Table des matières
Le phishing évolue. Là où de simples e-mails truffés de fautes suffisaient autrefois à piéger des victimes, les pirates s’appuient désormais sur des technologies de pointe pour renforcer leur crédibilité. En première ligne : les deepfakes, ces contenus audio ou vidéo générés par intelligence artificielle, qui permettent de mimer à la perfection une voix ou un visage. Résultat : le phishing devient plus ciblé, plus réaliste… et plus difficile à détecter.
Les deepfakes permettent d’imiter des dirigeants ou collègues
Les attaques les plus redoutables utilisent des deepfakes pour usurper l’identité de personnes de confiance : un PDG, un responsable financier, un partenaire commercial. Grâce à l’IA générative, un pirate peut créer une vidéo crédible où le dirigeant d’une entreprise donne un ordre de virement… ou une note vocale qui semble authentique.
Ces attaques, connues sous le nom de « fraude au président augmentée », exploitent des outils capables de cloner une voix en quelques secondes à partir de quelques extraits audio publics (interviews, vidéos YouTube, etc.).
Une nouvelle forme de phishing vocal et vidéo, indétectable à première vue
Contrairement aux e-mails frauduleux traditionnels, les deepfakes ne comportent pas de fautes ou d’incohérences linguistiques. Ils sont souvent parfaitement fluides, émotionnellement convaincants, et adaptés au contexte de l’entreprise. Il devient donc difficile, même pour un professionnel expérimenté, de repérer la supercherie à chaud.
Les cybercriminels les utilisent notamment :
- Pour simuler un appel WhatsApp ou Zoom et accélérer une procédure urgente
- Pour envoyer un message vocal qui incite à divulguer un mot de passe ou à contourner une procédure interne
- Pour faire croire à une réorganisation ou un événement exceptionnel qui justifie une action hors cadre
Les cibles ne sont plus seulement les dirigeants
Avec l’accessibilité croissante des outils d’IA, les deepfakes ne sont plus réservés aux attaques sophistiquées contre les grandes entreprises. Des collaborateurs lambda peuvent désormais être visés, notamment dans les services comptables, RH ou clients.
Une simple vidéo d’un “responsable” demandant une mise à jour urgente du RIB ou l’envoi de fichiers confidentiels peut suffire à tromper un salarié. Les pirates misent sur l’effet de panique ou l’autorité supposée de la personne imitée.
Une complexification des attaques qui contourne les filtres traditionnels
Les antivirus, antispams et filtres SMTP classiques sont inefficaces contre ce type de phishing, car les contenus sont diffusés en dehors des canaux habituels (messages vocaux, appels vidéos, réseaux sociaux). Le deepfake s’insère dans un scénario de social engineering plus large, souvent orchestré sur plusieurs jours, avec des échanges crédibles.
Cette évolution rend les campagnes de sensibilisation basiques obsolètes. Il ne s’agit plus seulement d’apprendre à repérer un e-mail louche, mais de remettre en cause toute communication inhabituelle, même si elle semble venir d’un visage connu.
Les entreprises doivent adapter leur politique de sécurité interne
Face à ces attaques nouvelles, les mesures techniques ne suffisent plus. Il devient crucial de :
- Mettre en place des procédures de vérification systématiques pour les ordres sensibles (double validation, appels croisés, vérifications manuelles)
- Former les équipes à douter d’un contenu “trop parfait” et à signaler toute communication inhabituelle
- Utiliser des outils de détection de deepfake pour analyser les messages suspects
- Sécuriser la présence en ligne des dirigeants (limiter les vidéos publiques, verrouiller les réseaux sociaux, etc.)