L’été 2023 : Ferrari évite de justesse une fraude à plusieurs millions d’euros
C’est l’un des cas de fraude par deepfake audio les mieux documentés de l’histoire récente de l’entreprise. À l’été 2023, un cadre supérieur de Ferrari reçoit une série d’appels téléphoniques d’un interlocuteur se présentant comme Benedetto Vigna, PDG du constructeur automobile de Maranello. La voix est convaincante — même intonation, même accent, même style de communication. Le « PDG » évoque une acquisition confidentielle nécessitant un transfert de fonds urgent, et demande au cadre de prendre les dispositions nécessaires immédiatement, en insistant sur le caractère strictement confidentiel de l’opération.
La fraude aurait pu réussir. Ce qui a sauvé Ferrari, selon le récit publié par Bloomberg News et repris par Reuters en août 2023, c’est une simple question. Le cadre, intrigué par certains détails inhabituels, a posé une question personnelle — une référence à un sujet de conversation récent entre lui et le vrai Benedetto Vigna, dont seul le véritable PDG pouvait connaître le contexte. L’imposteur, incapable de répondre, a raccroché. Le virement n’a pas eu lieu.
La technologie derrière l’attaque : comment fonctionne le clonage vocal
Du texte au son : les architectures de synthèse vocale
Le clonage vocal par intelligence artificielle repose sur des modèles de synthèse de la parole (Text-to-Speech — TTS) entraînés sur des enregistrements d’une voix cible. Les progrès accomplis depuis 2020 dans ce domaine sont spectaculaires. Le modèle VALL-E de Microsoft (présenté en janvier 2023) est capable de cloner une voix à partir d’un échantillon de seulement trois secondes d’enregistrement, avec une précision suffisante pour tromper des auditeurs humains dans la grande majorité des cas.
Le processus se déroule en plusieurs étapes : extraction d’un « embedding » vocal — une représentation mathématique multidimensionnelle des caractéristiques acoustiques de la voix cible (fréquence fondamentale, formants, timbre, prosodie). Cet embedding est utilisé pour générer de nouveaux énoncés dans la voix cible à partir de texte. Les modèles les plus récents intègrent également la prosodie contextuelle, ce qui rend le résultat encore plus convaincant.
L’accessibilité des outils : une démocratisation inquiétante
Des plateformes comme ElevenLabs, Resemble AI ou Murf proposent des services de clonage vocal avec des abonnements accessibles au grand public — parfois à partir de 5 à 22 dollars par mois. ElevenLabs a fait l’objet de controverses en 2023 après que des utilisateurs aient utilisé la plateforme pour créer des deepfakes vocaux de personnalités politiques américaines.
Le matériel nécessaire pour construire un profil vocal de la cible est souvent librement disponible. Pour un PDG d’une entreprise cotée comme Benedetto Vigna, les interviews télévisées, les discours lors d’événements publics, les présentations aux investisseurs — toutes ces sources audio sont accessibles en ligne et suffisantes pour entraîner un modèle de clonage convaincant.
Voice Conversion : le clonage en temps réel
Une technique encore plus sophistiquée, appelée Voice Conversion (VC), permet de transformer en temps réel la voix d’un attaquant pour lui donner les caractéristiques acoustiques de la voix cible. Le fraudeur parle normalement dans son microphone ; un logiciel de VC traite le flux audio en quelques millisecondes et le retransmet transformé au destinataire. Des outils open-source permettant cette conversion en temps réel existent sur GitHub depuis 2022.
Les statistiques alarmantes de la fraude deepfake en entreprise
Selon le rapport « The State of Deepfakes » publié par Sensity AI en 2023, les incidents de fraude utilisant des deepfakes audio ou vidéo en contexte professionnel ont augmenté de 900 % entre 2021 et 2023. La société Pindrop estimait en 2024 qu’une fraude vocale synthétique sur 625 appels traités dans les call centers bancaires américains impliquait désormais une voix générée par IA — un taux qui a doublé en deux ans. Une enquête mondiale conduite par Deloitte en 2024 auprès de 1 100 directeurs financiers révèle que 25 % d’entre eux déclaraient avoir été la cible d’au moins une tentative de fraude deepfake au cours des 12 derniers mois.
Cas similaires : Ferrari n’est pas un cas isolé
Hong Kong, février 2024 : 25 millions de dollars perdus
Le cas le plus médiatisé de fraude deepfake en entreprise s’est produit en février 2024 à Hong Kong. Un employé d’une multinationale non identifiée a été convié à une vidéoconférence avec ce qu’il croyait être son directeur financier et plusieurs collègues. Tous étaient des deepfakes vidéo en temps réel. L’employé a effectué 15 transferts vers cinq comptes bancaires différents, pour un montant total de 200 millions de dollars de Hong Kong (environ 25 millions de dollars américains). La police de Hong Kong a qualifié les deepfakes utilisés de « extrêmement réalistes ».
Le précédent de 2019 : la première fraude par deepfake vocal documentée
Le Financial Times a documenté en 2019 le premier cas connu de fraude par deepfake vocal en entreprise : une société britannique du secteur de l’énergie avait versé 220 000 euros à un faux « PDG » dont la voix avait été clonée avec une fidélité suffisante pour tromper le directeur financier de la filiale allemande. Six ans plus tard, les outils disponibles sont infiniment plus sophistiqués et accessibles.
Le cadre légal : des réponses encore insuffisantes
En France et en Europe
En France, la création et la diffusion de deepfakes à des fins frauduleuses peuvent être poursuivies sous plusieurs qualifications pénales : escroquerie (article 313-1 du Code pénal, passible de 5 ans d’emprisonnement et 375 000 euros d’amende), usurpation d’identité numérique (article 226-4-1, passible de 1 an et 15 000 euros d’amende), et atteinte à la vie privée.
L’AI Act européen impose aux systèmes d’IA qui génèrent des contenus synthétiques des obligations de transparence : ces contenus doivent être marqués comme générés par IA, de manière détectable par les machines. Cette obligation, qui entrera pleinement en vigueur au cours de la période 2025-2026, pourrait à terme rendre les deepfakes frauduleux techniquement traçables — à condition que les outils de génération respectent ces obligations, ce que les acteurs malveillants ne feront évidemment pas.
Protocoles de sécurité en entreprise : les bonnes pratiques
La vérification hors bande (out-of-band)
La première ligne de défense contre les fraudes par clonage vocal est la vérification hors bande : toute demande urgente impliquant des transferts financiers, même si elle semble provenir d’un supérieur hiérarchique identifiable, doit être confirmée via un canal de communication différent de celui utilisé pour la demande initiale. Si la demande arrive par téléphone, la vérification se fait par email sur une adresse connue, via une application de messagerie d’entreprise sécurisée (Teams, Slack), ou par un second appel vers un numéro enregistré dans les contacts officiels , jamais vers un numéro fourni par l’appelant.
Les mots de passe de vérification partagés
La technique utilisée par le cadre de Ferrari poser une question dont seul le vrai PDG pouvait connaître la réponse — est une forme de « mot de passe humain ». Des entreprises ont commencé à implémenter des « safe words » prédéfinis entre collègues proches : un mot ou une phrase convenu à l’avance, que n’importe lequel peut demander à l’autre de prononcer pour confirmer son identité lors d’une communication inhabituelle. Simple, efficace, et sans technologie particulière.
La formation des équipes
Selon une étude de Proofpoint publiée en 2024, 74 % des incidents de sécurité liés aux deepfakes en entreprise auraient pu être évités si les employés avaient reçu une formation spécifique sur cette menace. L’ANSSI française publie des guides pratiques sur cette thématique.
Les outils de détection technologiques
Des solutions de détection des deepfakes vocaux commencent à émerger pour le marché professionnel. Pindrop propose des solutions d’analyse en temps réel du flux audio lors des appels téléphoniques. Microsoft a intégré des fonctionnalités de détection dans Azure AI. Des startups comme Reality Defender proposent des plateformes d’analyse multimodale (audio, vidéo, texte) pour les entreprises et les médias.
La certification des contenus officiels comme protocole préventif
Une approche particulièrement efficace consiste à certifier les contenus de communication officielle de l’entreprise — notamment les messages audio et vidéo des dirigeants — au moment de leur production, via une solution de certification blockchain. Si toutes les communications authentiques de Benedetto Vigna avaient été certifiées et leurs empreintes ancrées sur une blockchain publique, n’importe quel destinataire aurait pu vérifier en quelques secondes si un message audio prétendu venir du PDG correspondait à un enregistrement certifié authentique.
C’est précisément ce que permet la solution Certiphy : une infrastructure de certification cryptographique qui transforme l’authenticité d’un contenu en fait vérifiable par des tiers indépendants, sans dépendre d’aucun intermédiaire centralisé.
Checklist de sécurité pour les entreprises
- Implémenter un protocole de vérification hors bande pour toute demande financière supérieure à un seuil défini.
- Établir des « safe words » ou questions de vérification partagées entre les membres clés des équipes financières et les dirigeants.
- Former régulièrement les équipes aux menaces deepfake avec des exercices pratiques incluant des exemples audio et vidéo.
- Déployer des outils de détection sur les canaux de communication vocaux et vidéo sensibles.
- Certifier les communications officielles des dirigeants via une solution de certification blockchain.
- Mettre à jour les polices d’assurance cyber pour s’assurer que les pertes liées aux fraudes deepfake sont couvertes.
- Établir un plan de réponse aux incidents spécifique aux fraudes deepfake.
Conclusion : l’authenticité comme actif stratégique
L’incident Ferrari n’est pas un fait divers technologique. C’est un signal d’alarme pour l’ensemble du monde des affaires. Dans un environnement où la voix d’un PDG peut être clonée à partir d’interviews publiques et où les outils de génération sont accessibles pour quelques dizaines d’euros par mois, la confiance dans les communications ne peut plus reposer sur la seule familiarité perceptuelle.
L’authenticité devient un actif stratégique que les entreprises doivent gérer activement, avec les mêmes rigueur et investissement que la cybersécurité traditionnelle. Les protocoles humains restent la première ligne de défense. Les solutions technologiques de détection et de certification constituent la deuxième ligne, de plus en plus indispensable à mesure que les deepfakes gagnent en sophistication.
Retrouvez nos analyses sur les menaces deepfake et les solutions de protection disponibles dans notre espace actualités. Votre entreprise souhaite protéger ses communications contre l’usurpation ? Découvrez comment la certification blockchain Certiphy peut établir un registre d’authenticité inviolable pour vos contenus officiels.
