Une image éditoriale saisissante montrant une grille de visioconférence où la plupart des visages des participants présentent de subtils défauts d'affichage ou se dissolvent en artefacts numériques, tandis qu'un seul visage humain réel observe — illustrant la prémisse centrale de l'attaque contre Arup, où une seule personne réelle se trouvait parmi des identités synthétiques.
Artificial IntelligenceCybersecurityDeepfakes

Un deepfake du directeur financier a volé 25 millions de dollars lors d'un appel Zoom. Voici pourquoi votre entreprise pourrait être la prochaine.

Ashutosh SinghalAshutosh Singhal24 avril 202614 min

J'étais en appel avec un client potentiel — le directeur financier (CFO) d'une entreprise manufacturière de taille moyenne — quand il a dit quelque chose qui m'a glacé.

« Nous vérifions déjà l'identité lors des appels vidéo. Nous pouvons voir le visage de chacun. »

Je lui ai demandé s'il avait entendu parler de ce qui était arrivé à Arup. Ce n'était pas le cas. Alors je lui ai raconté : en février 2024, un employé du service financier d'Arup — le cabinet d'ingénierie mondial derrière l'Opéra de Sydney — a rejoint une visioconférence avec son directeur financier et plusieurs cadres dirigeants. Ils ont discuté d'une transaction confidentielle. Le directeur financier lui a demandé de virer des fonds. Il a effectué 15 virements pour un total de 25,6 millions de dollars répartis sur cinq comptes bancaires. Tous les visages présents à cet appel étaient faux. Toutes les voix étaient synthétiques. Le directeur financier était un deepfake généré par IA. Les autres dirigeants aussi. L'employé était le seul véritable humain dans la pièce.

Le silence a duré une dizaine de secondes. Puis il a dit : « Ça ne peut pas être vrai. »

Ça l'est. Et c'est la raison pour laquelle, ces derniers temps, j'ai repensé tout ce que nous construisons chez Veriprajna — parce que l'affaire Arup n'a pas seulement révélé une faille de cybersécurité. Elle a révélé un problème d'architecture de confiance que la plupart des entreprises n'ont même pas commencé à affronter.

La nuit où j'ai compris que « voir, c'est croire » était mort

J'ai lu l'analyse forensique de l'affaire Arup pour la première fois tard un soir, assis dans mon bureau à la maison avec une tasse de chai qui a refroidi avant que je ne finisse la deuxième page. Ce qui m'a frappé, ce n'était pas le montant — même si 25,6 millions de dollars, c'est vertigineux. C'était l'élégance de l'attaque. Aucun malware. Aucun vol d'identifiants. Aucun accès non autorisé à une base de données. L'infrastructure numérique d'Arup n'a jamais été compromise.

Les attaquants n'ont pas piraté le système. Ils ont piraté l'humain.

Quand le visage et la voix du directeur financier peuvent être parfaitement fabriqués, les signaux traditionnels de confiance sont brisés. Pas affaiblis — brisés.

Ils ont passé des mois à récupérer par scraping des vidéos publiquement accessibles de dirigeants d'Arup sur YouTube, dans des interventions en conférence et des enregistrements d'entreprise. Ils ont entraîné des réseaux antagonistes génératifs — deux réseaux de neurones qui s'affrontent, l'un générant du faux contenu, l'autre tentant de le détecter, itérant des millions de fois jusqu'à ce que les faux deviennent indiscernables de la réalité — pour créer ce que les experts forensiques appellent des « jumeaux synthétiques haute fidélité ». Pas seulement des visages. Des schémas d'élocution. Des intonations. La manière dont quelqu'un marque une pause avant de répondre à une question.

Puis ils ont envoyé un e-mail de spear-phishing de la part du « directeur financier » demandant de l'aide pour une transaction confidentielle. L'employé était sceptique. Bon instinct. Mais les attaquants avaient un second coup à jouer : ils l'ont invité à un appel vidéo en direct où plusieurs visages familiers ont confirmé la demande en temps réel.

Son scepticisme s'est dissipé. Évidemment. Quelle personne rationnelle doute du témoignage de ses propres yeux quand quatre collègues la regardent depuis l'écran ?

Comment deepfaker toute une salle du conseil ?

Un schéma expliquant le pipeline de l'attaque par injection vidéo — comment la vidéo synthétique contourne la détection en alimentant directement le flux de données du logiciel de visioconférence, par contraste avec une attaque par présentation, plus simple.

C'est la question sur laquelle mon équipe revenait sans cesse. Nous avions déjà vu des deepfakes d'une seule personne — une voix clonée par-ci, une vidéo avec échange de visage par-là. Mais une visioconférence en direct à plusieurs participants ? Cela semblait relever d'un tout autre niveau.

Il s'avère que les barrières techniques se sont effondrées plus vite que la plupart des équipes de sécurité ne l'imaginent.

Les attaquants ont utilisé une technique appelée injection vidéo plutôt qu'une « attaque par présentation », plus simple (où quelqu'un tient un écran devant une caméra). Les attaques par injection alimentent directement le flux de données du logiciel de visioconférence en vidéo synthétique à l'aide d'un logiciel de caméra virtuelle. Zoom, Teams — l'application traite le flux généré par IA comme s'il provenait d'une webcam physique. Aucune bordure d'écran à détecter, aucune anomalie de profondeur à signaler. Les recherches montrent que les attaques par injection visant les fournisseurs de vérification d'identité ont augmenté de 255 % en 2023, tandis que les attaques par échange de visage ont progressé de 704 %.

Je me souviens d'une réunion d'équipe où l'un de nos ingénieurs a fait la démonstration d'un échange de visage en temps réel avec des outils open source. Il lui a fallu environ quarante minutes pour tout installer. Le résultat n'était pas parfait — il y avait un léger scintillement autour de la mâchoire — mais sur un flux Zoom compressé ? Vous ne le remarqueriez pas. Et c'était avec un logiciel gratuit et sans données d'entraînement. Les attaquants d'Arup avaient des mois de préparation et, vraisemblablement, des moyens.

Mon directeur technique m'a regardé de l'autre côté de la table et m'a dit : « Nous devons arrêter de considérer cela comme un problème de cybersécurité. C'est un problème d'épistémologie. Comment quiconque peut-il savoir ce qui est réel ? »

Il avait raison. Et cette prise de conscience a remodelé ma façon de concevoir tout ce que nous construisons.

Pourquoi votre « stratégie IA » aggrave-t-elle les choses ?

Voici ce que la couverture médiatique de l'affaire Arup rate complètement : la façon dont la plupart des entreprises ont adopté l'IA accroît en réalité leur vulnérabilité à ce type d'attaque.

Je parle du « wrapper LLM » — l'architecture d'IA d'entreprise dominante en ce moment. Vous prenez une API publique d'OpenAI ou d'Anthropic, vous l'enveloppez d'une fine couche logicielle, vous la connectez à quelques processus métier, et vous appelez ça votre stratégie IA. C'est rapide à déployer. C'est bon marché. Et c'est fondamentalement inadapté à tout ce qui compte.

Trois raisons.

Premièrement, la sortie des données. Dans un déploiement de type wrapper, vos données les plus sensibles — tableurs financiers, notes internes, communications de la direction — quittent votre périmètre d'entreprise pour être traitées par un cloud tiers. Même si le fournisseur promet de ne pas s'en servir pour l'entraînement, les données existent dans un environnement externe soumis au CLOUD Act américain, à des relations opaques avec des sous-traitants ultérieurs et à une exfiltration potentielle par le modèle. Vous envoyez exactement le type d'informations dont un attaquant aurait besoin pour construire des deepfakes convaincants de vos dirigeants hors de vos murs.

Deuxièmement, l'écart de fiabilité. Les LLM sont probabilistes. Ils prédisent le mot suivant le plus probable à partir de schémas statistiques, et non d'une compréhension ancrée de votre réalité d'entreprise. Quand un agent IA rapporte un prix, approuve une remise ou interprète une politique, il génère une réponse plausible — il ne récupère pas un fait vérifié. Dans les environnements à fort enjeu, c'est dans cet écart entre « plausible » et « vrai » que la fraude s'installe.

Troisièmement — et celui-ci me hante — le problème du « conseiller désincarné ». Pour des cabinets d'ingénierie comme Arup, un wrapper LLM textuel génère des conseils sans boucles de rétroaction intégrées permettant de vérifier la sécurité physique ou biologique. En génie structurel ou en chimie, une modification mineure d'un calcul peut conduire à un résultat catastrophiquement différent. Un wrapper qui fonctionne sur la base d'une distance sémantique plutôt que des lois de la physique ne peut pas repérer ces écarts critiques. Il ne sait pas ce qu'il ne sait pas.

J'ai traité cette vulnérabilité architecturale en profondeur dans la version interactive de nos recherches — l'argument central étant que les wrappers créent une illusion d'intelligence tout en laissant l'organisation structurellement exposée.

Qu'est-ce qui aurait réellement arrêté l'attaque contre Arup ?

Un schéma de la pile défensive montrant les trois couches complémentaires de détection/vérification — détection physiologique (analyse du rythme cardiaque), biométrie comportementale (schémas de frappe au clavier et de mouvement de souris) et provenance cryptographique (C2PA) — et comment elles fonctionnent ensemble comme un système de vérification d'identité multicouche.

C'est la question que je n'ai cessé de me poser. Non pas « qu'est-ce qu'Arup aurait dû faire différemment » — ça, c'est refaire le match après coup. Mais : quelle architecture ferait échouer ce type d'attaque ?

La réponse n'est pas une technologie unique. C'est une pile. Et elle commence par l'abandon de l'idée selon laquelle la confirmation visuelle équivaut à une vérification d'identité.

Le battement de cœur que vous ne pouvez pas falsifier

L'une des approches de détection les plus fascinantes que j'aie rencontrées analyse ce qu'on appelle les variations de couleur du visage « induites par le rythme cardiaque ». Des technologies comme FakeCatcher d'Intel surveillent les micro-variations du teint — invisibles à l'œil humain — qui correspondent à l'activité cardiovasculaire. Un visage humain vivant change subtilement de couleur à chaque battement de cœur. Un deepfake, non. Ou si c'est le cas, la synchronisation est incorrecte.

Quand j'ai découvert cela, j'ai trouvé que ça ressemblait à de la science-fiction. Puis j'ai assisté à une démonstration où le système a correctement identifié un deepfake de haute qualité qui avait trompé toutes les personnes présentes. Le visage synthétique avait une texture de peau parfaite, une synchronisation labiale parfaite, des mouvements oculaires parfaits. Mais aucun pouls.

Un deepfake peut reproduire votre visage, votre voix et vos manières. Il ne peut pas reproduire votre battement de cœur.

Votre façon de taper est votre signature

La biométrie comportementale est la couche qui m'enthousiasme le plus, parce qu'elle est quasiment impossible à falsifier. Votre dynamique de frappe — la vitesse, le rythme et la pression de votre saisie — crée un schéma reconnaissable qui vous est propre. Il en va de même pour vos mouvements de souris, votre vitesse de balayage sur mobile, et même votre façon de naviguer entre les applications.

Imaginez une référence comportementale établie pour chaque cadre dirigeant. Pendant un appel vidéo, le système surveille en continu si le « directeur financier » qui écrit dans le chat se comporte comme le véritable directeur financier. Si la cadence de frappe s'écarte du profil historique au moment où une demande financière inhabituelle est formulée, le système la signale automatiquement. Aucun jugement humain requis.

Voilà à quoi ressemble l'authentification continue — non pas un mot de passe unique à la connexion, mais une vérification permanente et invisible que la personne à qui vous parlez est bien celle qu'elle prétend être.

La preuve cryptographique qu'une vidéo est réelle

Au lieu de seulement chercher à détecter les faux, nous devons commencer à vérifier l'authenticité à la source. La norme C2PA — Coalition for Content Provenance and Authenticity — intègre des métadonnées cryptographiques au moment de la capture vidéo : l'appareil, l'heure, le lieu et une chaîne de traçabilité dont toute altération est détectable. Si un flux vidéo dans un appel Teams ou Zoom ne dispose pas de ces attestations, il devrait être traité avec la même suspicion qu'un paquet logiciel non signé.

C'est un changement de mentalité. Nous avons passé des années à demander « est-ce faux ? » La meilleure question est : « cela peut-il prouver que c'est réel ? »

L'architecture que nous construisons réellement

Un schéma d'architecture en couches montrant le Neuro-Symbolic Sandwich — la pile à trois couches où des couches de logique symbolique déterministe encapsulent le LLM neuronal, avec des flux de données annotés montrant comment les entrées sont assainies et les sorties vérifiées par rapport à de véritables bases de données.

Chez Veriprajna, nous appelons notre approche Deep AI — non pas parce que c'est un terme marketing, mais parce qu'elle décrit une relation fondamentalement différente entre une organisation et son infrastructure d'IA. Au lieu de l'« IA en tant que service » via des API publiques, nous construisons de l'« IA en tant qu'infrastructure » au sein de l'environnement sécurisé propre à l'organisation.

Trois piliers.

Le premier est la propriété de l'infrastructure. Nous déployons des piles d'inférence complètes — des LLM privés d'entreprise — directement dans le Virtual Private Cloud du client ou dans ses clusters Kubernetes sur site. Les données sensibles ne quittent jamais le périmètre. Il ne s'agit pas seulement d'une mesure de sécurité ; cela crée des actifs de modèles sur mesure qui appartiennent au client. Leur intelligence reste souveraine.

Le deuxième est ce que nous appelons le Private RAG 2.0 — une génération augmentée par récupération nativement intégrée à la sécurité interne. Si un employé n'a pas l'autorisation de consulter un document dans SharePoint, l'IA ne le récupérera pas pour répondre à sa question. Cela paraît évident, mais la plupart des implémentations RAG traitent la base de connaissances comme un réservoir uniforme. La nôtre respecte les mêmes contrôles d'accès que ceux qui régissent le reste de l'organisation.

Le troisième — et celui dont je suis le plus fier — est le Neuro-Symbolic Sandwich. Nous encapsulons le réseau de neurones (le LLM, avec ses capacités créatives de langage) entre deux couches de logique symbolique déterministe. La couche inférieure assainit les entrées afin d'empêcher toute injection de prompt avant qu'elles n'atteignent le modèle. La couche supérieure intercepte la sortie du modèle et l'exécute au travers de fonctions rigides et prédéfinies — interrogation d'une base de données SQL, vérification d'un système ERP, récupération d'un prix vérifié. Quand l'IA rapporte un chiffre, elle extrait un fait, elle ne le prédit pas.

Le Neuro-Symbolic Sandwich garantit que lorsque l'IA rapporte un prix ou un statut d'autorisation, elle récupère une valeur déterministe dans une base de données — elle ne la prédit pas à partir d'une probabilité de tokens.

Des gens m'ont dit que c'était une usine à gaz. « Utilisez simplement GPT avec de bons prompts », m'a dit un investisseur un jour, avec l'assurance de quelqu'un qui n'a jamais eu la responsabilité d'un virement bancaire. Je pense à l'employé d'Arup — un professionnel compétent qui a fait tout ce qui semblait raisonnable — et je sais que des prompts « suffisamment bons » ne suffisent pas quand les enjeux se comptent en millions.

Pour l'analyse technique complète de cette architecture, y compris les design patterns neuro-symboliques et la récupération tenant compte du RBAC, consultez notre article de recherche détaillé.

Que se passe-t-il quand le DSI devient personnellement responsable ?

L'affaire Arup comporte une dimension juridique que la plupart des professionnels de la tech ne suivent pas, et elle devrait terrifier tous les DSI et directeurs techniques qui lisent ces lignes.

Les tribunaux appliquent de plus en plus la « règle de l'imposteur » en matière de fraude au virement : les pertes devraient être supportées par la partie la mieux placée pour empêcher la fraude. Dans l'affaire Arup, bien que l'employé ait été trompé, le fait que le cabinet n'ait pas mis en place de vérification multicanal pour les transactions de forte valeur pourrait être considéré comme le point de défaillance principal.

Les DSI et directeurs techniques sont des mandataires sociaux soumis à des obligations fiduciaires. À mesure que la fraude par deepfake devient un risque connu et documenté — et depuis Arup, il est indiscutablement connu — l'absence de contrôles adaptés aux deepfakes pourrait entraîner une responsabilité personnelle si une entreprise est poursuivie par ses actionnaires pour négligence. Ce n'est pas hypothétique. Le California Consumer Privacy Act, le règlement européen sur l'IA et des cadres comme l'AI Risk Management Framework du NIST convergent tous vers une même attente : que les organisations disposent de défenses spécifiques et documentées contre les attaques par médias synthétiques.

J'ai commencé à poser aux DSI une question simple à chaque réunion : « Si un attaquant deepfakait votre PDG lors d'un appel vidéo demain et que quelqu'un virait 10 millions de dollars, pourriez-vous démontrer devant un tribunal que vous aviez mis en place des garanties raisonnables ? »

Le silence qui suit me dit tout.

Ne peut-on pas simplement former les gens à repérer les deepfakes ?

On me pose constamment cette question, et je comprends le réflexe. C'est la solution la moins chère. Il suffit d'apprendre à tout le monde ce qu'il faut chercher — la mâchoire qui scintille, l'oreille bizarre, l'éclairage légèrement décalé.

Voici le problème : la détection à l'œil nu est une course aux armements que vous avez déjà perdue. Les artefacts détectables dans les deepfakes de 2023 sont largement absents des deepfakes de 2025. La technologie progresse plus vite que la perception humaine ne s'adapte. Et lors d'un appel vidéo compressé, avec un éclairage médiocre et une bande passante intermittente — ce qui décrit la plupart des appels Zoom en entreprise — même les deepfakes de la génération actuelle sont fonctionnellement invisibles.

La formation aide, mais pas de la façon dont la plupart des gens le pensent. L'objectif n'est pas de transformer les employés en détecteurs de deepfakes. C'est de construire ce que j'appelle une culture du scepticisme encouragé — récompenser les personnes qui contestent les demandes suspectes, même lorsque ces demandes semblent venir du PDG. L'instinct initial de l'employé d'Arup a été de se méfier de l'e-mail de phishing. Cet instinct était juste. Il a été supplanté par la preuve sociale d'un appel vidéo avec des visages familiers.

La solution est procédurale, non perceptuelle. Les transactions de forte valeur exigent une vérification hors bande : un appel direct à un numéro de téléphone préalablement vérifié, un code d'authentification convenu à l'avance et transmis par un canal distinct, ou une double autorisation par quelqu'un qui ne participait pas à l'appel initial. La visioconférence ne peut plus être la référence absolue pour l'authentification d'identité dans les transactions financières. Point final.

Le plan à 25 millions de dollars

Je reviens sans cesse à quelque chose qui me dérange dans la façon dont l'histoire d'Arup est habituellement racontée. Elle est présentée comme une mise en garde — « regardez à quel point les méchants deviennent sophistiqués ». Et c'est vrai, mais c'est incomplet.

La leçon plus profonde est architecturale. Les systèmes numériques d'Arup fonctionnaient bien. Leurs pare-feux ont tenu. Leur chiffrement a fonctionné. L'attaque a réussi parce que l'architecture de confiance de l'organisation — l'ensemble des hypothèses sur la manière dont l'identité est vérifiée et les décisions autorisées — n'avait pas évolué pour tenir compte d'un monde où les médias synthétiques sont bon marché, convaincants et en temps réel.

La plupart des organisations avec lesquelles j'échange sont dans la même situation. Elles ont massivement investi dans la défense périmétrique tout en laissant la couche humaine — celle qui autorise réellement les virements, approuve les contrats, valide les spécifications d'ingénierie — protégée par rien de plus que l'hypothèse selon laquelle les visages et les voix sont difficiles à falsifier.

Cette hypothèse est morte dans une salle de conférence de Hong Kong en février 2024. La question est de savoir si votre organisation mettra à jour son architecture de confiance avant ou après s'être offert sa propre leçon à 25 millions de dollars.

L'affaire Arup n'était pas un échec de cybersécurité. C'était un échec d'architecture de confiance — et la plupart des organisations n'ont pas mis à jour la leur depuis l'époque où les visages ne pouvaient pas être falsifiés.

Je ne prends aucune précaution oratoire là-dessus. Les organisations qui agissent maintenant — en déployant une infrastructure d'IA souveraine, en mettant en place une biométrie comportementale, en exigeant une provenance cryptographique pour les flux vidéo et en intégrant des coupe-circuits procéduraux dans chaque décision à forte valeur — définiront la prochaine ère de la sécurité en entreprise. Celles qui attendent deviendront des études de cas.

Le coût d'un deepfake capable de tromper votre équipe financière chute vers zéro. Le coût de se faire tromper, non.

Recherche associée

Également publié sur

Développez votre IA en toute confiance.

Collaborez avec une équipe forte d'une solide expérience dans la conception de la prochaine génération d'IA d'entreprise. Nous vous aidons à concevoir, développer et déployer une stratégie d'IA digne de confiance.

Veriprajna société de conseil en Deep Tech est spécialisée dans la conception de systèmes d'IA critiques pour la sûreté destinés aux secteurs de la santé, de la finance et de la réglementation. Nos architectures sont validées au regard de protocoles établis et accompagnées d'une documentation de conformité complète.