Un employé du service financier rejoint une visioconférence. Son directeur financier est à l'écran, entouré de plusieurs collègues qu'il reconnaît. La demande est claire : exécuter une série de virements urgents et confidentiels pour finaliser une acquisition. L'employé s'exécute. Quelques jours plus tard, la vérité éclate : aucun de ses interlocuteurs n'était réel. Tous étaient des deepfakes générés en temps réel.
Ce scénario n'est pas une fiction. Un cas largement médiatisé a vu une entreprise détourner des dizaines de millions de dollars de cette manière. La fraude au virement par fausse visioconférence est devenue l'une des menaces les plus redoutées des directions financières. Cet article décortique sa mécanique, ses signaux de détection en direct, et surtout les procédures qui la neutralisent.
De l'arnaque au président à la fraude au virement par deepfake
La fraude au président — ou « fraude au faux ordre de virement » — repose sur l'usurpation d'un dirigeant pour ordonner un paiement. Pendant des années, le vecteur était l'e-mail : une adresse falsifiée, un ton pressant, un prétexte de confidentialité. Les services financiers ont appris à s'en méfier.
Le deepfake en visioconférence fait sauter cette défense. Il ajoute la preuve par l'image et la voix, exactement ce qui manquait à l'e-mail pour emporter la conviction. Là où un message écrit laissait planer le doute, un visage familier qui parle en direct lève les dernières réticences. C'est une nouvelle déclinaison d'une menace ancienne, abordée plus largement dans notre panorama des arnaques aux deepfakes et comment s'en protéger.
L'ironie est cruelle : la consigne de prudence la plus répandue — « en cas de doute, demandez une visio » — devient le cheval de Troie de l'attaque. Le collaborateur a le sentiment d'avoir respecté la procédure, voire d'avoir fait preuve de zèle, alors qu'il a confirmé une fraude par le canal censé la déjouer. Comprendre ce renversement est essentiel : la défense ne peut plus reposer sur le seul fait de « voir » son interlocuteur, mais sur une chaîne de contrôle indépendante du contenu présenté à l'écran.
Anatomie de l'attaque, étape par étape
Phase 1 : la reconnaissance
Les fraudeurs collectent des informations publiques : organigramme, noms des dirigeants, photos, extraits vidéo de conférences ou d'interviews, notes vocales. Les réseaux sociaux professionnels et les sites d'entreprise fournissent l'essentiel du matériel. Ils identifient une cible interne — souvent un profil junior ou récemment arrivé au service comptable — et un prétexte crédible (acquisition, paiement fournisseur sensible, urgence réglementaire).
Phase 2 : l'amorçage
Le contact initial peut arriver par e-mail ou message, annonçant une réunion exceptionnelle. Le ton instaure d'emblée l'urgence et le secret. L'employé est mis en condition : on flatte sa discrétion, on lui confie une mission « stratégique ».
Phase 3 : la fausse visioconférence
C'est le cœur de l'attaque. Le ou les fraudeurs utilisent un logiciel de deepfake temps réel pour animer les visages des dirigeants usurpés, parfois plusieurs simultanément. La qualité audio est volontairement dégradée (« mauvaise connexion ») pour masquer les artefacts. La cible voit et entend des personnes qu'elle croit reconnaître, et reçoit des instructions précises.
Phase 4 : l'exécution et la dispersion
Les virements sont fragmentés vers plusieurs comptes, souvent à l'étranger, pour compliquer le rappel des fonds. L'argent est rapidement converti ou retiré. Le temps que la fraude soit découverte, les sommes sont hors d'atteinte.
Cette fenêtre temporelle est le nerf de l'attaque. Tout le scénario vise à comprimer le délai entre la demande et l'exécution, car chaque heure gagnée par les fraudeurs réduit les chances de rappel. C'est aussi pourquoi un simple délai de carence procédural — quelques heures imposées avant tout paiement vers un nouveau bénéficiaire — désamorce une part considérable de ces fraudes : il rend l'urgence inopérante, qui est pourtant le carburant de l'escroquerie.
Tableau : pourquoi la visio deepfake fonctionne là où l'e-mail échoue
| Levier psychologique | E-mail usurpé | Deepfake en visio |
|---|---|---|
| Preuve d'identité | Faible (adresse falsifiable) | Forte (visage et voix « reconnus ») |
| Pression sociale | Modérée | Élevée (présence de « témoins ») |
| Capacité de vérification | L'employé peut rappeler | Sentiment d'avoir déjà « vu » la personne |
| Détection par l'humain | Réflexes désormais répandus | Réflexes encore peu installés |
Détecter un deepfake pendant l'appel
La détection en direct est difficile mais pas impossible. Le cerveau capte souvent un malaise diffus avant de l'expliquer : il faut apprendre à transformer ce signal en vérification active.
Les signaux visuels à surveiller
- Synchronisation labiale imparfaite, surtout sur les sons explosifs (p, b, m).
- Clignements anormaux : trop rares, trop réguliers, ou absents.
- Contours du visage instables lors des mouvements rapides ou des rotations.
- Éclairage incohérent entre le visage et l'arrière-plan.
- Mains et visage qui n'interagissent jamais : un deepfake évite souvent qu'une main passe devant le visage, car l'occlusion révèle l'artefact.
Les signaux audio
Une voix clonée présente fréquemment un débit plat, une absence de respiration naturelle, des intonations émotionnelles incohérentes avec le propos. Pour approfondir, voyez comment détecter une voix clonée et un audio deepfake.
Les tests de vivacité en direct
Le test le plus efficace consiste à demander une action imprévisible : tourner la tête de profil complet, se lever, passer lentement une main devant le visage, attraper un objet. Les modèles temps réel peinent encore sur ces occlusions et ces angles extrêmes. Vous pouvez aussi poser une question dont seule la vraie personne connaît la réponse, hors de tout contexte public.
La clé, c'est l'imprévisibilité. Un fraudeur peut anticiper un « c'est bien toi ? » et préparer une réponse. Il ne peut pas anticiper, dans l'instant, une demande d'attraper un objet précis sur le bureau ou d'écrire un mot sur une feuille et de la montrer à la caméra. Plus la requête est concrète, physique et spontanée, plus il est difficile pour une chaîne de synthèse de suivre de façon crédible. Formulez ce test sur un ton calme et non accusateur — « notre procédure me demande une vérification rapide » — pour qu'il ne ressemble pas à une mise en cause et reste utilisable même face à un véritable dirigeant.
Les principes d'analyse image par image, applicables a posteriori à un enregistrement, sont détaillés dans détecter une vidéo deepfake : guide pratique.
Les procédures anti-fraude qui neutralisent l'attaque
Aucune vigilance individuelle ne remplace un processus robuste. La fraude au virement par deepfake exploite les failles de procédure plus que la crédulité. Voici le socle défensif.
La double validation systématique
Tout virement au-dessus d'un seuil défini doit être validé par deux personnes distinctes, selon un principe de séparation des tâches. Aucun dirigeant, aussi haut placé soit-il, ne doit pouvoir court-circuiter cette règle. L'argument « c'est confidentiel, n'en parlez à personne » doit être traité comme un signal d'alerte, jamais comme une autorisation.
La confirmation hors-bande
Tout ordre reçu en visioconférence ou par message doit être confirmé via un canal indépendant : un rappel sur la ligne interne connue du dirigeant, jamais sur le numéro fourni pendant l'appel suspect. Ce simple réflexe brise la quasi-totalité des scénarios.
Le mot de passe ou le code de validation
Certaines organisations instaurent un code partagé en interne, demandé pour toute transaction sensible. Un fraudeur qui ne le connaît pas est immédiatement démasqué, quel que soit le réalisme du deepfake.
Le délai de carence et la liste blanche
Les paiements vers de nouveaux bénéficiaires sont soumis à un délai de carence et à une validation renforcée. Les bénéficiaires habituels figurent sur une liste blanche, réduisant la surface d'attaque.
Ces mécanismes s'inscrivent dans une démarche plus large de sécurisation des flux et d'authentification documentaire, voisine des contrôles décrits dans banque et KYC : détecter documents et selfies falsifiés.
Le rôle de l'analyse forensique
Une visioconférence peut être enregistrée, et un enregistrement peut être analysé. Lorsque le doute survient — pendant ou après l'appel — soumettre le média à une analyse forensique multi-couches permet d'objectiver la suspicion. TruthLens détecte les artefacts de génération, les incohérences temporelles et les signaux propres aux modèles de synthèse, et produit un rapport certifié. Ce document a une double valeur : il oriente la décision en interne et constitue une preuve opposable face à une banque, un assureur ou la justice.
Au-delà de l'incident isolé, systématiser cette analyse construit une mémoire institutionnelle. Chaque cas vérifié documente les schémas des fraudeurs — prétextes employés, canaux exploités, comptes bénéficiaires ciblés — et alimente en retour la formation et les règles de détection. Une organisation qui traite chaque appel suspect comme une occasion d'apprentissage, plutôt que comme une gêne à enfouir, se renforce avec le temps. La vérification forensique n'est donc pas seulement un outil de réaction, mais une brique d'une boucle d'amélioration continue.
Vous pouvez soumettre un enregistrement ou un visuel suspect à TruthLens pour obtenir un verdict argumenté. Intégrée à une politique d'entreprise globale, cette capacité de vérification renforce le dispositif décrit dans protéger son entreprise contre les contenus IA frauduleux.
Construire une culture de résistance
La technologie et les procédures ne suffisent pas sans une culture interne qui légitime le doute. Trois principes structurent cette culture :
- Ralentir est un droit, pas une faute. Un employé qui suspend un paiement suspect protège l'entreprise et doit être soutenu.
- L'autorité ne dispense pas du contrôle. Plus une demande vient « d'en haut », plus la procédure compte.
- L'entraînement crée le réflexe. Des simulations régulières — fausses demandes de virement, faux appels — ancrent les bons comportements bien mieux qu'une note de service.
Les limites de la détection en temps réel
Il serait dangereux de promettre qu'un œil attentif suffit toujours à démasquer un deepfake en direct. Trois raisons l'expliquent.
D'abord, la qualité des modèles progresse vite, et les artefacts visibles d'hier disparaissent. Ensuite, les fraudeurs dégradent volontairement le flux — « ma caméra rame », « la connexion est mauvaise » — précisément pour masquer les indices. Enfin, le contexte de pression et de hiérarchie inhibe la vigilance : remettre en cause un dirigeant en pleine réunion demande un courage que peu d'employés osent mobiliser sans cadre clair.
C'est pourquoi la détection en direct doit être considérée comme une ligne de défense d'appoint, jamais comme la principale. Elle peut éveiller le soupçon ; elle ne doit pas porter seule la décision. La décision, elle, doit toujours pouvoir se reporter sur une procédure qui ne dépend pas de la qualité du deepfake.
Combiner perception et instrument
Quand un appel a éveillé le doute, la bonne pratique est double : suspendre toute exécution, puis objectiver le soupçon. Si l'appel a été enregistré, l'enregistrement peut être soumis à une analyse forensique. Cette combinaison — réflexe humain en première intention, analyse instrumentée en confirmation — offre une robustesse qu'aucune des deux approches n'atteint isolément. Les méthodes d'analyse a posteriori sont détaillées dans détecter une vidéo deepfake.
Construire un plan de réponse à incident
Au-delà de la prévention, toute organisation doit savoir réagir vite et sans improvisation quand une fraude est suspectée ou avérée.
Les premières minutes
- Geler les paiements en cours vers les bénéficiaires concernés.
- Préserver les preuves : enregistrement de la visio, journaux de connexion, e-mails et messages préparatoires.
- Contacter immédiatement la banque pour tenter un rappel des fonds, dont les chances décroissent d'heure en heure.
Les heures suivantes
- Faire analyser l'enregistrement pour documenter le caractère synthétique des intervenants.
- Déposer plainte et notifier les autorités compétentes.
- Informer en interne les personnes usurpées et les équipes exposées, pour prévenir une attaque de second rang.
Un rapport d'authenticité certifié facilite chacune de ces démarches, qu'il s'agisse de convaincre une banque d'agir vite ou d'étayer un dossier judiciaire. Ce plan s'intègre naturellement dans la politique globale décrite dans protéger son entreprise contre les contenus IA frauduleux.
FAQ
Un deepfake temps réel peut-il vraiment imiter plusieurs personnes en visio ?
Oui. Les outils actuels permettent d'animer plusieurs visages usurpés simultanément, créant l'illusion d'une réunion peuplée de « témoins ». C'est précisément cette mise en scène collective qui renforce la pression sociale et désarme la méfiance de la cible.
Quel est le signal de détection le plus fiable pendant un appel ?
Le test de vivacité : demander une action imprévue comme passer une main devant le visage ou tourner la tête de profil complet. Les modèles temps réel gèrent encore mal les occlusions et les angles extrêmes. Couplé à une confirmation hors-bande, ce réflexe neutralise la plupart des attaques.
La double validation suffit-elle à elle seule ?
C'est la mesure la plus efficace, mais elle doit être combinée à la confirmation hors-bande et à l'interdiction des dérogations. Une double validation contournable « parce que le PDG l'a demandé en personne » perd tout son intérêt. La force du dispositif tient à son caractère non négociable.
Comment prouver après coup qu'il s'agissait d'un deepfake ?
En soumettant l'enregistrement à une analyse forensique. TruthLens identifie les artefacts de synthèse et délivre un rapport certifié et horodaté, exploitable pour un dépôt de plainte, une déclaration à l'assureur ou une procédure de rappel de fonds auprès de la banque.