Début 2024, un employé des finances d’une multinationale basée à Hong Kong s’est connecté à ce qui semblait être une réunion vidéo de routine. L’appel réunissait plusieurs visages familiers : un cadre supérieur, quelques collègues et le directeur financier de l’entreprise. Le CFO a demandé à l’employé d’autoriser une série de virements totalisant 25 millions de dollars USD. Tout paraissait normal.
Chacune des personnes présentes sur cet appel était un deepfake.
L’affaire de Hong Kong, confirmée par la police locale et largement relayée en février 2024, est devenue un repère dans l’histoire de la criminalité financière. Ce n’était pas le premier cas de fraude assistée par l’IA, mais c’était la perte documentée la plus importante causée par un appel vidéo deepfake utilisé pour autoriser un virement bancaire. Elle a prouvé ce que la communauté de la sécurité redoutait depuis des années : la fraude deepfake au CEO n’est plus une menace théorique. C’est un vecteur d’attaque documenté, reproductible et en pleine expansion.
Ce qui s’est passé à Hong Kong
Le groupe d’attaquants a passé plusieurs semaines en reconnaissance avant l’appel. Ils ont collecté des vidéos publiquement disponibles des dirigeants de l’entreprise — enregistrements de conférences, appels aux résultats, interviews LinkedIn — et les ont intégrées dans un logiciel de génération de deepfakes. Le résultat était suffisamment convaincant pour tromper un professionnel de la finance aguerri lors d’un appel vidéo en direct.
L’employé, suivant ce qui semblait être une instruction directe de la direction, a autorisé 15 transactions distinctes vers plusieurs comptes. La perte totale s’est élevée à 200 millions de HK$, soit environ 25,6 millions USD. L’attaque n’a été découverte que lorsque l’employé a contacté le siège par un canal séparé. À ce moment-là, l’argent avait disparu.
La police de Hong Kong a arrêté six individus en lien avec cette affaire, mais les instigateurs n’ont jamais été officiellement identifiés, et le recouvrement des fonds est demeuré partiel.
Comment fonctionne la fraude deepfake au CEO
L’attaque qui a visé Hong Kong était sophistiquée, mais la technique sous-jacente se démocratise. La fraude deepfake au CEO — également connue sous le nom de Business Email Compromise (BEC) augmenté par l’IA — opère désormais sur trois canaux distincts :
Les deepfakes vidéo utilisent l’IA générative pour animer le visage d’une cible sur un flux vidéo en direct ou préenregistré. Les outils modernes peuvent le faire en temps réel avec seulement quelques minutes de matériau source. Le seuil de qualité nécessaire pour tromper quelqu’un dans un contexte professionnel — où les participants s’attendent à des ralentissements mineurs et des artefacts de compression — est bien inférieur à ce que la plupart des gens imaginent.
Le clonage vocal est devenu le point d’entrée le plus courant car il nécessite moins de matériau source et peut être déployé via un simple appel téléphonique. Un échantillon audio de 10 à 30 secondes suffit à la plupart des API commerciales de clonage vocal pour produire une réplique convaincante. Les attaquants enregistrent des dirigeants s’exprimant lors d’événements publics, d’apparitions en podcast ou dans des enregistrements internes divulgués, puis utilisent le clone pour appeler directement un membre de l’équipe financière.
Le BEC textuel reste la base : des e-mails générés par IA qui usurpent l’identité d’un CEO ou d’un CFO, en reproduisant le style d’écriture, le ton et l’urgence. Les grands modèles de langage ont largement rendu obsolètes les e-mails de phishing génériques dans cette catégorie — les e-mails BEC modernes sont hautement personnalisés et de plus en plus difficiles à détecter au seul style.
Dans de nombreuses attaques avancées, les trois canaux sont combinés en séquence : un e-mail usurpé prépare la cible, suivi d’un appel vocal qui « confirme » la demande, puis d’un appel vidéo qui finalise l’autorisation.
Pourquoi cette attaque prend de l’ampleur
Plusieurs forces structurelles amplifient simultanément la menace.
Le coût de production de deepfakes convaincants s’est effondré. En 2019, un face-swap de haute qualité nécessitait une ferme GPU et des semaines d’entraînement. En 2026, un logiciel grand public peut produire des deepfakes vidéo en temps réel sur un ordinateur portable standard. Les API de clonage vocal sont disponibles par abonnement pour moins de 50 dollars par mois. La barrière technique n’est plus l’obstacle.
Le télétravail a définitivement affaibli les mécanismes de vérification informels qui existaient dans les bureaux physiques. Quand un CFO descendait le couloir pour demander un virement, l’employé pouvait vérifier son identité simultanément par plusieurs canaux sensoriels. Dans un environnement à distance, un appel vidéo est l’approximation disponible la plus proche — et les attaquants exploitent ce vide.
L’expansion mondiale des infrastructures de virement international signifie que davantage d’entreprises, y compris des moyennes et petites structures, exécutent désormais régulièrement des transferts transfrontaliers. La surface d’attaque s’est élargie. Des groupes de fraude sophistiqués, dont beaucoup opèrent depuis des juridictions à coopération judiciaire limitée, privilégient ce schéma d’attaque car le rendement attendu par tentative est élevé et la traçabilité forensique est difficile.
Advertisement
Cas documentés et ampleur financière
Au-delà de l’incident de Hong Kong, le schéma est bien établi. En 2019, une entreprise énergétique britannique a été escroquée de 220 000 euros après qu’un cadre a reçu un appel téléphonique de ce qu’il croyait être le CEO de sa maison mère allemande — confirmé par la suite comme étant un clone vocal. Cette affaire figurait parmi les premières fraudes vocales par IA documentées et a été instruite par Euler Hermes, l’assureur cyber de l’entreprise.
Le centre de plainte pour la criminalité sur Internet du FBI (IC3) a signalé que les pertes liées au Business Email Compromise ont dépassé 2,9 milliards de dollars en 2023 pour environ 21 000 plaintes déposées aux seuls États-Unis. L’augmentation par IA de ces attaques est désormais documentée dans les avis de l’IC3, et l’agence a émis des avertissements spécifiques sur l’utilisation du clonage vocal et des deepfakes vidéo pour augmenter les taux de réussite des attaques BEC.
Europol et Interpol ont tous deux publié des évaluations des menaces notant que la fraude aux médias synthétiques passe des acteurs étatiques aux réseaux criminels organisés, portée par la démocratisation des outils sous-jacents.
Les défenses qui fonctionnent
L’attaque de Hong Kong a réussi pour une raison précise : l’employé n’avait aucun protocole de vérification hors bande en place. Se défendre contre la fraude deepfake au CEO ne nécessite pas de technologie exotique. Cela exige de la rigueur procédurale.
La confirmation hors bande est obligatoire. Toute demande de virement au-delà d’un seuil défini — quel que soit l’interlocuteur apparent — doit être confirmée via un second canal de communication indépendant. Si la demande arrive par appel vidéo, la confirmation se fait par appel vers un numéro préenregistré. Si la demande arrive par e-mail, la vérification s’effectue par téléphone sur un numéro extrait de l’annuaire interne, jamais depuis la signature de l’e-mail.
Établir des mots de code verbaux. Les opérations internes sensibles doivent utiliser des phrases de challenge convenues à l’avance, jamais transmises numériquement et changeant régulièrement. Un deepfake ne peut pas connaître un mot de code convenu verbalement dans un cadre physique et jamais enregistré.
Appliquer une double autorisation sur les virements importants. Aucun employé ne doit pouvoir autoriser seul un virement au-delà d’un seuil, quelle que soit la façon dont l’instruction a été reçue. Deux validations indépendantes créent une redondance que les attaques d’ingénierie sociale peinent à contourner simultanément.
Former spécifiquement les équipes financières et de trésorerie. La formation générale à la sensibilisation à la cybersécurité ne couvre pas les deepfakes. Les équipes financières ont besoin d’une formation par scénarios incluant des appels deepfake simulés, des exercices de clonage vocal et des protocoles d’escalade clairs. L’objectif est de construire le scepticisme comme un réflexe, non comme une politique à consulter.
Les contrôles techniques comptent en périphérie. Les standards d’authentification des e-mails (DMARC, DKIM, SPF) éliminent une fraction significative des tentatives BEC par expéditeur usurpé. Certaines organisations évaluent des outils de détection des deepfakes en temps réel pour les plateformes de visioconférence, bien que la précision de la détection reste imparfaite contre des attaques de haute qualité. L’analyse comportementale des flux de paiement — signalant des comptes destinataires inhabituels, des montants de transfert anormaux ou des séquences de demandes inhabituelles — ajoute une couche de friction qui bloque les attaques automatisées et opportunistes.
L’enseignement central de l’affaire de Hong Kong est que l’attaquant n’a pas contourné la technologie. Il a contourné un processus. L’employé des finances a suivi les instructions de ce qui semblait être des figures d’autorité. L’absence d’un protocole exigeant une vérification indépendante était la véritable vulnérabilité.
En 2026, toute organisation gérant des virements internationaux sans vérification hors bande pour les transactions importantes opère avec une faille connue et exploitable. La technologie pour combler cette lacune ne coûte rien. Elle requiert uniquement la discipline de la mettre en œuvre et de l’appliquer.
Advertisement
🧭 Radar de Décision (Prisme Algérie)
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevée — Les entreprises algériennes effectuant des virements internationaux sont exposées ; la sensibilisation reste limitée |
| Infrastructure prête ? | Partielle — Les banques et entreprises disposent de certains contrôles antifraude mais les défenses spécifiques aux deepfakes sont absentes |
| Compétences disponibles ? | Partielles — Des professionnels de la cybersécurité existent mais la formation spécifique aux deepfakes est rare |
| Calendrier d’action | Immédiat |
| Parties prenantes clés | Banques algériennes, DAF, DZ-CERT, ARPCE, équipes de trésorerie d’entreprise |
| Type de décision | Tactique |
En bref : Les entreprises algériennes effectuant des virements internationaux doivent établir des protocoles de vérification hors bande pour toute demande de virement au-delà d’un seuil défini, quel que soit l’interlocuteur apparent. DZ-CERT et la Banque d’Algérie devraient diffuser des orientations sectorielles avant qu’un incident domestique médiatisé ne force la discussion.
Sources et lectures complémentaires
- Une entreprise de Hong Kong perd 200 millions HK$ dans une arnaque par vidéoconférence deepfake — South China Morning Post
- FBI IC3 : Les criminels utilisent l’IA générative pour faciliter la fraude financière — FBI Internet Crime Complaint Center
- Face à la réalité : Les forces de l’ordre et le défi des deepfakes — Europol
- Rapport annuel 2023 sur la cybercriminalité — FBI Internet Crime Complaint Center
- Les deepfakes vocaux vous appellent — Krebs on Security
🔗 Intelligence Connexe
La mega-fuite Odido : quand un géant des télécoms refuse de payer et que des millions de données se retrouvent sur le dark web
Supposer la Violation : Pourquoi la Cyber-Résilience Surpasse Désormais la Cybersécurité Traditionnelle
Cyberattaques alimentées par l’IA : deepfakes, ingénierie sociale et le nouveau paysage des menaces
Détecter les contenus générés par l’IA : C2PA, SynthID et la course aux armements de l’authenticité
Advertisement