BEC 3.0 est arrivé : la voix deepfake et les fausses réunions Zoom sont la nouvelle fraude au PDG

La compromission de messagerie professionnelle (Business Email Compromise) était déjà l’une des cybermenaces les plus coûteuses au monde — le FBI estimait les pertes BEC à plus de 2,9 milliards de dollars en 2023. Puis les attaquants ont découvert que les passerelles de messagerie et les filtres DMARC, aussi bien configurés soient-ils, sont impuissants face à une menace qui ne touche jamais à l’e-mail.

Bienvenue dans le BEC 3.0 : une chaîne d’attaque multimodale combinant des voix d’exécutifs clonées par IA, des avatars vidéo synthétiques et des plateformes de collaboration usurpées en une seule session d’attaque coordonnée. L’objectif est inchangé — tromper un employé des finances pour qu’il effectue un virement ou cède des identifiants — mais la méthode est désormais indiscernable d’un appel d’urgence légitime avec le directeur financier.

À quoi ressemble le BEC 3.0 en pratique

L’attaque BEC classique (version 1.0) reposait sur un e-mail usurpé prétendument envoyé par le PDG. La version 2.0 ajoutait un appel téléphonique de suivi depuis un numéro semblant appartenir à l’exécutif. La version 3.0 élimine entièrement le besoin de falsifier des en-têtes d’e-mail. L’attaque se déroule sur trois canaux simultanés :

Étape 1 — Le prétexte par e-mail. Un message d’apparence légitime arrive, généralement depuis un compte fournisseur compromis ou un domaine usurpé de manière convaincante. Il avertit d’un virement urgent et sensible au facteur temps. L’e-mail demande spécifiquement à l’employé de rejoindre un « appel Zoom sécurisé » dans cinq minutes pour vérifier avant de procéder.

Étape 2 — La visioconférence synthétique. L’employé rejoint ce qui ressemble à une réunion interne. Un avatar généré par IA du PDG ou du directeur financier — construit à partir de vidéos LinkedIn publiques, d’enregistrements de conférences de résultats et de clips sur les réseaux sociaux — parle en temps réel. La voix, les expressions faciales et même l’arrière-plan sont synthétisés. Des outils capables de cela étaient autrefois des prototypes de laboratoire ; en 2025, ils sont disponibles commercialement pour moins de 50 dollars par mois.

Étape 3 — Le canal de pression parallèle. Simultanément, le téléphone de la victime sonne. La voix au bout du fil correspond à l’avatar à l’écran — clonée à partir des mêmes sources. Avec deux canaux confirmant l’identité et l’urgence de l’« exécutif », la plupart des employés obtempèrent.

L’ampleur du problème

Les attaques documentées impliquant de l’audio ou de la vidéo deepfake dans des contextes d’entreprise ont atteint 179 incidents au T1 2025, un chiffre que les analystes de ZeroThreat AI notent sous-estime presque certainement le volume réel, car la plupart des organisations ne divulguent pas les incidents d’ingénierie sociale à moins qu’ils n’impliquent une violation de données à signaler réglementairement. Les données de renseignement sur les menaces 2025 de Vectra AI montrent le phishing et l’usurpation d’identité augmentés par IA comme la catégorie à la croissance la plus rapide dans leur charge de travail de réponse aux incidents.

Dans un cas largement cité à Hong Kong début 2024, un employé des finances d’une entreprise internationale a transféré 25 millions de dollars après avoir vu une visioconférence deepfake avec plusieurs collègues clonés apparaissant simultanément. Les attaquants avaient étudié les enregistrements de réunions internes pour reproduire les styles d’expression, les arrière-plans de bureau et même le vocabulaire informel que les exécutifs utilisent entre eux.

Les pertes moyennes par fraude sur virement dans les cas BEC 3.0 signalés aux forces de l’ordre sont plus élevées que dans les générations précédentes précisément parce que la confiance de la victime est plus grande.

Pourquoi les passerelles de messagerie ratent entièrement cette menace

Les défenses BEC traditionnelles se situent au niveau du transfert de courrier : DMARC, SPF, DKIM, mise en sandbox des pièces jointes, analyse des URL. Le BEC 3.0 contourne tout cela en déplaçant la tromperie vers la visioconférence et la téléphonie — des canaux qui n’ont pas de normes d’authentification équivalentes. Une invitation à une réunion Zoom usurpée envoyée depuis l’e-mail genuinement compromis d’un fournisseur passera chaque filtre de messagerie.

L’usurpation d’identité d’appelant sur l’infrastructure VoIP reste triviale dans la plupart des juridictions. Et les attaquants investissant dans les outils deepfake hébergent de plus en plus leur propre infrastructure de réunion ressemblant à Zoom.

Signaux de détection qui existent

Malgré la sophistication du BEC 3.0, il existe des artefacts détectables :

• Latence vidéo et artefacts. La vidéo deepfake en temps réel actuelle introduit des pics de micro-latence lors de mouvements faciaux complexes. Les clignements, rotations de tête et paroles rapides causent des distorsions momentanées.
• Anomalies de l’enveloppe audio. Les voix clonées synthétisées à partir de courts corpus d’entraînement montrent des transitions non naturelles entre phonèmes et une plage dynamique compressée par rapport à un locuteur humain en direct.
• Incohérence comportementale. L’avatar ne peut pas répondre à des questions non scriptées avec le contexte personnel de l’exécutif — ville natale, dernier séminaire d’équipe, nom d’un contact fournisseur commun.

Le protocole de vérification par rappel

La défense la plus efficace est procédurale, non technologique : vérification par rappel hors bande pour toute transaction au-dessus d’un seuil défini. Le protocole fonctionne ainsi :

1. Toute demande de virement financier ou de changement d’identifiants reçue lors d’un appel vidéo ou téléphonique doit être vérifiée indépendamment avant traitement.
2. La vérification est initiée par l’employé recevant en utilisant un numéro de téléphone figurant dans l’annuaire interne de l’organisation — pas un numéro fourni lors de l’appel.
3. L’appel de vérification doit atteindre la ligne directe de l’exécutif ou un second approbateur nommé. Une messagerie vocale ne constitue pas une vérification.

Ce contrôle unique défait les attaques BEC 3.0 car l’attaquant ne peut pas intercepter un appel initié par la victime vers un numéro connu.

Foire aux questions

Q : Les logiciels de détection deepfake peuvent-ils détecter ces attaques de manière fiable en temps réel ?

Les produits de détection s’améliorent — des fournisseurs comme Reality Defender et le FakeCatcher d’Intel revendiquent une analyse en moins d’une seconde — mais ils ne sont pas encore assez précis pour servir de seul contrôle. La réduction des artefacts dans les outils deepfake commerciaux dépasse actuellement la détection. La vérification par rappel reste la protection la plus fiable.

Q : Quelle formation les employés ont-ils besoin au-delà de la sensibilisation générale à la sécurité ?

Les employés disposant d’une autorité de paiement ont besoin d’une formation spécifique et basée sur des scénarios sur les mécanismes du BEC 3.0. Cela implique des exercices de simulation en direct où ils vivent un appel vidéo synthétique et doivent appliquer la vérification par rappel.

Q : Comment les attaquants trouvent-ils les sources audio et vidéo dont ils ont besoin ?

Presque tout est disponible publiquement. Les conférences de résultats, les journées investisseurs, les conférences, les posts vidéo LinkedIn et les interviews médias fournissent des heures de matériel source de haute qualité.

Questions fréquentes

Sources et lectures complémentaires

• Phishing hyper-réaliste et attaques deepfake en 2026 — Sharp UK
• Statistiques deepfake et phishing IA 2025-2026 — ZeroThreat AI
• Escroqueries IA et menaces d'usurpation d'identité — Vectra AI
• Phishing en 2025-2026 : attaques pilotées par IA et la prochaine vague de cybermenaces — SecureTrust