Une simple souscription à un logiciel d’intelligence artificielle spécialisé dans les deepfakes coûte à peine 100 € par mois. Pourtant, les dommages et fraudes engendrés par cette technologie coûtent des milliers de milliards d’euros à l’Union européenne et à ses citoyens.
D’ici 2029, le coût mondial de la cybercriminalité atteindra la somme vertigineuse de 15 630 milliards de dollars, soit une augmentation de 6 400 milliards par rapport à 2024. Cette hausse de près de 70 % reflète l’impact financier croissant des cybermenaces sur les entreprises et les gouvernements.
Le terme « deepfake » provient des mots deep learning (apprentissage profond) et fake (faux). Il désigne l’usage de l’intelligence artificielle pour créer des vidéos, audios ou images extrêmement réalistes, mais frauduleux. À l’origine, ces techniques étaient réservées aux institutions académiques et aux grandes entreprises technologiques. Désormais, comme le souligne l’unité de cybersécurité d’INCERT, ces outils sont accessibles au grand public et utilisés par des organisations criminelles.
« Les deepfakes ne sont pas qu’une curiosité technologique, ils sont exploités à des fins malveillantes », explique Benoit Poletti, CEO d’INCERT. Les premières formes d’abus incluaient des attaques d’ingénierie sociale via des messages texte. Par exemple, des cybercriminels se faisaient passer pour des proches sur WhatsApp, manipulant leurs victimes, souvent âgées ou peu à l’aise avec la technologie, pour leur soutirer de l’argent.
« […] la technologie peut reproduire avec une précision stupéfiante la voix, les expressions faciales et même les nuances émotionnelles d’une personne. »
Une menace en pleine expansion
Les deepfakes ont commencé à se populariser en 2017, lorsque la société Deeptrace a entrepris de répertorier les vidéos générées par IA. À l’époque, environ 15 000 vidéos circulaient en ligne, un chiffre qui avait déjà doublé par rapport à l’année précédente. « Depuis, leur nombre a explosé, et ces contenus sont de plus en plus difficiles à détecter et à supprimer. Ils représentent une menace unique pour les individus, les entreprises et les gouvernements », alerte-t-il.
L’utilisation croissante des deepfakes souligne l’urgence pour les acteurs publics et privés de développer des outils de détection et des stratégies de protection renforcées face à cette nouvelle forme de cybercriminalité.
Les dangers des deepfakes sont multifacettes. Les organisations criminelles ont rapidement compris le potentiel des deepfakes pour manipuler l’opinion publique, diffuser de la désinformation ou commettre des fraudes. Cette technologie, loin de se limiter à la création de contenus divertissants, est désormais utilisée comme une arme pour causer de véritables dommages, d’autant plus qu’elle devient de plus en plus sophistiquée et accessible.
Les deepfakes reposent sur des algorithmes d’intelligence artificielle qui analysent des données audio et visuelles existantes d’une cible. « En s’entraînant sur ces données, la technologie peut reproduire avec une précision stupéfiante la voix, les expressions faciales et même les nuances émotionnelles d’une personne », ajoute Benoit Poletti, CEO d’INCERT. Avec quelques photos publiquement disponibles et un court extrait audio, il est désormais possible de créer un « deepfake » réaliste de n’importe qui.
Une menace amplifiée par les réseaux sociaux
Ce danger est d’autant plus préoccupant à l’ère des réseaux sociaux, où des plateformes comme LinkedIn et Facebook regorgent de données personnelles librement accessibles. Ces informations, utilisées de manière malveillante, alimentent des attaques de plus en plus sophistiquées. Parmi elles, les attaques audio par deepfake, appelées « vishing » (ou hameçonnage vocal), connaissent une hausse inquiétante.
Marie, une retraitée, en a été victime. « J’ai reçu un appel de ma fille. C’était sa voix, elle avait des ennuis et avait besoin de mon aide. J’ai suivi ses instructions, acheté une carte cadeau pour qu’elle puisse mettre de l’essence et rentrer chez elle. Plus tard, à ma grande surprise, ma véritable fille m’a appelée : elle s’était simplement endormie chez une amie. J’étais sous le choc. »
Dans cet exemple, une voix générée par IA a imité celle d’un proche en détresse, poussant la victime à agir rapidement et sans questionner l’authenticité de l’appel. Cette manipulation émotionnelle souligne à quel point les deepfakes exploitent la confiance et l’empathie humaines.
« Les outils de détection les plus avancés restent principalement réservés aux agences gouvernementales et aux institutions spécialisées. »
Des impacts dévastateurs pour les particuliers et les entreprises
Les deepfakes ne se limitent pas à des arnaques individuelles. Les entreprises sont également des cibles privilégiées. « Les conséquences pour les entreprises sont encore plus importantes, car les attaquants utilisent les deepfakes pour se faire passer pour des dirigeants et autoriser des transactions frauduleuses », alerte le CEO d’INCERT.
En trompant leurs victimes à l’aide de fausses voix ou vidéos, les cybercriminels orchestrent des transferts d’argent frauduleux ou des actes d’espionnage industriel. Ces attaques, alliant technologie de pointe et manipulation psychologique, mettent en lumière l’urgence de renforcer la sensibilisation et les mesures de protection contre les deepfakes.
Les entreprises européennes face à un risque élevé
En 2020, des géants de la technologie comme Amazon, Facebook et Microsoft ont lancé le Deepfake Detection Challenge, offrant des prix conséquents pour encourager les chercheurs à développer des outils de détection. Cette initiative souligne la prise de conscience croissante du problème par l’industrie. Cependant, comme le souligne Benoit Poletti, CEO d’INCERT, « les outils de détection les plus avancés restent principalement réservés aux agences gouvernementales et aux institutions spécialisées, tandis que les solutions accessibles au public ne sont pas suffisamment sophistiquées pour fonctionner en temps réel. »
On pourrait croire que les entreprises, avec leurs systèmes de cybersécurité élaborés, sont mieux protégées contre ces menaces. Pourtant, elles deviennent des cibles de choix pour des escroqueries de plus en plus sophistiquées utilisant des deepfakes, en particulier via l’usurpation d’identité. « Les cybercriminels peuvent créer un deepfake d’un CEO ou d’un cadre supérieur pour tromper les employés, les incitant à transférer des fonds, divulguer des informations sensibles ou approuver des transactions frauduleuses. Cette méthode a déjà été utilisée avec succès dans des affaires médiatisées, causant des pertes financières considérables », détaille Benoit Poletti.
Un cadre réglementaire pour encadrer les risques
Malgré des investissements massifs en cybersécurité, la majorité des dispositifs ne sont pas conçus pour détecter les manipulations par deepfake, notamment lorsque ces attaques ciblent la confiance humaine plutôt que les failles des systèmes informatiques. Les petites et moyennes entreprises, qui manquent souvent de ressources pour adopter des outils de cybersécurité avancés, sont particulièrement exposées. « La seule mesure réellement efficace pour le moment est de sensibiliser et former les employés ainsi que le public à ces tactiques, tout en renforçant les cadres juridiques », affirme Benoit Poletti.
Pour répondre à ces enjeux, l’Union européenne a introduit le règlement sur l’intelligence artificielle (AI Act). Ce cadre législatif vise à établir des règles claires pour le développement et l’utilisation de l’intelligence artificielle, y compris la technologie des deepfakes. Ce règlement s’attache à résoudre les défis éthiques et sécuritaires posés par l’IA, notamment dans les cas où elle peut être utilisée pour tromper ou manipuler les individus.
Conformément à cette législation, les systèmes d’IA générant des deepfakes sont classés comme des applications à « haut risque », particulièrement lorsqu’ils peuvent induire le public en erreur ou violer les droits à la vie privée. En imposant des normes plus strictes et des mesures de responsabilité accrues, l’Union européenne cherche à protéger les citoyens tout en encourageant l’innovation, garantissant ainsi que les technologies comme les deepfakes soient développées et utilisées de manière responsable dans le paysage numérique.
« Les organisations criminelles ont toujours une longueur d’avance, perfectionnant continuellement leurs méthodes pour contourner les mesures de sécurité existantes. »
L’évolution anonyme des deepfakes
La technologie des deepfakes est devenue un produit prisé sur le dark web. Les cybercriminels peuvent facilement acheter des logiciels dédiés aux attaques de vishing ou à la création de vidéos deepfake, rendant encore plus difficile pour les utilisateurs ordinaires de détecter les fraudes. « Ces outils sont souvent vendus via des transactions anonymes en cryptomonnaie, ce qui complique davantage les efforts pour retracer ou prévenir les abus », explique Benoit Poletti, CEO d’INCERT.
Les conséquences sont alarmantes : les criminels peuvent désormais générer des vidéos deepfake en temps réel lors d’interactions en direct. Concrètement, cela signifie que, pendant un appel vidéo, un acteur malveillant peut usurper l’identité d’une personne que vous connaissez, rendant presque impossible de distinguer si l’interlocuteur est réel ou un avatar sophistiqué généré par une intelligence artificielle. « Malgré cette menace croissante, les outils pour détecter les deepfakes restent encore sous-développés », ajoute-t-il.
Bien que des technologies de détection des deepfakes existent, elles sont principalement réservées à des laboratoires judiciaires spécialisés disposant de logiciels avancés, d’experts formés et de ressources dédiées. Malheureusement, ces solutions ne sont pas accessibles au grand public. Si l’apprentissage automatique et l’IA sont utilisés en arrière-plan pour développer ces capacités de détection, ces systèmes restent imparfaits et souvent dépassés par l’évolution rapide des tactiques des cybercriminels.
Un problème majeur réside dans le fait que les systèmes actuels de détection nécessitent que les utilisateurs téléchargent manuellement les vidéos suspectes pour analyse, ce qui ne permet pas d’intervenir en temps réel. Ce délai dans la détection permet aux vidéos deepfake de proliférer sur les plateformes de médias sociaux avant de pouvoir être signalées ou supprimées. « Les organisations criminelles ont toujours une longueur d’avance, perfectionnant continuellement leurs méthodes pour contourner les mesures de sécurité existantes. C’est pourquoi, chez INCERT, nous travaillons sans relâche pour devancer les criminels de plusieurs étapes », souligne Benoit Poletti.
Alors que la technologie des deepfakes continue de progresser, les attaques risquent de devenir encore plus sophistiquées et ciblées. Les répercussions ne se limitent pas à la fraude financière : elles peuvent également influencer l’opinion publique, manipuler des élections ou perturber la stabilité sociale. « Le cas célèbre d’une vidéo deepfake de Barack Obama montre à quel point cette technologie peut être utilisée pour diffuser de fausses informations et influencer les sentiments du public. Les criminels ont compris que plus un deepfake est choquant, plus il se propage rapidement sur les réseaux sociaux, en faisant un outil redoutable pour la désinformation », explique le CEO d’INCERT.
Prévention : des mesures pour tous
Les entreprises doivent mettre en place des protocoles de vérification stricts, tandis que les individus doivent adopter une approche plus prudente concernant leur présence en ligne. En parallèle, les gouvernements et les entreprises technologiques doivent accélérer le développement de technologies efficaces de détection et de prévention pour contrer cette menace croissante.
« Les individus et les organisations peuvent prendre plusieurs mesures proactives pour se protéger. D’abord, soyez toujours sceptique face à des demandes inattendues : qu’il s’agisse d’un message d’un ami sollicitant de l’argent ou d’un appel urgent, prenez le temps de vérifier la source par un autre canal de communication », recommande Benoit Poletti.
Il est également judicieux de vérifier régulièrement les paramètres de confidentialité sur les réseaux sociaux et de limiter la quantité d’informations personnelles partagées, car ces données peuvent être exploitées pour créer des deepfakes convaincants. Durant les appels vidéo, faites preuve de prudence : si quelque chose semble étrange, mettez fin à l’appel et confirmez l’identité de la personne par un autre moyen. Face à la montée rapide des usurpations en temps réel via deepfake, la sensibilisation est essentielle.
« Les gouvernements et les entreprises technologiques doivent donner la priorité au développement d’outils de détection en temps réel et lancer des campagnes de sensibilisation pour éduquer le public sur ces escroqueries sophistiquées. Si nous n’agissons pas rapidement, les dégâts ne feront qu’augmenter. Nous devons investir dans la prévention, pas seulement dans la réparation des dommages », conclut Benoit Poletti.
