Ferrari évite de justesse une fraude à plusieurs millions d’euros
Eté 2024, un cadre supérieur de Ferrari reçoit une série de messages WhatsApp d’un interlocuteur se présentant comme Benedetto Vigna, PDG du constructeur automobile de Maranello. La voix est convaincante, même intonation, même accent, même style de communication. Le « PDG » évoque une acquisition confidentielle nécessitant un transfert de fonds urgent, et demande au cadre de prendre les dispositions nécessaires immédiatement, en insistant sur le caractère strictement confidentiel de l’opération.
La fraude aurait pu réussir. Ce qui a sauvé Ferrari, selon le récit publié par Bloomberg News et repris par Reuters , c’est une simple question. Le cadre, intrigué par certains détails inhabituels, a posé une question personnelle : une référence à un sujet de conversation récent (un livre) entre lui et le vrai Benedetto Vigna, dont seul le véritable PDG pouvait connaître le contexte. L’imposteur, incapable de répondre, a raccroché. Le virement n’a pas eu lieu. Cette tactique de vérification rapide a permis d’éviter une arnaque potentiellement coûteuse, protégeant ainsi Ferrari d’une tentative de fraude de plusieurs millions de dollars.
La technologie derrière l’attaque : comment fonctionne le clonage vocal
Du texte au son : les architectures de synthèse vocale
Le clonage vocal par intelligence artificielle repose sur des modèles de synthèse de la parole (Text-to-Speech TTS) entraînés sur des enregistrements d’une voix cible. Les progrès accomplis depuis 2020 dans ce domaine sont spectaculaires. Le modèle VALL-E de Microsoft (présenté en janvier 2023) est capable de cloner une voix à partir d’un échantillon de seulement trois secondes d’enregistrement, avec une précision suffisante pour tromper des auditeurs humains dans la grande majorité des cas.
Le processus se déroule en plusieurs étapes : extraction d’un « embedding » vocal : une représentation mathématique multidimensionnelle des caractéristiques acoustiques de la voix cible (fréquence fondamentale, formants, timbre, prosodie). Cet embedding est utilisé pour générer de nouveaux énoncés dans la voix cible à partir de texte. Les modèles les plus récents rendent le résultat encore plus convaincant.
L’accessibilité des outils : une démocratisation inquiétante
De nombreuses plateformes proposent des services de clonage vocal avec des abonnements accessibles au grand public, parfois à partir de 5 à 22 dollars par mois. Certaines plateformes ont fait l’objet de controverses après que des utilisateurs aient utilisé la plateforme pour créer des deepfakes vocaux de personnalités politiques américaines.
Le matériel nécessaire pour construire un profil vocal de la cible est souvent librement disponible. Pour un PDG d’une entreprise cotée comme Benedetto Vigna, les interviews télévisées, les discours lors d’événements publics, les présentations aux investisseurs : toutes ces sources audio sont accessibles en ligne et suffisantes pour entraîner un modèle de clonage convaincant.
Voice Conversion : le clonage en temps réel
Une autre technique, appelée Voice Conversion (VC), permet de transformer en temps réel la voix d’un attaquant pour lui donner les caractéristiques acoustiques de la voix cible. Le fraudeur parle normalement dans son microphone ; un logiciel de VC traite le flux audio en quelques dizaines de millisecondes et le retransmet transformé au destinataire.
Cas similaires : Ferrari n’est pas un cas isolé
Hong Kong, février 2024 : 25 millions de dollars perdus
Le cas le plus médiatisé de fraude deepfake en entreprise s’est produit en février 2024 à Hong Kong. Un employé d’une multinationale non identifiée a été convié à une vidéoconférence avec ce qu’il croyait être son directeur financier et plusieurs collègues. L’employé a effectué 15 transferts vers 5 comptes bancaires différents, pour un montant total de 200 millions de dollars de Hong Kong (environ 25 millions de dollars américains).
Le précédent de 2019 : la première fraude par deepfake vocal documentée
Le Wall Street Journal a documenté en 2019 le premier cas connu de fraude par deepfake vocal en entreprise avec le versement de 243 000 dollars américains à un faux « PDG » dont la voix avait été clonée avec une fidélité suffisante pour tromper le directeur général de la filiale.
Protocoles de sécurité en entreprise : les bonnes pratiques
La vérification hors bande (out-of-band)
La première ligne de défense contre les fraudes par clonage vocal est la vérification hors bande : toute demande urgente impliquant des transferts financiers, même si elle semble provenir d’un supérieur hiérarchique identifiable, doit être confirmée via un canal de communication différent de celui utilisé pour la demande initiale. Si la demande arrive par téléphone, la vérification se fait par email sur une adresse connue, via une application de messagerie d’entreprise sécurisée, ou par un second appel vers un numéro enregistré dans les contacts officiels , jamais vers un numéro fourni par l’appelant.
Les mots de passe de vérification partagés
La technique utilisée par le cadre de Ferrari poser une question dont seul le vrai PDG pouvait connaître la réponse est une forme de « mot de passe humain ». Des entreprises ont commencé à implémenter des « safe words » prédéfinis entre collègues proches : un mot ou une phrase convenu à l’avance, que n’importe lequel peut demander à l’autre de prononcer pour confirmer son identité lors d’une communication inhabituelle. Simple, efficace, et sans technologie particulière.
La certification des contenus officiels comme protocole préventif
Une approche particulièrement efficace consiste à certifier les contenus de communication officielle de l’entreprise au moment de leur production, via une solution de certification infalsifiable. C’est précisément ce que permet Certiphy.io : une infrastructure de certification cryptographique qui transforme l’authenticité d’un contenu en fait vérifiable par des tiers indépendants, sans dépendre d’aucun intermédiaire centralisé.
Conclusion : l’authenticité comme actif stratégique
L’incident Ferrari n’est pas un fait divers technologique. C’est un signal d’alarme pour l’ensemble du monde des affaires. Dans un environnement où la voix d’un PDG peut être clonée à partir d’interviews publiques et où les outils de génération sont accessibles pour quelques dizaines d’euros par mois, la confiance dans les communications ne peut plus reposer sur la seule familiarité perceptuelle. L’authenticité devient un actif stratégique que les entreprises doivent gérer activement.
Retrouvez nos analyses sur les menaces deepfake et les solutions de protection disponibles dans notre espace actualités. Votre entreprise souhaite protéger ses communications contre l’usurpation ? Découvrez comment Certiphy.io peut établir un registre d’authenticité inviolable pour vos contenus officiels.
