Deepfakes et Arnaques au "Président" : Quand l'IA Usurpe l'Identité de vos Dirigeants

Imaginez ce scénario. Il est 16h30 un vendredi. Le responsable comptable de votre PME reçoit une invitation pour une visioconférence urgente. Sur l'écran, le visage de votre PDG apparaît. L'image est un peu saccadée, le son légèrement décalé – il explique être dans un salon d'aéroport bruyant. Son visage, sa voix, ses expressions... tout est familier. Le ton est pressé. Il explique être sur le point de conclure une acquisition stratégique et ultra-confidentielle, mais qu'un virement imprévu de 25 000 € doit être fait dans l'heure pour sceller l'accord. Il insiste : personne d'autre ne doit être au courant. Le comptable, face à son supérieur direct, s'exécute.

Quelques heures plus tard, le piège se referme. Le véritable PDG n'a jamais participé à cet appel. L'entreprise vient d'être victime d'une "arnaque au président" d'un genre nouveau, suralimentée par l'intelligence artificielle.

Cette attaque, qui combine une technique de manipulation psychologique bien connue – l'ingénierie sociale – avec une technologie de pointe – les deepfakes audio et vidéo –, est en passe de devenir l'une des menaces les plus dangereuses pour les entreprises en 2025. Cet article vous explique comment elle fonctionne et, surtout, comment vous en prémunir.

L'Arnaque au Président : Un Classique de la Manipulation

Avant l'arrivée de l'IA, l'arnaque au président reposait principalement sur l'e-mail. Un pirate usurpait une adresse pour demander un virement. Cette attaque repose sur les mêmes ressorts psychologiques que le phishing classique. Comme je l'explique en détail dans mon guide pour reconnaître une attaque de phishing, l'urgence et l'autorité sont les deux leviers principaux pour court-circuiter la méfiance d'un collaborateur.

Pendant des années, la meilleure défense était simple : le contre-appel ou la vérification directe. Un employé bien formé n'avait qu'à décrocher son téléphone ou à passer une tête dans le bureau de son dirigeant pour vérifier. La supercherie était alors immédiatement révélée.

Mais que se passe-t-il lorsque la voix au téléphone ET le visage en visioconférence sont des imitations parfaites ?

L'IA entre en Scène : Les Deepfakes Audio et Vidéo

Le terme "deepfake", contraction de "deep learning" et "fake", désigne des contenus multimédias générés ou manipulés par une IA de manière ultra-réaliste.

Qu'est-ce qu'un Deepfake Audio et Vidéo ?

Le principe est le même pour la voix et l'image :

La Collecte : L'attaquant collecte des échantillons de sa cible. Pour la voix, quelques minutes d'une interview suffisent. Pour le visage, des photos de profil (LinkedIn) et des vidéos d'entreprise (YouTube) sont une mine d'or.

L'Entraînement : Ces échantillons sont fournis à un modèle d'IA qui apprend à imiter la voix, les expressions faciales et la manière de parler de la cible.

La Génération : Une fois le modèle créé, l'attaquant peut générer de nouveaux contenus. Il peut taper un texte et le faire dire par la voix clonée, ou animer une simple photo pour créer un avatar vidéo réaliste capable de parler et de bouger la tête en temps réel lors d'un appel visio.

La technologie a atteint un tel niveau de réalisme qu'il est devenu quasiment impossible pour un humain non averti de distinguer le vrai du faux, surtout dans les conditions dégradées d'une visioconférence.

Comment l'IA Révolutionne l'Arnaque

Le deepfake fait voler en éclats la parade du contre-appel et de la vérification visuelle. Désormais, l'appel téléphonique ou la visioconférence ne sont plus la vérification, ils deviennent le cœur de l'attaque. L'employé le plus méfiant peut être entièrement convaincu s'il croit voir et entendre son supérieur.

Des Scénarios d'Attaque Concrets en 2025

Scénario 1 : La Visioconférence "Urgente et Confidentielle" C'est le cas décrit en introduction. L'attaquant initie un appel vidéo surprise. Il utilise un deepfake en temps réel pour usurper l'identité du dirigeant. Il invente un prétexte pour la mauvaise qualité de l'image ("je suis en déplacement, mauvaise connexion") et formule sa demande de virement urgente et secrète, en s'appuyant sur l'autorité visuelle et vocale.

Scénario 2 : La Fraude au Fournisseur Augmentée L'attaquant appelle votre service comptable avec la voix clonée du responsable financier d'un de vos fournisseurs clés pour demander un changement de RIB. Si votre comptable exprime un doute et demande une confirmation par visioconférence, l'attaquant peut accepter et organiser un court appel vidéo avec un deepfake de ce même responsable pour "valider" la demande, rendant la supercherie presque indétectable.

Le Bouclier Humain et Procédural : Comment Déjouer l'Illusion

Face à une technologie capable de créer des illusions parfaites, la défense ne peut plus reposer sur nos sens. Elle doit s'appuyer sur des processus de vérification robustes et inviolables.

Voici la checklist de défense que chaque entreprise devrait mettre en place :

1. Instaurer une Procédure de "Contre-Appel" Systématique

C'est la règle d'or, étendue à tous les canaux. Pour toute demande de paiement inhabituelle, urgente ou sensible :

Ne faites jamais confiance à un appel ou une visioconférence entrant(e).

Raccrochez poliment.

Retrouvez le numéro de téléphone ou l'adresse e-mail de votre interlocuteur dans votre annuaire de confiance (CRM, répertoire officiel).

Prenez l'initiative de le recontacter sur ce canal connu pour valider verbalement la demande.

2. Utiliser un "Mot de Code" ou une Question Secrète

Pour les opérations les plus critiques, le dirigeant et le service financier peuvent convenir d'un mot de code ou d'une question/réponse simple et non-publique.

Exemple : Lors d'une visioconférence, le comptable doit pouvoir poser une question convenue à l'avance ("Quel était le nom de notre tout premier client ?"). Un deepfake ne peut pas connaître la réponse.

3. Former les Équipes à la Méfiance Saine

La sensibilisation est essentielle. Expliquez cette nouvelle menace à vos équipes. Apprenez-leur à se méfier instinctivement de toute demande qui combine urgence, secret et pression hiérarchique, même si la voix et le visage semblent authentiques. Entraînez-les à repérer les signes subtils d'un deepfake vidéo (mouvements oculaires peu naturels, éclairage étrange, artefacts autour du visage).

4. Sécuriser les "Échantillons Biométriques" (Voix et Visage)

Les dirigeants doivent être conscients que leurs interventions publiques (vidéos, podcasts, photos professionnelles) peuvent servir de matière première pour le clonage. Il ne s'agit pas de ne plus communiquer, mais de comprendre que son image et sa voix sont devenues des données sensibles.

Conclusion : L'Avenir de la Confiance à l'Ère de l'IA

Les deepfakes ne sont pas une menace futuriste, ils sont une réalité opérationnelle de 2025. Ils nous forcent à repenser notre rapport à la preuve numérique. Hier, entendre une voix ou voir un visage était une confirmation suffisante. Aujourd'hui, ce n'est plus le cas.

La parade à cette technologie de pointe n'est paradoxalement pas plus de technologie, mais plus de processus humains rigoureux. La culture de la double vérification, du contre-appel systématique et de la méfiance saine face à l'urgence devient la meilleure ligne de défense de l'entreprise.

Le défi pour les années à venir n'est pas seulement de sécuriser nos systèmes informatiques, mais de sécuriser le concept même de confiance dans nos communications.