Scam : comment réguler la fraude financière produite par les  deepfakes ?

Les deepfakes, ces images et vidéos convaincantes générées par l’IA représentant de vraies personnes, sont de plus en plus utilisées pour escroquer des individus partout à travers le monde. Mais la régulation est à la traîne, estiment les chercheuses de Data & Society dans un intéressant rapport sur le phénomène, qui montre que la vigilance individualisée ne suffit pas à répondre à ces fraudes industrialisées. Il nous faut améliorer la responsabilité institutionnelle, expliquent-elles. 

Ces arnaques par usurpation d’identité qui visent à escroquer des individus ou des entreprises sont difficiles à poursuivre, car les auteurs se trouvent souvent très loin de leurs victimes. Reste que les préjudices sont bien réels : pertes financières, atteinte à la réputation des personnes dont l’identité est usurpée… 

Omniprésentes, fréquentes… Ces fraudes semblent surtout impunies et érodent la confiance dans les intermédiaires par lesquels elles passent. « Avec les outils d’IA mis à sa disposition, l’escroquerie est devenue une industrie sophistiquée et mondialisée, qui utilise ces outils pour étendre ses effets et sa crédibilité », comme le disaient déjà les chercheurs dans une première enquête sur le sujet. L’IA a permis d’améliorer leur ampleur, leur portée et leur pouvoir de persuasion. « Lorsque ces deepfakes sont combinés à des informations personnalisées, souvent obtenues par le biais de fuites de données, les escroqueries deviennent encore plus convaincantes, remettant en question la capacité réelle des individus à détecter la tromperie. Les escrocs utilisent fréquemment des publicités sur les réseaux sociaux pour identifier et cibler des victimes potentielles, puis poursuivent les interactions vers des applications de messagerie privée, où la surveillance est limitée et le traçage des activités frauduleuses devient beaucoup plus difficile. » Le rapport rapporte nombre d’exemples de fraudes dans nombre de pays qui ont émaillé l’actualité récente. 

L’évaluation des préjudices est elle-même difficile, tant les techniques sont différentes et du fait que très peu de victimes signalent les incidents. Aux États-Unis, le Centre des services financiers de Deloitte estime que les pertes liées à la fraude attribuable à l’IA générative pourraient passer de 12,3 milliards de dollars en 2023 à 40 milliards de dollars d’ici 2025, en raison à la fois des progrès techniques et des vulnérabilités en matière de cybersécurité. Le rapport de Resemble AI (qui tient à jour une base de données sur les incidents) estime que la fraude financière par deepfakes a causé près de 350 millions de dollars de pertes financières au deuxième trimestre 2025. Ce chiffre sous-estime probablement l’ampleur des pertes, car la fraude est notoirement sous-déclarée. 

L’étude de Data & Society s’intéresse aux acteurs qui facilitent l’escroquerie, notamment les réseaux sociaux qui aident les escrocs à atteindre leurs victimes et à améliorer l’usurpation d’identité et les applications de messagerie qui fournissent l’infrastructure au phishing et permettent de détourner les victimes des espaces publics et de les emmener dans des canaux où la surveillance est minimale et l’intervention difficile. Nombre de faux sites qui vont permettre l’hameçonnage sont également accessibles facilement. Pourtant, c’est souvent la disponibilité de publicités frauduleuses chez Meta par exemple, qui se révèle une des portes d’entrée de l’escroquerie. « La capacité de cibler les publicités en fonction des centres d’intérêt, des données démographiques et d’autres facteurs est utilisée comme une arme par les escrocs ».

L’autre porte d’entrée sont les réseaux de télécommunications et notamment le spam via SMS (selon une étude sur les 1,3 millions de signalement des usagers britannique d’un service anti-spam, 40% des SMS problématiques reçus relèveraient de l’escroquerie, et malgré le déploiement de pare-feu SMS par les opérateurs qui en arrêtent beaucoup). Mais là encore, les pratiques évoluent, le phishing par URL est de plus en plus souvent remplacé par des tactiques conversationnelles.

Enfin, le rapport accable également les institutions financières elles-mêmes, puisque toutes les escroqueries utilisent des systèmes de paiement, des possibilités de virement ou d’accès aux comptes des usagers visant à contourner les procédures de vérification, entraînant des transferts rapides et difficiles à annuler une fois effectués. « Contrairement aux victimes individuelles, les institutions financières peuvent observer les schémas de transactions sur différents comptes, clients et au fil du temps, ce qui leur permet de détecter des anomalies telles que des pics soudains de transferts vers de nouvelles destinations, des paiements coordonnés vers certains comptes ou des transactions répétées associées à des escroqueries par usurpation d’identité ». « Les obligations de lutte contre le blanchiment d’argent et de connaissance du client (KYC) – voir notre article sur la débancarisation expliquant ces enjeux – positionnent formellement les banques comme des acteurs de première ligne dans la détection et la perturbation de la fraude, mais ces cadres n’ont pas été conçus en tenant compte de l’usurpation d’identité facilitée par l’IA. » 

Les enquêtes journalistiques les plus détaillés sur la nature mondiale et opaque de la fraude financière facilitée (ici et là notamment) par les deepfakes montrent que ces escroqueries sont rendues possibles via des sociétés écrans, des comptes offshore et des cryptomonnaies qui permettent de brouiller les pistes des extorsions. Le rapport 2025 de l’Office des Nations Unies contre la drogue et le crime montre que l’utilisation de l’IA pour la fraude est particulièrement répandue dans les pays d’Asie du Sud-Est comme la Thaïlande et le Cambodge. Les « usines à fraude » et les « centres d’escroquerie » (dont beaucoup reposent sur le travail forcé et la traite des êtres humains, comme le montrent Mark Bo, Ivan Franceschini et Ling Li dans leur terrifiant livre, Scam, Verso, 2025) combinent des outils de traduction basés sur l’IA et des techniques avancées de clonage vocal pour usurper l’identité de membres de la famille, d’employeurs et de personnalités publiques afin d’extorquer de l’argent grâce à des escroqueries téléphoniques et vidéo sophistiquées et de plus en plus difficiles à détecter, comme le pointait récemment 404 média, montrant que désormais les systèmes vidéos permettent d’imiter le visage de n’importe qui sans qu’il soit possible de le confondre (par exemple, en lui demandant de passer sa main devant son visage, ce qui a longtemps déformé l’image du visage : ce n’est plus le cas !).

Les réponses réglementaires, elles, sont principalement basées sur la prévention et sur le démantèlement rapide des escroqueries. Pas sûr que cela suffise. Le rapport énumère nombre de mesures que prennent les pays et les acteurs financiers en la matière. Dans le podcast de Tech Policy Press, Alice Marwick, directrice de la recherche chez Data & Society, et Anya Schiffrin, codirectrice du pôle politique technologique et innovation de l’École des affaires internationales et publiques de l’Université Columbia, co-autrices du rapport, expliquent que les réponses face au problème ne sont pas toutes à la traîne. A Taïwan, par exemple, les plateformes sont désormais tenues responsables de certains deepfakes, notamment publicitaires. Mais surtout, elles dénoncent une chaîne d’approvisionnement des arnaques : « il y a ceux qui conçoivent les arnaques et ceux qui les diffusent », et parmi ces derniers ont trouve les plateformes publicitaires comme Meta, des banques, des opérateurs télécoms… Les publicités frauduleuses sont le premier étage des arnaques. Celles-ci ne sont pas nécessairement très sophistiquées, l’une des plus cliquées était une publicité pour McCormicks, la marque d’épices américaine et elle proposait simplement aux gens d’envoyer 20$ contre un présentoir. Elle a été diffusée dans les flux publicitaires de Facebook au milieu de publicités d’entreprises légitimes. Facebook est aujourd’hui au coeur du problème et il n’est pas contraint à agir. Quant aux problèmes des arnaques par SMS, le filtrage des opérateurs n’est pas assez fort :  « nous pourrions exiger davantage d’innovation de la part des opérateurs de téléphonie mobile et des fournisseurs de réseaux télécoms ». Pour les chercheuses, la traque des criminels ne suffit pas. Il faut trouver les moyens d’agir sur les intermédiaires qu’ils mobilisent. 

Justin Hendrix de Tech Policy Press évoque également l’initiative du Check My Ads Institute qui propose d’imposer aux plateformes des systèmes de contrôle et de vérifications de leurs clients. Pour Alice Marwick, pour l’instant, les législations contre le blanchiment d’argent et le financement du terrorisme ont surtout porté sur les banques et institutions financières, mais assez peu sur les plateformes sociales. Mais celles-ci ne cessent de répéter que c’est trop compliqué à mettre en œuvre. La réponse est un peu facile, vous ne trouvez pas ?

« À la fin de notre premier article sur les arnaques, nous abordons le problème du spam et ses nombreuses similitudes avec celui des arnaques. Le spam menaçait de rendre la messagerie électronique quasiment inutilisable. Ce problème a été résolu grâce à la combinaison de trois facteurs. Premièrement, la réglementation. La loi CAN-SPAM a instauré des sanctions pour l’envoi de spams. Deuxièmement, l’amélioration des techniques. Grâce à un meilleur savoir-faire et à des technologies plus performantes, Google et d’autres ont intégré des filtres anti-spam plus efficaces dans les boîtes de réception. Troisièmement, l’évolution des mentalités a permis aux utilisateurs de mieux identifier les spams. Je pense que pour lutter efficacement contre les arnaques, nous aurons besoin de ces trois éléments », conclut Marwick.

Aux Etats-Unis, la fédération des consommateurs vient de lancer des poursuites judiciaires contre Meta en raison de la manière dont l’entreprise laisse prospérer les arnaques sur sa plateforme, rapporte Wired. Pour faire bouger le sujet, il va falloir effectivement que les victimes mobilisent plus activement le législateur.