Les deepfakes vocaux représentent une nouvelle forme d’escroquerie reposant sur l’intelligence artificielle, qui gagne rapidement en popularité dans tous les secteurs d’activité.
Cette technologie permet de simuler une voix de manière si réaliste qu’elle devient pratiquement indiscernable de celle d’une personne réelle. Utilisée par des cybercriminels pour usurper l’identité d’une personne, elle sert souvent à réaliser des fraudes financières de grande ampleur, mais de plus en plus s’oriente vers une arnaque vers les particuliers.
Dans cet article, nous analyserons ce phénomène en profondeur, avec des exemples concrets, le mode opératoire des escrocs et des conseils pour se protéger.
Qu’est-ce qu’un Deepfake vocal ?
Un deepfake vocal est une imitation audio produite à l’aide de l’intelligence artificielle. En utilisant des algorithmes de deep learning et des échantillons de voix authentiques, cette technologie permet de recréer la voix d’une personne avec un réalisme stupéfiant.
Il suffit de quelques minutes d’enregistrement de la voix de la cible pour créer un modèle de synthèse capable de simuler intonations, timbre et accent. Les deepfakes vocaux s’inscrivent dans la lignée des deepfakes vidéo, qui modifient visuellement le visage ou le corps d’une personne dans une vidéo. Dans le cas des deepfakes vocaux, il s’agit d’un « faux » dialogue téléphonique ou vocal, souvent utilisé pour des usurpations d’identité ou pour tromper des entreprises et individus.
Les différences entre une deepfake Vidéo et un deepfake Vocal
La principale différence entre un deepfake vidéo et un deepfake vocal réside dans leur mode de création et leur utilisation. Tandis que les deepfakes vidéo demandent un niveau technique élevé et beaucoup de temps pour simuler les expressions faciales, les deepfakes vocaux sont beaucoup plus rapides et faciles à produire. En effet, générer un deepfake vocal peut se faire en quelques heures, rendant cette technique d’autant plus attrayante pour les cybercriminels.
Exemples d’escroqueries par Deepfake Vocal
L’affaire du directeur de banque aux Émirats arabes unis
En 2020, un directeur de banque aux Émirats Arabes Unis a été la victime d’une arnaque d’une ampleur exceptionnelle, entraînant une perte de 35 millions de dollars.
Les fraudeurs ont utilisé un deepfake vocal pour se faire passer pour le PDG d’une entreprise cliente de la banque. Se faisant passer pour le PDG au téléphone, les arnaqueurs ont persuadé le directeur de la banque de réaliser une série de virements pour financer un faux projet d’acquisition.
Pour donner plus de crédibilité, ils ont envoyé des e-mails « officiels » émanant d’autres responsables fictifs de l’entreprise. 17 personnes auraient été impliquées dans cette escroquerie sophistiquée.
La fraude au PDG en Allemagne
Un autre cas s’est déroulé en Allemagne, où des cybercriminels ont imité la voix d’un PDG pour contacter le directeur financier de sa filiale britannique. Ils lui ont demandé d’effectuer un virement de 220 000 € vers un fournisseur hongrois. Le directeur financier, pensant qu’il s’agissait de son supérieur hiérarchique, a effectué la transaction.
Ce n’est qu’après une deuxième tentative de virement que le directeur a remarqué une incohérence : l’appel provenait d’un numéro autrichien, ce qui a éveillé ses soupçons. Heureusement, le second transfert a été bloqué.
Une multinationale Chinoise trompée via vidéoconférence
En 2022, une multinationale chinoise a perdu 26 millions de dollars après qu’un employé de son département financier ait reçu un appel par vidéoconférence. Lors de cet appel, les escrocs ont simulé l’apparence et la voix de cadres supérieurs de l’entreprise. Les deepfakes utilisés étaient des vidéos préenregistrées, créées à partir de contenus disponibles sur YouTube. Pensant avoir affaire à ses supérieurs, l’employé a transféré les fonds vers les comptes désignés par les escrocs.
Quel est le mode opératoire utilisé ?
Le processus pour monter une fraude via deepfake vocal est assez méthodique et repose sur l’exploitation des failles humaines et technologiques :
- Collecte de la Voix : les criminels commencent par rassembler un maximum d’enregistrements de la voix de la cible. Cela peut être des vidéos YouTube, des podcasts, des interviews ou même des messages vocaux envoyés via des applications comme WhatsApp.
- Création du Modèle Vocal : une fois les échantillons obtenus, les cybercriminels utilisent des outils d’intelligence artificielle pour générer un modèle vocal de synthèse. Ces outils se basent sur des réseaux neuronaux pour analyser la tonalité, le timbre et les particularités de la voix, recréant un modèle très réaliste.
- Prise de Contact : les escrocs se font ensuite passer pour la cible (un PDG, un responsable de banque, etc.) et contactent les victimes via un appel vocal ou une vidéoconférence.
- Mise en Scène : afin de rendre l’arnaque crédible, ils n’hésitent pas à envoyer des e-mails frauduleux, des documents falsifiés et à mentionner des détails confidentiels pour renforcer la crédibilité de l’interlocuteur.
- Demande de Virement : l’objectif final est de convaincre la victime d’effectuer un virement d’argent ou de lui donner un accès privilégié à des informations sensibles.
Pourquoi est-ce que le deepfake vocal (voice) représente un danger ?
La technique des deepfakes vocaux est particulièrement dangereuse car elle exploite des failles technologiques et psychologiques tout en restant difficile à détecter. Contrairement aux deepfakes vidéo, qui nécessitent une grande puissance de calcul et des compétences avancées en manipulation d’image, les deepfakes vocaux se basent sur des modèles de réseaux neuronaux qui, avec seulement quelques minutes d’enregistrement de la voix de la cible, parviennent à recréer des intonations, des timbres, et des modulations spécifiques de la voix.
Cette précision est possible grâce aux techniques de génération d’audio par deep learning, comme le WaveNet de Google ou les modèles basés sur le transformer qui analysent les caractéristiques acoustiques et le comportement de la parole. Ce type de contenu synthétique peut ensuite être utilisé pour usurper l’identité vocale de n’importe qui, rendant l’escroquerie d’autant plus crédible.
L’attaque repose sur des algorithmes capables d’extraire et de combiner les éléments de la voix pour simuler des phrases ou des dialogues totalement inexistants, avec une capacité d’improvisation en temps réel grâce à l’IA. Les cybercriminels utilisent également des techniques comme la synthèse vocale paramétrique pour affiner les particularités régionales, l’accent et les intonations émotionnelles, augmentant ainsi le réalisme de la voix.
La capacité à générer ces voix en temps réel permet aux escrocs de mener des conversations téléphoniques bidonnées en se faisant passer pour la cible, contournant ainsi les méthodes de sécurité basées sur la reconnaissance vocale (comme les systèmes de validation vocale utilisés par les banques). Le problème est aggravé par la facilité d’accès à ces outils, souvent disponibles en ligne et parfois même sous forme d’API intégrées dans des plateformes comme Respeecher ou Lyrebird.
Cette simplicité d’utilisation combinée à l’efficacité des modèles pré-entraînés sur des bases de données vocales massives fait que n’importe quel individu peut se lancer dans ce type d’escroquerie sans expertise technique poussée.
Ainsi, un deepfake vocal ne nécessite que quelques heures pour être prêt, et les attaques peuvent se dérouler très rapidement, avec des conséquences potentiellement dévastatrices, car les victimes ont tendance à faire confiance à la voix bien plus qu’à un simple message écrit, rendant cette méthode d’autant plus insidieuse.
A lire aussi : Arnaque « Wangiri » : Pourquoi recevons-nous des appels qui raccrochent après quelques secondes ?
Entreprise : comment se protéger des deepfakes vocaux ?
Établir des protocoles de vérification
Les entreprises doivent mettre en place des procédures strictes de vérification, notamment pour les demandes de virements financiers. Par exemple, tout virement doit être validé par au moins deux personnes ou être suivi d’un appel de confirmation sur un numéro préalablement enregistré.
Utiliser des méthodes d’authentification renforcées
L’adoption de systèmes d’authentification multi-facteurs est une solution efficace. Les employés peuvent utiliser des appareils biométriques, des mots de passe à usage unique (OTP), ou des questions de sécurité personnalisées pour confirmer leur identité.
Former les collaborateurs
La formation est essentielle. Sensibiliser les employés aux dangers des deepfakes vocaux et leur apprendre à reconnaître les signaux d’alarme (appels provenant de numéros inhabituels, demandes de virements urgents, etc.) est crucial.
Analyser les schémas de communication
Les outils d’analyse de la voix peuvent être utilisés pour détecter des anomalies dans le ton, le rythme ou l’accentuation de la voix. Ces outils, encore en développement, permettront de reconnaître les voix synthétisées de manière automatisée.
Particuliers : comment se protéger des deepfakes vocaux de votre « entourage » ?
Pour les particuliers, se protéger des deepfakes vocaux nécessite une combinaison de vigilance, de bonnes pratiques et d’utilisation de technologies sécurisées. Voici les principales mesures à adopter :
1. Vérification de l’identité par plusieurs canaux
Ne faites pas confiance uniquement à la voix, même si elle semble familière. Si un proche ou un représentant vous appelle avec une demande inhabituelle (transfert d’argent, demande d’information confidentielle), raccrochez immédiatement et contactez-le par un autre canal (SMS, e-mail, ou directement via un autre numéro que vous connaissez). Cette étape permet de vérifier l’authenticité de la demande.
2. Limiter l’accès à vos informations personnelles
Faites attention aux informations que vous partagez en ligne, même sur des plateformes apparemment anodines comme les réseaux sociaux. Les cybercriminels utilisent souvent ces données pour rendre leurs attaques plus crédibles. Évitez de publier des détails comme votre emploi, vos relations familiales, ou des enregistrements audio (ex. : vidéos, podcasts) qui pourraient être utilisés pour entraîner un modèle de synthèse vocale.
3. Mettre en place des mots de passe ou des codes de sécurité pour les échanges téléphoniques
En particulier avec les membres de la famille, il peut être judicieux d’établir un code de sécurité qui doit être mentionné en cas d’urgence. Par exemple, un simple mot-clé que seuls vous et la personne concernée connaissez, et qui doit être demandé pour vérifier l’identité de l’interlocuteur.
4. Utiliser des outils de détection de deepfake
Bien que la technologie de détection des deepfakes vocaux en soit encore à ses débuts, certains outils, comme les analyseurs de spectrogramme et les logiciels de détection d’anomalies dans les fréquences vocales, commencent à émerger. Ces outils, développés par des entreprises de cybersécurité, peuvent détecter des patterns de synthèse vocale non naturels.
5. Sensibiliser les proches et les personnes âgées
Les cybercriminels ciblent souvent les personnes les plus vulnérables, comme les personnes âgées, qui peuvent ne pas être au courant de ces techniques sophistiquées. Expliquez-leur les risques de deepfakes vocaux et la nécessité de ne jamais divulguer d’informations personnelles ou d’effectuer des paiements suite à un simple appel téléphonique, même si la voix semble connue.
6. Activer des notifications bancaires
Pour limiter les risques de fraude financière, activez des notifications en temps réel pour tout mouvement d’argent sur vos comptes. En cas de transaction suspecte, vous serez immédiatement alerté et pourrez réagir rapidement.
7. Toujours vérifier l’origine des appels
Faites attention aux numéros masqués ou aux appels provenant de numéros internationaux non familiers. Utilisez des applications comme Truecaller pour identifier les numéros suspects et, si nécessaire, bloquez-les.
8. Privilégier les systèmes d’authentification multi-facteurs (MFA)
Utilisez, quand c’est possible, des systèmes de vérification multi-facteurs pour les accès sensibles (comptes bancaires, e-mails, etc.). Un code d’authentification envoyé sur votre téléphone, une validation par empreinte digitale ou un dispositif de sécurité physique (comme les clés Yubikey) ajoutent une couche de protection supplémentaire contre les tentatives d’usurpation d’identité.
Le conseil principal pour éviter l’arnaque : en cas de doute, raccrocher immédiatement ou ne répondez pas au message audio.
Si vous sentez quelque chose de bizarre (intonations inhabituelles, bruit de fond, ou phrases qui ne correspondent pas au comportement habituel de la personne), raccrochez immédiatement et contactez la personne directement via un autre moyen de communication. Ne cédez jamais à la pression ou à l’urgence.
Que faire si j’en suis la victime ?
Si vous pensez avoir été victime d’une escroquerie par deepfake vocal, il est essentiel d’agir rapidement pour limiter les dommages potentiels. Voici les étapes clés à suivre pour réagir de manière efficace :
1. Raccrochez et documentez immédiatement l’appel
Si vous réalisez au cours de l’appel que vous êtes victime d’un deepfake vocal, raccrochez immédiatement. Notez les détails de l’appel, tels que la date, l’heure, le numéro appelant, ainsi que les éléments inhabituels qui vous ont mis la puce à l’oreille (intonations étranges, incohérences dans le discours). Ces informations seront cruciales pour les enquêtes futures.
2. Contactez les services concernés
Si vous avez divulgué des informations sensibles (numéro de compte, identifiants, mots de passe, etc.) ou effectué un virement, contactez immédiatement votre banque ou l’institution financière concernée. Expliquez-leur la situation pour qu’ils puissent bloquer les transactions suspectes et, si nécessaire, geler votre compte le temps de vérifier l’origine des mouvements.
3. Changez immédiatement vos identifiants et mots de passe
Si vous avez communiqué des informations de connexion (identifiants, mots de passe, PIN), changez-les immédiatement. Veillez à choisir des mots de passe complexes et uniques pour chaque compte et activez l’authentification à deux facteurs (2FA) si possible. Cela rendra l’accès aux comptes plus difficile pour les fraudeurs.
4. Signalez l’incident aux autorités
Déclarez l’escroquerie aux services de police ou aux organismes spécialisés dans la lutte contre la cybercriminalité, comme le site Cybermalveillance.gouv.fr en France. Fournissez tous les détails de l’incident et, si possible, les enregistrements ou captures d’écran des interactions. Le signalement rapide peut aider à empêcher les escrocs de réutiliser les informations volées pour d’autres arnaques.
5. Informez les personnes concernées
Si l’arnaque a impliqué l’usurpation de la voix d’une personne que vous connaissez (membre de votre famille, collègue, dirigeant), prévenez immédiatement la personne concernée. Elle pourrait être utilisée comme « fausse identité » pour d’autres fraudes. Cette communication permet également de sensibiliser les autres membres de votre entourage à ce type de manipulation.
6. Surveillez vos comptes bancaires et activités en ligne
Après une tentative d’escroquerie par deepfake vocal, il est crucial de surveiller de près tous vos comptes bancaires, e-mails et comptes de réseaux sociaux pendant plusieurs semaines. Activez des alertes pour être immédiatement notifié de toute activité suspecte. Si vous remarquez des connexions inhabituelles ou des transactions non autorisées, contactez votre banque ou votre fournisseur de services.
7. Demandez l’assistance d’un expert en cybersécurité
Dans le cas où l’escroquerie est complexe ou a entraîné des pertes significatives, envisagez de faire appel à un expert en cybersécurité pour auditer votre réseau et vos comptes. Ils pourront évaluer si d’autres failles de sécurité ont été exploitées et vous conseiller sur les mesures de protection à mettre en place.
8. Envisagez de porter plainte
Si vous avez subi un préjudice financier ou moral, déposez une plainte officielle auprès des autorités compétentes. Cela permettra de lancer une enquête et, potentiellement, de retrouver les responsables. N’oubliez pas de conserver toutes les preuves (e-mails, captures d’écran, enregistrements de voix, relevés de comptes) qui pourront appuyer votre dossier.
9. Garder trace des communications
Enregistrez tous les échanges que vous avez eus avec votre banque, les services d’assistance et les autorités. Ces informations vous seront utiles pour suivre l’évolution de la plainte et les démarches en cours.
10. Prévenir votre entourage et sensibiliser :
Partagez votre expérience avec vos amis, famille et collègues pour les sensibiliser à ce type de menace. En expliquant ce qui vous est arrivé, vous les aidez à mieux se protéger contre les arnaques similaires.
En réagissant rapidement et en prenant ces mesures, vous maximisez vos chances de limiter les impacts de l’escroquerie des deep fakes vocaux, tout en contribuant à la lutte contre ce phénomène de plus en plus répandu.