floride, a lancé lundi une nouvelle formation visant à défendre les organisations contre les deepfakes.
Perry Carpenter, stratège en chef de la gestion des risques humains de KnowBe4, a expliqué que la formation se concentre sur l’interaction des employés avec les deepfakes.
« La meilleure chose que chacun puisse faire, c’est s’il a l’impression qu’une émotion est tirée d’une manière ou d’une autre, qu’un levier émotionnel est touché, qu’il s’agisse de peur, d’urgence, d’autorité, d’espoir ou quoi que ce soit d’autre, cela devrait en fait être un signal pour lui de ralentir, de commencer à analyser l’histoire, ce qu’on lui demande, et de se demander si cela déclenche des signaux d’alarme ? » il a dit à TechNewsWorld.
« Vous remarquerez que je ne parle pas de regarder le deepfake pour dire si la bouche a l’air bien ou si la voix sonne bien ? » il a continué. « Ce sont toutes des choses que nous pouvons faire, mais ce sont des choses qui disparaîtront d’ici six mois à un an, à mesure que la technologie s’améliore. »
« Donc, la dernière chose que je veux que quelqu’un fasse, c’est de croire qu’il y aura toujours un message visuel ou audio qu’il pourra comprendre », a-t-il déclaré. « La meilleure chose sera toujours : est-ce que je me sens manipulé d’une manière ou d’une autre ? Est-ce que cela me demande de faire quelque chose qui sort de l’ordinaire ? Est-ce que cela touche à une émotion d’une manière ou d’une autre ? Alors comment puis-je le vérifier par un autre canal ? »
« Les deepfakes ne sont que l’outil technologique le plus récent dans la boîte à outils de l’attaquant », a-t-il ajouté. « Le mode de tromperie, l’attaque narrative et les émotions sont séculaires. »
Ne faites jamais confiance, vérifiez toujours
Rich Mogull, analyste en chef chez Cloud Security Alliance, une organisation à but non lucratif dédiée aux meilleures pratiques du cloud, a convenu que les employés ne devraient pas s’appuyer sur des artefacts visuels ou audio pour identifier les deepfakes. « Au lieu de compter sur la recherche de signes visuels ou auditifs, je recommande de rechercher des signes comportementaux et de mettre en place des contrôles de processus pour prévenir les types de fraude pour lesquels ils sont utilisés », a-t-il déclaré à TechNewsWorld.
Il a recommandé d’exiger plusieurs chèques avant d’émettre un virement bancaire et de mettre en œuvre des contrôles internes qui bloquent les tentatives de les contourner. Il a également suggéré de former les employés à valider les appels du PDG via un canal hors bande, tel que Slack/Teams, et à rechercher des signaux d’ingénierie sociale, tels que « nous n’avons pas le temps pour cela, faites-le maintenant ».
Tout en reconnaissant que les employés peuvent être formés pour lutter contre les deepfakes, Lee de Saviynt a fait valoir que la formation à elle seule ne suffit pas. « La sensibilisation aide les gens à faire une pause, mais elle ne remplace pas la vérification », a-t-il déclaré. « Le véritable changement consiste à apprendre aux employés à cesser de se demander : « Est-ce réel ? » et commencez à demander « Qu’est-ce qui confirme cela ? » Cela signifie des procédures de rappel, des voies d’approbation secondaires et la suppression de la voix ou de la vidéo en tant que signaux de confiance autonomes.
« Si votre contrôle dépend de la reconnaissance d’un faux par quelqu’un, vous n’avez aucun contrôle, vous avez un pari », a-t-il souligné.
« Les deepfakes ne sont pas le problème central. Il s’agit d’un test de résistance », a ajouté Lee. « Ils révèlent combien d’organisations comptent encore sur la reconnaissance plutôt que sur la vérification. »
« La solution à long terme ne réside pas dans une meilleure détection humaine », a-t-il poursuivi. « Il s’agit de traiter l’identité comme quelque chose qui doit être explicitement validé et continuellement appliqué par les systèmes. Lorsque la confiance n’est plus implicite, les deepfakes perdent leur pouvoir. »
