Attaque par deepfake : « Beaucoup de gens auraient pu être trompés »

2 mars 2026

PartagerEnregistrer

Gideon Longand

Ed Butler

PartagerEnregistrer

AFP via Getty Images

Sundararaman Ramamurthy dit qu’il est impossible de savoir combien de personnes ont vu la vidéo truquée

Au début de cette année, une vidéo est apparue sur les sites de réseaux sociaux en Inde, montrant le directeur général de la Bourse de Bombay, Sundararaman Ramamurthy, donnant des conseils aux investisseurs sur les actions à acheter.

Les spectateurs se voyaient promettre de beaux rendements s’ils suivaient ses recommandations.

Le seul problème, c’était que ce n’était pas Ramamurthy qui parlait. Il s’agissait d’une vidéo deepfake de lui, réalisée à l’aide d’intelligence artificielle.

« C’était dans le domaine public, où beaucoup de gens pouvaient la voir, et être trompés pour acheter ou vendre des actions, comme si je les leur avais recommandées », explique Ramamurthy.

« Quand nous voyons un incident comme celui-ci, nous déposons immédiatement une plainte. Nous allons sur Instagram et dans d’autres endroits où la vidéo est publiée pour la faire retirer. Et nous écrivons régulièrement au marché pour avertir les gens de ne pas croire à des vidéos truquées. »

Ramamurthy ajoute : « Nous ne savons pas combien de personnes ont vu cette vidéo, c’est vraiment difficile à déterminer, donc nous ne pouvons pas vraiment juger si cela a eu un grand impact ou non.

« Ce que nous voulons, c’est que cela n’ait eu aucun impact du tout. Personne ne devrait subir une perte parce qu’il croit quelque chose qui est faux. »

BBC Business Daily : Les PDG en deepfake

Les deepfakes sans consentement sont désormais illégaux au Royaume-Uni : comment sont-ils détectés ?

Faire face aux deepfakes « s’est transformé en une course aux armements »

Ramamurthy et la Bourse de Bombay ne sont pas les seuls.

« Les données les plus récentes montrent qu’au cours des deux dernières années environ, nous avons constaté une augmentation d’environ 3 000 % du nombre de deepfakes utilisés », déclare Karim Toubba, directeur général de l’entreprise américaine de cybersécurité LastPass.

Toubba a lui-même été mis en deepfake en 2024.

« L’un de nos employés en Europe a reçu un message audio et un message texte de la part de quelqu’un prétendant être moi, demandant de toute urgence de l’aide de ma part », dit-il.

Heureusement pour Toubba — et LastPass — l’employé s’est méfié.

« Le message était sur WhatsApp, ce qui, pour nous, n’est pas un canal de communication autorisé », dit Toubba. « De plus, nous avons des appareils mobiles professionnels autorisés, et cela est arrivé via son téléphone personnel. Du coup, il s’est dit que c’était potentiellement un peu trouble, un peu louche. »

L’employé a signalé l’incident à l’équipe de cybersécurité de LastPass et aucun dommage n’a été causé.

AFP via Getty Images

On ne sait pas combien de personnes ont été touchées par l’attaque visant le patron de la Bourse de Bombay

L’entreprise britannique d’ingénierie Arup n’a pas eu cette chance. En 2024, elle a été la cible de l’une des attaques par deepfake les plus sophistiquées jamais vues dans le monde de l’entreprise.

Selon la police de Hong Kong, un employé d’Arup, travaillant sur place, a reçu un message prétendant émaner du directeur financier (CFO) de la société, basé à Londres, au sujet d’une « transaction confidentielle ».

L’employé a décroché un appel vidéo avec le CFO et d’autres membres du personnel. Sur la base de cet appel, l’employé a ensuite transféré 25 millions de dollars (18,5 millions de livres sterling) d’argent d’Arup à cinq comptes bancaires différents, comme on le lui avait demandé. Ce n’est que plus tard qu’il a été révélé que les personnes au téléphone, y compris le CFO, étaient des deepfakes.

« Vous ne voudriez jamais simplement sauter sur un appel vidéo avec quelqu’un et transférer 25 millions de dollars », déclare Stephanie Hare, chercheuse en technologie et codirectrice du programme TV de la BBC AI Decoded.

« Les entreprises doivent prendre des mesures supplémentaires pour sécuriser ce type de communications. C’est le monde nouveau dans lequel nous sommes maintenant. »

L’évolution rapide de l’IA signifie que ces vidéos deviennent de plus en plus réalistes en permanence.

« Les deepfakes deviennent extrêmement, extrêmement faciles à réaliser », déclare Matt Lovell, cofondateur et PDG de la société britannique de cybersécurité CloudGuard. « Pour générer des vidéos et des sons d’une qualité correspondant à des spécifications extrêmement précises — il faut quelques minutes. »

Cela devient aussi moins cher.

« Pour une attaque simple, menée par une seule personne par exemple, vous en êtes à 500 à 1 000 dollars en utilisant des outils largement gratuits », dit Lovell. « Pour une attaque plus sophistiquée, vous êtes entre 5 000 et 10 000 dollars. »

Alors que les vidéos deepfake deviennent plus sophistiquées, les outils utilisés pour les contrer évoluent aussi. Les entreprises peuvent désormais utiliser des logiciels de vérification capables d’évaluer les expressions faciales d’une personne, la façon dont elle tourne la tête et même la manière dont le sang circule à travers son visage afin de déterminer si c’est bien elle ou une version deepfake d’elle.

« Sur vos joues ou juste sous vos paupières, nous chercherons des changements dans la circulation du sang quand une personne parle ou présente quelque chose. » Lovell dit. « C’est vraiment là que nous pouvons déterminer s’il s’agit d’une génération par IA ou si c’est réel. »

Getty Images

L’IA permet aux cybercriminels de créer beaucoup plus facilement des vidéos deepfake

Mais les entreprises mènent une bataille constante pour rester un pas devant les fraudeurs.

« C’est une course, entre ceux qui peuvent déployer une technologie et ceux qui peuvent contrer cette technologie aussi vite que possible », déclare Toubba de LastPass. « Heureusement, il semble qu’il y ait pas mal d’argent qui afflue dans ce domaine, ce qui ne fera qu’accélérer le rythme auquel les organisations développeront des technologies pour détecter et, en fin de compte, bloquer ces choses. »

Chez CloudGuard, le PDG Matt Lovell est plus pessimiste.

« Les vecteurs d’attaque s’accélèrent plus vite que nous ne pouvons accélérer l’automatisation de la défense et la protection », dit-il. « Est-ce que les gens vont assez vite pour répondre à la vitesse à laquelle la menace se développe ? Absolument pas. »

Hare dit que la multiplication des attaques par deepfake signifie que les personnes capables de lutter contre les fraudeurs sont très demandées. « Nous manquons de professionnels de la cybersécurité dans le monde entier. Nous avons besoin de plus de personnes pour s’y engager. »

Et elle dit que les entreprises prennent conscience de la menace, certes lentement.

« Dans le passé, on ne considérait pas comme une priorité de sécuriser vos opérations de la même manière que maintenant », souligne-t-elle.

« Désormais, avec ce type de risques, avec des dirigeants dans les entreprises, des PDG, qui sont mis en deepfake, je pense que les dirigeants d’entreprise passeront plus de temps avec leurs responsables de la sécurité de l’information et leurs équipes qu’avant. Et c’est une bonne chose. »

Êtes-vous fait pour vivre et travailler en Antarctique ?

Les deux fermes au Sénégal qui fournissent une grande partie des légumes du Royaume-Uni

Trump vise une visite au Venezuela — mais les obstacles à son plan pétrolier demeurent

Les Néerlandais adorent les semaines de travail de quatre jours, mais sont-elles durables ?

Monde des affaires

Affaires internationales

Intelligence artificielle

Fraude sur Internet

Inde

Deepfakes

Fraude