Des criminels utilisent des voix et vidéos générées par l'IA pour usurper l'identité de dirigeants et détourner des millions. Quelles sont les implications juridiques – et comment les entreprises peuvent-elles se protéger ?
Quand le patron appelle – mais que ce n'est pas vraiment le patron
Imaginez la situation suivante : vendredi après-midi, juste avant la fin de la journée de travail. Le directeur financier de votre entreprise reçoit un appel téléphonique. À l'autre bout du fil : la voix familière du directeur général. Le ton, le rythme de parole, même le léger accent régional – tout correspond. Le directeur général demande de toute urgence un virement. C'est strictement confidentiel, la pression du temps est énorme. Le directeur financier effectue le virement. Le problème : le directeur général n'a jamais appelé. La voix était une contrefaçon générée par l'IA – un deepfake.
Ce qui ressemblait à de la science-fiction il y a quelques années à peine est aujourd'hui une réalité amère. La technologie deepfake a atteint un niveau de maturité capable de tromper même des employés formés. Pour les entreprises, cela crée un risque financier, juridique et réputationnel considérable. Cet article analyse des cas réels, examine le cadre pénal et présente des mesures de protection concrètes.
Cas réels : quand les deepfakes coûtent des millions
L'entreprise énergétique britannique (2019)
L'un des premiers cas documentés de fraude par deepfake s'est produit en 2019 dans une entreprise énergétique britannique. Des criminels ont utilisé la technologie de clonage vocal basée sur l'IA pour imiter la voix du PDG de la société mère allemande. Le directeur général de la filiale britannique a reconnu la voix familière de son supérieur – le léger accent allemand, la mélodie de la parole – et a transféré environ 220 000 livres sterling sur un compte en Hongrie. De là, l'argent a été immédiatement redirigé vers le Mexique, puis réparti sur d'autres comptes. L'affaire n'a été rendue publique que par l'assureur Euler Hermes.
Le cabinet d'ingénierie Arup à Hong Kong (2024)
En février 2024, un cas encore plus spectaculaire a été révélé : un employé du cabinet d'ingénierie britannique Arup à Hong Kong a participé à une vidéoconférence avec son directeur financier et plusieurs collègues. Tous les participants semblaient authentiques – mais leurs visages, voix et gestes étaient entièrement générés par l'IA. L'employé a approuvé des virements totalisant 25 millions de dollars américains. Ce n'est qu'une semaine plus tard, en vérifiant auprès du siège, que la fraude a été découverte. Comme l'a rapporté CNN, la police de Hong Kong a arrêté six suspects.
Un phénomène croissant
Ces cas ne sont pas des incidents isolés. L'Office fédéral de police criminelle (BKA) a enregistré une augmentation significative des infractions de fraude assistées par l'IA dans son rapport fédéral sur la cybercriminalité 2024. Selon Bitkom, les dommages annuels causés par les cyberattaques en Allemagne s'élèvent à 178,6 milliards d'euros. L'utilisation de l'IA générative par les criminels est considérée comme particulièrement préoccupante.
Qualification pénale
§ 263 StGB – Escroquerie (Betrug)
La fraude au président assistée par deepfake remplit régulièrement les éléments constitutifs de l'escroquerie selon le § 263 du Code pénal allemand (StGB). L'auteur crée une erreur dans l'esprit de la victime par l'utilisation d'une identité falsifiée, amenant la victime à effectuer un acte de disposition patrimoniale (le virement), entraînant un préjudice financier. Dans les cas particulièrement graves – notamment en cas d'activité professionnelle ou en bande organisée – une peine d'emprisonnement de six mois à dix ans peut être prononcée.
§ 263a StGB – Fraude informatique (Computerbetrug)
Lorsque l'attaque deepfake manipule des systèmes automatisés – par exemple, lorsque la voix falsifiée contourne un système d'authentification vocale – le § 263a StGB (fraude informatique) peut également s'appliquer. Cette disposition couvre l'influence sur le résultat d'un processus de traitement de données par une conception inappropriée de programmes, l'utilisation de données incorrectes ou une interférence non autorisée.
§ 267 StGB – Faux en écriture (Urkundenfälschung)
Il est également débattu si les fichiers vidéo ou audio générés par deepfake peuvent constituer un faux en écriture (§ 267 StGB). L'opinion dominante considère que les fichiers numériques ne constituent pas des documents au sens classique du terme. Cependant, l'utilisation de deepfakes pour produire des documents inauthentiques (comme des enregistrements de vidéoconférence falsifiés utilisés comme preuves) peut tout à fait devenir pertinente.
Responsabilité civile
Au-delà de la poursuite pénale des auteurs, la question de la responsabilité civile se pose pour les entreprises. Qui est responsable lorsqu'un employé tombe dans le piège d'un deepfake ? En principe, un employé n'est responsable qu'en cas de faute lourde. L'entreprise, en revanche, doit répondre de la question de savoir si elle a mis en place des mesures de protection organisationnelles adéquates – le terme clé étant la faute organisationnelle (Organisationsverschulden).
Le rôle de la gouvernance d'entreprise
Le principe des quatre yeux comme norme minimale
La protection organisationnelle la plus importante contre la fraude au président assistée par deepfake est l'application systématique du principe des quatre yeux (Vier-Augen-Prinzip) pour les approbations de paiement. Aucun virement – quelle que soit l'urgence prétendue – ne devrait être effectué sans une seconde autorisation indépendante.
Établir des procédures de rappel
Pour les ordres de paiement exceptionnels, une procédure de rappel (Callback) contraignante devrait s'appliquer : l'employé concerné rappelle le prétendu donneur d'ordre à un numéro de téléphone enregistré séparément – et non au numéro d'où provenait l'appel.
Formation et sensibilisation
L'Office fédéral de la sécurité des technologies de l'information (BSI) recommande des formations régulières au cours desquelles les employés apprennent à reconnaître les caractéristiques typiques des deepfakes. Celles-ci comprennent :
- Une urgence inhabituelle et des consignes de confidentialité
- Des écarts de qualité d'image lors des vidéoconférences (artefacts aux bords du visage, mouvements de lèvres non naturels)
- Des anomalies vocales (légers retards, intonation monotone, absence de bruits de respiration)
- Des demandes de contourner les processus d'approbation établis
Détection et prévention techniques
L'IA contre l'IA
La détection technique des deepfakes évolue parallèlement à la menace. Les systèmes de détection modernes analysent notamment :
- Des analyses de fréquences de la piste audio (les voix générées par l'IA présentent des motifs caractéristiques dans le spectre de fréquences)
- Des analyses faciales en temps réel (micro-mouvements, fréquence de clignement, texture de la peau)
- L'examen des métadonnées des médias pour détecter des traces de manipulation
- Des technologies de filigrane pour les communications d'entreprise authentiques
Authentification multifacteur
Pour les processus commerciaux critiques, une authentification multifacteur allant au-delà de la voix et de l'image est recommandée. Celle-ci peut inclure :
- La vérification via des mots de code convenus à l'avance, régulièrement modifiés
- L'utilisation de canaux de communication chiffrés avec identité vérifiée
- Des méthodes biométriques comme couche de sécurité supplémentaire
Couverture d'assurance : la police cyber paie-t-elle ?
Un aspect fréquemment sous-estimé est la question de la couverture d'assurance. Les polices cyber classiques couvrent généralement les dommages liés aux attaques informatiques et aux pertes de données. La fraude au président assistée par deepfake se situe cependant dans une zone grise : l'attaque réelle opère par ingénierie sociale – la manipulation d'une personne, et non d'un système technique.
De nombreuses polices limitent la couverture des dommages liés à l'ingénierie sociale à des sous-limites – la couverture totale peut s'élever à dix millions d'euros, mais la protection contre une fraude assistée par l'IA peut être plafonnée à 250 000 euros. Les entreprises devraient donc examiner leurs polices existantes spécifiquement sur les points suivants :
- L'ingénierie sociale est-elle explicitement couverte ?
- Existe-t-il une couverture pour les scénarios spécifiques aux deepfakes ?
- Quelles sont les sous-limites pour les préjudices financiers liés à la manipulation ?
- Quelles obligations (par ex. attestations de formation, processus d'approbation mis en place) doivent être remplies ?
Le cadre réglementaire en évolution
Le règlement européen sur l'intelligence artificielle (AI Act, règlement (UE) 2024/1689) introduit de nouvelles obligations de transparence à partir d'août 2026. Les deepfakes devront à l'avenir être signalés comme tels. Toute personne créant des deepfakes sans le divulguer risque des amendes pouvant atteindre 35 millions d'euros ou sept pour cent du chiffre d'affaires annuel mondial. Pour les entreprises, cela implique également un devoir de préparation technique : des systèmes de détection et d'étiquetage des contenus générés par l'IA doivent être mis en place.
Conclusion : agissez maintenant
La fraude assistée par deepfake n'est pas une menace lointaine – c'est le présent. Les cas de 2019 et 2024 démontrent que même des employés expérimentés de grandes entreprises peuvent être trompés. Ceux qui souhaitent se protéger ont besoin d'une approche multicouche : mesures organisationnelles (principe des quatre yeux, procédures de rappel), détection technique, formations régulières et couverture d'assurance adaptée. Les attaques par deepfake sont pénalement poursuivables en vertu des §§ 263, 263a StGB – mais l'enquête et la poursuite de groupes criminels opérant à l'international restent difficiles.
Chez compleneo, nous vous accompagnons dans l'évaluation juridique des risques liés aux deepfakes, la conception de processus d'approbation sécurisés et l'examen de votre couverture d'assurance. Contactez-nous.
