Sécurité · Fraude IA

Deepfakes et arnaques à la voix : reconnaître et se protéger

17 juillet 2026 · 6 min de lecture

Illustration des deepfakes et des arnaques à la voix clonée

Un deepfake est un faux contenu audio ou vidéo généré par IA qui imite une vraie personne, et les arnaques à la voix clonée s'en servent pour extorquer des virements ou des informations confidentielles. Le principe est simple : un escroc fait croire que tu parles à ton patron, à ta banque ou à un proche, alors que tu écoutes une machine qui rejoue leur voix. Le danger ne vient pas de la technologie elle-même, qui est neutre, mais de l'usage qu'on en fait pour tromper ta vigilance.

Comment une voix se clone

Le terme deepfake combine deep learning (apprentissage profond, la méthode d'entraînement de l'IA) et fake (faux). Un modèle s'entraîne sur des enregistrements d'une personne, puis génère une nouvelle voix qui reproduit son timbre, son rythme et ses intonations.

Ce qui a changé, c'est la quantité de matière nécessaire. Des recherches de l'éditeur de sécurité McAfee ont montré qu'environ trois secondes d'audio suffisent à produire un clone convaincant. Trois secondes, c'est la durée d'un « allô, c'est moi » laissé sur un répondeur.

Or cette matière est partout. Une interview, une vidéo d'entreprise, un podcast, une story sur les réseaux sociaux, un message vocal transféré : tout extrait public ou semi-public devient une source d'entraînement. Plus une personne est exposée en ligne, plus sa voix est facile à reproduire.

Les arnaques qui existent déjà

Deux scénarios reviennent en boucle, et ils ne sont pas hypothétiques.

Le premier est la fraude au faux dirigeant. Un employé de la comptabilité reçoit un appel ou une visioconférence de son PDG qui ordonne un virement urgent et confidentiel. La voix est la bonne, le ton pressant aussi. En 2024, la firme d'ingénierie Arup en a fait les frais : un employé de son bureau de Hong Kong a participé à une visioconférence où plusieurs collègues, dont le directeur financier, étaient en réalité des deepfakes construits à partir de vidéos publiques. Croyant obéir à sa direction, il a exécuté quinze virements pour un total d'environ 25 millions de dollars (200 millions de dollars de Hong Kong). L'affaire, révélée par la police de Hong Kong en février 2024 puis confirmée par Arup en mai 2024, reste l'un des cas documentés les plus coûteux à ce jour.

Le second cible les particuliers. Un parent reçoit un appel de son enfant, en larmes, qui dit avoir eu un accident et réclame de l'argent tout de suite. La voix semble authentique parce qu'elle l'est : c'est un clone. La cible panique et paie avant de réfléchir.

Les signaux d'alerte

Les arnaques à la voix clonée partagent presque toujours la même mécanique psychologique. Repère ces trois ingrédients, ils fonctionnent ensemble :

  • L'urgence. « C'est maintenant ou jamais », « la fenêtre se ferme dans une heure ». La pression du temps sert à court-circuiter ta réflexion.
  • Le secret. « Surtout, n'en parle à personne », « c'est confidentiel, même la direction n'est pas au courant ». Le but est de t'isoler pour que personne ne te freine.
  • Le canal inhabituel. Une demande qui sort du circuit normal : un virement par téléphone alors que tout passe d'habitude par un outil interne, un numéro qui n'est pas le bon, un horaire bizarre.

Aucun de ces signaux ne prouve à lui seul une fraude. Mais les trois réunis, autour d'une demande d'argent ou d'informations sensibles, doivent déclencher l'alarme.

Le scénario chez M&M

Sophie, à la comptabilité de Maisons&Mobilia, reçoit un mardi soir un appel de Pierre, le dirigeant. La voix est exactement la sienne. Il explique qu'une acquisition discrète est en cours, qu'un acompte de 80 000 euros doit partir avant minuit vers un nouveau fournisseur, et qu'elle ne doit en parler à personne tant que rien n'est signé.

Tous les signaux sont là : urgence (avant minuit), secret (ne parle à personne), canal inhabituel (Pierre ne demande jamais un virement par téléphone). Sophie ne discute pas avec son interlocuteur. Elle raccroche, rappelle Pierre sur son numéro de portable habituel, celui enregistré depuis des années. Pierre décroche, surpris : il n'a passé aucun appel. La fraude est arrêtée net, sans avoir coûté un centime.

Cinq réflexes qui protègent

La parade ne demande aucune compétence technique, juste des procédures décidées à froid, avant l'attaque.

RéflexeCe qu'il bloque
Un mot de passe convenu en interne ou en familleUn appelant qui ne le connaît pas est démasqué
La double validation de tout virementAucun paiement ne dépend d'une seule personne sous pression
Rappeler le vrai numéro connuCoupe l'escroc et te remet face à la vraie personne
Ne jamais agir seul dans l'urgenceCasse le secret et l'isolement recherchés par la fraude
Limiter l'audio public quand c'est possibleRéduit la matière disponible pour cloner une voix

Le réflexe le plus efficace tient en une phrase : devant une demande d'argent urgente et secrète, prends le temps de vérifier par un autre canal. Ce délai, que l'escroc veut t'empêcher de prendre, est précisément ce qui le fait échouer.

La même technologie, en mieux

Le clonage de voix n'est pas qu'une arme. La même technologie sert au doublage de films dans plusieurs langues, redonne la parole à des personnes qui l'ont perdue à cause d'une maladie, et permet à des créateurs de produire des livres audio ou des contenus sans réenregistrer chaque ligne. C'est un outil neutre. Ce qui en fait une fraude, c'est l'intention de tromper et l'absence de consentement de la personne imitée.

Aller plus loin

Si tu veux comprendre l'écosystème autour de ces menaces, plusieurs sujets se répondent. Pour repérer un visuel truqué, vois reconnaître une image générée par IA. Côté usage professionnel, les agents IA qui agissent à ta place doivent eux aussi être encadrés : lis les garde-fous des agents IA et, pour une attaque plus technique qui détourne un agent par du texte piégé, la prompt injection. Enfin, qui possède une voix ou un visage cloné touche à l'IA et le droit d'auteur.

La vigilance n'est pas une affaire d'experts. C'est une habitude : douter d'une voix pressée qui réclame de l'argent en secret, et vérifier autrement. L'app saisir.ai t'aide à muscler ces réflexes face à l'IA générative, en quelques minutes par jour.

Questions fréquentes

C'est quoi un deepfake exactement ?
Un deepfake est un faux contenu audio ou vidéo généré par IA qui imite l'apparence ou la voix d'une vraie personne. Le terme vient de l'anglais deep learning (apprentissage profond) et fake (faux). L'IA s'entraîne sur des images ou des enregistrements existants d'une personne, puis produit un nouveau contenu où elle semble dire ou faire des choses qu'elle n'a jamais dites.
Combien d'audio faut-il pour cloner une voix ?
Très peu. Des recherches de l'éditeur de sécurité McAfee ont montré qu'environ trois secondes d'audio suffisent à produire un clone de voix convaincant. Un message vocal, une vidéo publiée en ligne ou un extrait de réunion enregistrée donnent largement assez de matière. C'est pour cela que personne n'est à l'abri, pas seulement les célébrités.
Comment vérifier qu'un appel suspect est bien la vraie personne ?
Raccroche et rappelle la personne sur son numéro habituel, celui que tu connais déjà, jamais celui affiché par l'appel suspect. Tu peux aussi poser une question dont seul le vrai interlocuteur connaît la réponse, ou utiliser un mot de passe convenu à l'avance en interne. Un fraudeur ne supportera pas ce contrôle et raccrochera.
Que faire si on a déjà fait le virement demandé par un deepfake ?
Contacte ta banque immédiatement pour tenter de bloquer ou rappeler le virement, les premières heures comptent. Préviens ta hiérarchie et le service informatique sans tarder, sans laisser la honte ou la peur te faire perdre du temps. Dépose plainte : même si les fonds sont rarement récupérés, le signalement aide à tracer les réseaux et à protéger les prochaines cibles.

Termes du glossaire