En février 2024, un employé du cabinet d’ingénierie Arup, à Hong Kong, vire environ 25 millions de dollars à des escrocs. Il n’a pas été négligent. Il a été convoqué en visioconférence par son directeur financier, basé à Londres. À l’écran, il reconnaît plusieurs collègues. La réunion est normale, l’ordre de virement urgent et confidentiel lui est donné en direct, de vive voix.
Aucune des personnes présentes à l’écran n’était réelle. Visages, voix, gestes, tout avait été généré par IA à partir de visioconférences publiques antérieures. Le seul humain dans cette réunion, c’était lui.
Cette affaire devrait être affichée dans chaque salle de direction, parce qu’elle marque un basculement. Le moment où l’oeil et l’oreille ont cessé d’être des preuves suffisantes.
Ce n’est pas un cas isolé, c’est une tendance
On pourrait se rassurer en se disant qu’Arup est une multinationale, une cible de choix, et qu’une PME n’intéresse personne. Ce serait une erreur de lecture.
Dès 2019, bien avant que l’IA générative ne soit grand public, des escrocs avaient utilisé une voix synthétique imitant le PDG d’une maison mère allemande pour soutirer environ 220 000 euros à sa filiale britannique, comme l’a rapporté le Wall Street Journal. À l’époque, fabriquer une fausse voix crédible demandait des moyens. Aujourd’hui, la même chose se monte avec des outils accessibles, à partir de quelques minutes d’enregistrement public, et la qualité a explosé.
Autrement dit, la fraude au président n’a pas disparu, elle a changé de visage. Littéralement. Et le coût de fabrication baisse plus vite que la vigilance des entreprises ne monte. La PME n’est pas hors de portée, elle est juste moins préparée.
Pourquoi les anciens réflexes ne protègent plus
Pendant des années, on a appris aux équipes à se méfier des emails. Une adresse douteuse, une faute d’orthographe, un lien bizarre, on raccroche. Ces réflexes reposent tous sur un détail qui cloche.
Un deepfake bien fait n’a pas de détail qui cloche. Il a le visage de votre patron, sa voix, sa façon de pencher la tête, et il répond en direct à vos questions. Toute la chaîne de confiance que nous accordons d’instinct à un visage et à une voix se retourne alors contre nous. Notre cerveau a été câblé pendant des centaines de milliers d’années pour faire confiance à ce qu’il voit et entend d’une personne qu’il reconnaît. Les escrocs n’attaquent pas vos systèmes, ils attaquent ce câblage.
Le vrai point faible n’est pas technologique
Voici la bonne nouvelle, et elle compte pour un dirigeant qui n’est pas expert en sécurité. L’affaire Arup ne s’est pas jouée sur la technologie, elle s’est jouée sur un processus. Un virement important, ordonné en réunion, sans contrôle indépendant. Le deepfake n’a fait qu’exploiter une faille de procédure qui existait déjà.
Ce qui veut dire que la parade ne demande pas d’être ingénieur. Elle demande de revoir quelques règles internes, et elle tient sur une page.
Aucun virement exceptionnel validé sur la seule foi d’une visio ou d’un appel, même si on reconnaît la personne. Une vérification systématique par un second canal indépendant, un rappel sur un numéro connu, un message sur un autre outil, pour tout montant qui dépasse un seuil défini à l’avance. Un mot de passe ou une question convenue entre les bonnes personnes pour les demandes urgentes et confidentielles. Et surtout, le droit explicite, pour n’importe quel employé, de suspendre une opération le temps de vérifier, sans craindre d’être désavoué par sa hiérarchie.
Cette dernière règle est la plus importante, et la plus négligée. Beaucoup de fraudes réussissent parce que l’employé n’ose pas faire attendre un supérieur qui semble pressé et agacé. Le sentiment d’urgence est l’arme principale de l’escroc. Lui retirer cette arme, en autorisant officiellement le doute, vaut tous les logiciels du monde.
Ce que ça dit de notre époque
Il y a une leçon plus large, qui dépasse la fraude. Nous avons construit des outils capables d’imiter parfaitement les signaux auxquels nous faisons confiance par instinct. Le visage, la voix, la présence en réunion. Tant que nous décidons sur la seule base de ces signaux, nous sommes exposés, et nous le serons de plus en plus.
La réponse n’est ni la paranoïa ni le déni, c’est la méthode. Comprendre ce que la machine sait désormais imiter, et reconstruire nos décisions autour de ce qu’elle ne peut pas contourner : un second regard, un canal séparé, une règle écrite, une question dont elle ignore la réponse. C’est exactement ce que j’enseigne aux dirigeants et ce que j’étudie dans ma recherche sur la décision. Un deepfake ne pirate pas votre système, il pirate votre confiance. Et la confiance ne se répare pas avec un antivirus. Elle se reconstruit avec une procédure, en une réunion, avant d’en avoir besoin plutôt qu’après.