Imaginez recevoir un courriel urgent d’un de vos patrons vous demandant de participer à une visioconférence confidentielle. Vous vous connectez, reconnaissez les visages familiers de collègues et supérieurs, discutez d’un transfert important… puis, dans les heures qui suivent, vous réalisez que tout était faux. Même les visages. Même les voix.
En effet, c’est exactement ce qui est arrivé à un employé basé à Hong Kong de la firme d’ingénierie Arup, qui a autorisé des virements totalisant 37 millions de dollars canadiens après une rencontre virtuelle… avec des clones numériques de ses collègues. Aucun réseau n’a été piraté. Aucun mot de passe volé. Juste des visages, des voix, et une bonne dose de confiance.(La Presse)
Le deepfake : l’art de recréer le réel
Ce type de fraude repose sur une technologie qu’on appelle deepfake (ou hypertrucage en français). Contraction de deep learning (apprentissage profond) et fake (faux), le deepfake est une technique qui utilise l’intelligence artificielle pour créer des images ou des vidéos réalistes de personnes… qui ne sont pas vraiment là.
Plus concrètement, un programme va analyser des centaines d’images et d’extraits audio publics — comme ceux qu’on retrouve sur YouTube ou LinkedIn — pour apprendre à reproduire les expressions faciales, les mouvements de lèvres, et même la voix d’une personne. Une fois bien entraîné, l’outil peut ensuite générer une vidéo où cette personne semble dire ou faire n’importe quoi.
Dans le cas d’Arup, les fraudeurs ont ainsi organisé une visioconférence crédible avec des visages générés par IA. Par conséquent, c’était suffisamment convaincant pour tromper un employé averti, qui avait pourtant d’abord douté du courriel initial.
Ce n’est pas de la science-fiction : c’est maintenant
Cependant, l’histoire d’Arup n’est pas un cas isolé. Elle s’inscrit dans une tendance croissante : celle des fraudes propulsées par l’IA. Que ce soit pour imiter la voix d’un proche, reproduire l’apparence d’un dirigeant ou créer un faux site web, l’IA rend les arnaques plus rapides, plus précises et plus difficiles à détecter.
De plus, contrairement à ce que l’on pourrait croire, ce n’est pas toujours hyper technique. Beaucoup de ces outils sont maintenant faciles d’accès. Par exemple, certains sites proposent de cloner une voix à partir de quelques secondes d’enregistrement. Il est même possible d’acheter des modèles prêts à l’emploi sur le dark web.
Faut-il paniquer ? Non. Faut-il apprendre ? Absolument.
La tentation serait grande de céder à la panique. Mais il vaut mieux comprendre pour mieux se protéger. Voici quelques notions clés à retenir :
1. L’apparence ne suffit plus
Aujourd’hui, dans le monde numérique, ce qu’on voit n’est plus toujours vrai. Une vidéo ou une réunion Zoom ne garantit pas l’authenticité d’un interlocuteur. C’est pourquoi il est essentiel de valider par des moyens indépendants (téléphone connu, procédure interne, etc.).
2. La voix peut être clonée
Par ailleurs, certaines banques utilisent encore la reconnaissance vocale pour sécuriser l’accès aux comptes. Or, des émissions récentes comme La facture ont démontré qu’un clone vocal bien réalisé pouvait berner plusieurs grandes institutions financières canadiennes. (La facture)
3. La prévention passe par l’éducation
Enfin, experts et enquêteurs s’entendent : l’élément humain est la cible principale. Malheureusement, la formation en cybersécurité est encore trop rare dans nos écoles, cégeps ou entreprises. Pourtant, savoir reconnaître les signes d’un hypertruquage ou d’une tentative de fraude devrait faire partie des bases numériques du 21e siècle.
En entreprise : des gestes simples, mais cruciaux
Ainsi, pour mieux se protéger collectivement, quelques mesures concrètes peuvent faire une grande différence :
- Former les employés à détecter les anomalies dans les communications.
- Vérifiez manuellement l’identité des personnes impliquées dans des transactions sensibles, même après une visioconférence.
- Privilégiez les réunions en personne pour les sujets à haute importance
- Mettez en place des procédures strictes pour les transferts d’argent ou les décisions critiques.
Un monde à apprivoiser
En réalité, les deepfakes ne sont pas que des outils de fraude. Ils sont aussi utilisés dans le cinéma, les jeux vidéo ou même la reconstitution historique. Comme toute technologie, leur usage dépend de l’intention de ceux qui les manipulent.
Mais à mesure que ces outils se perfectionnent, notre vigilance doit s’aiguiser. Pas par peur, mais par compréhension. Pas pour tout bloquer, mais pour mieux choisir.
Et dans ce contexte en constante évolution, les entreprises ont tout à gagner à former leurs équipes.
Chez Mon Technicien, nous offrons des formations accessibles, pratiques et concrètes en cybersécurité, pour aider vos employés à reconnaître les menaces modernes… avant qu’il ne soit trop tard.
Pensée du jour : « Faites confiances, mais vérifiez »
