Deepfakes, smishing : comment l'IA industrialise les arnaques en ligne

Les arnaques en ligne ne ciblent plus seulement les dirigeants : boostées par l'intelligence artificielle, elles deviennent massives, personnalisées et de plus en plus difficiles à détecter. Lors d'un Cybertalk organisé par Riskintel Media, Arnaud Loubatière, Country Manager France chez SoSafe, décrypte ce phénomène et les leviers pour s'en protéger.

« Je pense qu'il y a 90% des Français qui ont eu leur fuite de données au moins téléphonique, nom et prénom, qui sont évaporées dans la nature sur l'été 2025 », estime Arnaud Loubatière.

Pour une PME, le coût global d'une cyberattaque s'élève en moyenne autour de 400 000 €, des pertes qui peuvent signer l'arrêt de mort d'une entreprise. Face à la massification des arnaques en ligne de plus en plus boostées par l'IA, le risque cyber n'en est que plus élevé. Dans un tel contexte où la cybersécurité est l'affaire de tous : la sensibilisation est essentielle.

Une massification et une personnalisation des arnaques

Premier constat sur les dernières années : les arnaques en ligne sont plus nombreuses et touchent l'ensemble des individus. Alors que les attaques ont longtemps été limitées aux échelons supérieurs des organisations, elles concernent aujourd'hui l'entièreté des salariés, quel que soit leur revenu ou leur position au sein de l'entreprise. Les cyberattaques deviennent l'affaire de « Monsieur et Madame tout le monde ». « Jusqu'à présent, explique Arnaud Loubatière, on avait ce genre d'attaques qui se faisait au niveau de ce que j'appelle "la fraude au président", à des niveaux dans les hiérarchies qui étaient assez élevés. Aujourd'hui, ça peut toucher tout le monde ». Les attaques ne sont plus limitées au domaine professionnel mais touchent aussi le domaine privé avec des fuites de données de grande ampleur et de plus en plus fréquentes qui ciblent les informations personnelles de particuliers.

À lire aussi : SASE : comment l'architecture cloud redéfinit la sécurité des accès en entreprise

Deuxième constat : les arnaques sont davantage personnalisées. Prenons l'exemple d'un smishing (hameçonnage par SMS) qui prétexte la livraison d'un colis et demande à l'utilisateur de cliquer sur un lien. Il y a encore quelques mois, ce type de message était limité à des formats standardisés. Aujourd'hui, ils sont beaucoup plus personnalisés et peuvent inclure le nom, le prénom, l'adresse de l'individu, et même le digicode de l'immeuble. Ces informations sont récoltées par les attaquants qui recoupent les fuites de données avec des recherches en ligne afin d'obtenir le résultat le plus réaliste et gagner la confiance de leurs cibles. Cette phase met en avant les conséquences réelles que les fuites de données peuvent avoir pour les individus : au-delà de la violation de la vie privée qu'elles constituent, elles peuvent faciliter le cybercrime qui a des répercussions concrètes pour la victime.

Ce constat est confirmé par les chiffres : selon le bilan annuel de Surfshark sur les violations de données, la France se classe en 2025 au 2e rang mondial des pays les plus touchés par les fuites de données, avec 40,3 millions de comptes compromis, juste derrière les États-Unis.

Même si les arnaques touchent davantage certaines sphères, certains individus demeurent plus ciblés que d'autres. Arnaud Loubatière le rappelle, l'objectif des attaquants est de maximiser le gain financier et/ou la quantité de données volées. Dans cette optique, « il y a donc une industrialisation des attaques sur de plus en plus de personnes au niveau des directeurs des entreprises. Pourquoi ? Parce que c'est là où on a le plus d'impact derrière, c'est là où on peut gagner le plus, c'est là où un cyberattaquant va pouvoir absorber le plus d'argent ». Les individus les plus ciblés peuvent être ceux qui ont le plus de pouvoir décisionnel au sein d'une entreprise mais aussi ceux qui ont le plus d'accès privilégiés, car ce sont eux qui peuvent bloquer les systèmes et demander des rançons. Ainsi, les directeurs et les personnels des DSI (directions des systèmes d'information) vont davantage être ciblés par les attaquants, car une erreur de leur part peut les rapporter gros.

L'impact de l'IA : vers une industrialisation des arnaques

Le développement et la démocratisation de l'intelligence artificielle ont eu un impact clair sur la manière dont les arnaques en ligne sont planifiées, mises en œuvre et exploitées. L'IA peut tout d'abord faciliter les attaques en permettant aux attaquants de récolter et recouper le maximum d'informations sur les individus et/ou structures qui vont être pris pour cible.

L'IA peut également jouer un rôle dans l'exécution des attaques. Elle peut rendre le contenu plus réaliste, en ayant notamment recours aux deepfakes qui permettent de mimer (presque) parfaitement les mouvements et les voix de personnalités. L'utilisation de ces techniques rend les arnaques de plus en plus compliquées à dissocier d'annonces authentiques. Arnaud Loubatière le reconnaît : « pour tout le monde, c'est de plus en plus dur de détecter une arnaque en ligne ».

À lire aussi : Identités non-humaines : pourquoi elles deviennent le nouveau défi de la cybersécurité

Le projet ScamAgent mené en août 2025 par des chercheurs à l'Université de Rutgers, dans l'État du New Jersey, a montré que l'IA pouvait réellement être utilisée pour planifier et exécuter une arnaque de A à Z. Ce système repose sur des agents multitours (multiturn agents) qui décomposent une requête malicieuse en plusieurs étapes afin de contourner les gardes-fous des modèles testés (GPT-4 d'OpenAI, Claude 3.7 d'Anthropic et LLaMA3-70B de Meta). Le système commence par recueillir des informations pour alimenter la conversation, comme le ferait un arnaqueur humain. Il passe ensuite à l'action et lance l'arnaque. Ce qui est frappant, c'est la capacité de ScamAgent à adapter son discours aux réactions de l'interlocuteur : si ce dernier exprime de la méfiance, l'IA changera de ton, reformulera ses phrases et changera de tactique pour que l'appel continue. La contribution de l'IA à l'automatisation et à la personnalisation des arnaques ne relève donc pas d'un scénario de science-fiction : il s'agit d'une possibilité réelle et de plus en plus sophistiquée.

Interrogé sur l'idée que l'IA aurait donné « des super-pouvoirs à des idiots », Arnaud Loubatière nuance : « Ça n'a pas donné des super-pouvoirs à des idiots directement. Ce qu'il faut se dire, c'est que l'IA va permettre d'industrialiser et de faciliter la récupération des informations ». Il explique cependant que la montée en puissance de l'IA ne veut pas dire qu'une cyberattaque est à la portée de tous, rappelant que « s'il n'y a pas un minimum de bagage technique derrière, pour l'exploiter ça va quand même rester difficile, ça ne va pas être quelque chose qui va se faire en claquant du doigt. Même si l'IA va donner des instructions, derrière il faut quand même avoir une orchestration. Et j'ose espérer, aujourd'hui, que d'une manière consciente, on n'ait pas plus de six milliards de potentiels cyberattaquants sur Terre qui sont prêts à escroquer le monde ».

La sensibilisation ne suffit pas

Face à l'explosion des arnaques boostées par l'IA, Arnaud Loubatière explique que la sensibilisation joue un rôle important, mais qu'elle doit être suivie d'un entraînement et d'un accompagnement des clients pour réellement aboutir, et qu'elle ne se limite pas à une simple formation obligatoire pour les salariés. Il met en avant la nécessité de s'adapter aux évolutions des techniques utilisées par les attaquants. Si on prend l'exemple de la personnalisation des arnaques, la méthodologie d'entraînement et le contenu associé doivent tout autant être adaptés au contexte de l'entreprise pour que le salarié arrive à transposer ce qu'il a appris dans ses actions au quotidien. Il est aussi beaucoup plus impactant d'utiliser des tentatives d'arnaques qui ont été « sanitarisées » afin de mettre le salarié en condition. Comme l'explique Arnaud Loubatière, « rien ne vaut le réel pour l'entraîner ».

À lire aussi : Nvidia DGX Spark : la stratégie pour mettre fin à la dépendance au cloud IA

Une technique clé pour éviter de jouer le jeu des attaquants est la triple authentification, qui repose sur trois piliers : le physique, avec une reconnaissance digitale, faciale ou vocale ; le mot de passe ; et enfin, un élément lié à des interactions interpersonnelles qui serait particulièrement difficile à connaître si on ne fait pas partie du cercle proche. C'est grâce à cette méthode qu'une fraude au président en deepfake a pu être détectée et évitée de justesse par Ferrari. Les attaquants avaient simulé une conversation vocale attribuée au directeur général de l'entreprise qui demandait de préparer une opération de rachat. Le deepfake allait jusqu'à imiter l'accent du nord de l'Italie pour convaincre les cadres de son authenticité. Après avoir détecté des sons métalliques et un rythme d'élocution inhabituel, un cadre demande cependant à l'interlocuteur de nommer le titre du livre qu'il avait récemment recommandé, permettant de démasquer l'attaquant. Cette utilisation de la triple authentification montre que la sensibilisation a un impact en pratique, comme le confirme Arnaud Loubatière qui explique que « à partir du moment où il y a un doute, il n'y a plus de doute. Il faut essayer de le lever le plus facilement possible ».

Cette discussion confirme la manière dont l'IA peut faciliter le travail des cybercriminels et augmenter le nombre et la qualité des arnaques en ligne. Son apport ne veut pas dire qu'une cyberattaque est pour autant accessible à tous. La sensibilisation, l'entraînement et l'accompagnement jouent un rôle clé pour limiter la portée d'un risque qui nous concerne tous.