A l’approche de la St Valentin, Kaspersky alerte sur les « romance scams », où des arnaqueurs abusent des bons sentiments de leurs victimes pour leur escroquer de l’argent. Le mois dernier déjà, l’arnaque au faux Brad Pitt ayant fait perdre plus de 800 000 euros à sa victime a fait couler beaucoup d’encre. Si certains visuels de cette « arnaque aux sentiments », alimentée par l’intelligence artificielle ont pu prêter à rire, elle a permis de mettre en lumière les conséquences désastreuses que peuvent entraîner les technologies deepfakes quand elles sont instrumentalisées par des malfaiteurs, même les moins aguerris d’entre eux.
Achat, opérations bancaires, création et consommation de contenus, etc. peu d’activités du quotidien n’ont pas été bouleversées par la prolifération rapide des systèmes avancés d’intelligence artificielle. Si les chatbots et les algorithmes possèdent de nombreuses applications utiles et améliorent globalement l'expérience des utilisateurs, ils sont également venus compléter l’arsenal malveillant des acteurs de la menace pour servir de nouvelles stratégies d’attaques d’ingénierie sociale toujours plus avancées.
Le rapport 2025 d’Entrust sur la fraude aux documents d’identité indique qu'une tentative d’attaque par deepfake a lieu en moyenne toutes les cinq minutes en moyenne. D’autre part, le Forum économique mondial indique que jusqu'à 90 % du contenu en ligne pourrait être généré artificiellement d'ici 2026. Cette course à l’IA alimente une nouvelle vague de cybermalveillances s’en prenant aussi bien aux particuliers qu’aux entreprises.
Trois façons dont l'IA est instrumentalisée par les arnaqueurs
Le phishing alimenté par IA
On ne présente plus les arnaques par hameçonnage, ces fraudes conçues pour inciter les victimes à divulguer leurs données de cartes bancaires et leurs identifiants en leur envoyant des messages se faisant passer pour des notifications émanant de banques, de fournisseurs de services, de systèmes de paiement électronique ou même de connaissances. Il y a quelques années encore, les ressources de phishing étaient génériques, sans aucun style, et truffées d'erreurs, les rendant facilement identifiables. Cette époque est révolue : les grands modèles de langage (LLM) permettent désormais aux attaquants de créer des messages et des pages personnalisés crédibles, avec une grammaire et une structure correctes. Avec les LLM, il est même devenu possible d‘imiter le style de personnes précises, qu’ils s’agissent de partenaires commerciaux, de collègues ou de proches, par l’analyse automatique des messages laissés par ces individus sur les réseaux sociaux, leurs commentaires ou d'autres contenus associés à leur identité. Côté visuels, les technologies d'IA offrent la possibilité de créer en quelques clics des visuels convaincants, ou même de construire des pages de renvoi complètes. Autant de ressources exploitées par les cybercriminels pour produire des documents rendant leurs manœuvres encore plus persuasives.
Les deepfakes audio
Les deepfakes sont des contenus artificiels dans lesquels l'IA reproduit de manière convaincante l'image ou la voix d'une personne. Il suffit de quelques secondes d'enregistrement vocal pour que l'IA puisse générer des clips audio imitant la voix d'une personne, ce qui ouvre la voie à toute sorte de détournement. Les extraits vocaux initiaux peuvent par exemple être tirés des archives de comptes de messagerie piratés. Les faux enregistrements sont ensuite utilisés pour faire pression sur la victime, la pousser à dévoiler des informations confidentielles, ou encore dans des attaques contre des banques qui utilisent des systèmes d'authentification vocale.
Les deepfakes vidéo
De la même façon, l’IA peut servir à créer des deepfakes vidéo à partir de très peu d’images. En suivant quelques tutoriels simples, une personne malveillante peut parvenir à intervertir des visages dans une vidéo, corriger les imperfections générées par l'IA et ajouter une voix réaliste au personnage figurant dans la vidéo. Les deepfakes vidéo, qu’il soit utilisé pour promouvoir de fausses publicités ou passer des appels vidéo frauduleux en se faisant passer pour un associé de confiance ou un intérêt amoureux sont autant de tactiques de manipulation qui peuvent entraîner des pertes considérables. De nombreux exemples très médiatisés d'attaques par deepfake ont déjà été révélés ces derniers mois, mettant en scène des hommes politiques, des chefs d'entreprises et des célébrités.
Les arnaques par deepfake ne se limitent pas aux escroqueries à l'investissement, et comme l’affaire Brad Pitt l’a mis en lumière, les cas d'escroquerie sentimentale, misant souvent sur la solitude ou l’altruisme des victimes, tendent à se multiplier. En utilisant des deepfakes vidéo et vocaux pour créer des personnages fictifs, interagir avec les victimes et gagner leur confiance, les arnaqueurs (ou brouteurs) finissent par quémander de l’argent, prétextant des urgences, des besoins pour un voyage, ou des prêts. Pour illustrer cette tendance, on peut prendre l’exemple du « gang du deepfake romance », un groupe d’une trentaine de personnes s’en prenant aux hommes célibataires, arrêté en octobre après avoir subtilisé 46 millions de dollars à des victimes de Taïwan à Singapour en passant par l'Inde.
Pour approfondir sur les menaces deepfakes, leur ampleur, les risques actuels et ceux à anticiper et échanger sur les mesures, techniques et non techniques qui existent pour y faire face, nous pouvons organiser un échange avec un des porte-paroles de Kaspersky.
