Académie Nexus

Deepfakes et fraude au président : ce que montrent les cas documentés

La fraude au président existait bien avant l'IA générative. Ce que les hypertrucages ont changé, c'est le canal de confiance qu'ils permettent d'usurper : la voix, puis le visage. Quatre affaires publiquement documentées — deux réussies, deux déjouées — suffisent à comprendre la mécanique, et surtout ce qui l'arrête.

Elie Abousaab · 17 juillet 2026 · 4 min de lecture

Quatre affaires vérifiables, et rien d'autre

Le sujet des deepfakes attire les chiffres invérifiables et les anecdotes de conférence. Nous nous en tenons ici à quatre cas dont l'existence, les montants et les modes opératoires sont établis par des sources primaires identifiables : la police de Hong Kong et l'entreprise victime pour le premier, l'assureur du dossier pour le deuxième, les entreprises visées pour les deux tentatives déjouées.

Arup, janvier 2024 : la visioconférence à 200 millions de dollars de Hong Kong

Mi-janvier 2024, un employé du service financier de la filiale hongkongaise du cabinet d'ingénierie britannique Arup reçoit un message évoquant une transaction confidentielle, puis participe à une visioconférence où apparaissent le « directeur financier » du groupe et plusieurs « collègues ». Tous sont des hypertrucages. L'employé effectue quinze virements vers cinq comptes bancaires, pour un total d'environ 200 millions de dollars de Hong Kong, soit près de 25,6 millions de dollars américains [1].

La police de Hong Kong révèle l'affaire début février 2024 sans nommer la victime ; Arup confirme en mai 2024 être l'entreprise visée. Le détail le plus instructif est le point de bascule : l'employé avait initialement soupçonné un hameçonnage — c'est la visioconférence, c'est-à-dire la preuve visuelle et vocale simulée, qui a levé son doute.

2019 : la première fraude vocale documentée

En mars 2019, le dirigeant de la filiale britannique d'un groupe énergétique allemand reçoit un appel de son « PDG » — accent, intonation, mélodie de voix reproduits par logiciel — lui demandant un virement urgent de 220 000 € vers un fournisseur hongrois. Il s'exécute. L'affaire est révélée par le Wall Street Journal en août 2019, sur la foi de l'assureur du groupe, Euler Hermes [2].

Le fraudeur a rappelé pour exiger un second virement : c'est la répétition de la demande, sans le remboursement promis, qui a éveillé le soupçon. Seule la première demande a abouti. Dès 2019, la leçon était complète : la voix ne constitue plus une preuve d'identité.

Ferrari et WPP, 2024 : deux tentatives, deux échecs instructifs

En juillet 2024, un cadre de Ferrari reçoit des messages WhatsApp d'un numéro inconnu, puis un appel dont la voix imite celle du PDG Benedetto Vigna — accent du sud de l'Italie compris — évoquant une acquisition confidentielle nécessitant une opération de change. Le cadre pose une question dont seul le vrai Vigna connaît la réponse : le titre du livre qu'il lui avait recommandé quelques jours plus tôt. L'escroc raccroche [3].

Deux mois plus tôt, en mai 2024, le PDG du groupe publicitaire WPP, Mark Read, avait été imité par un faux compte WhatsApp utilisant sa photo publique, combiné à une réunion Teams exploitant un clone vocal et des extraits vidéo. La cible — un dirigeant d'agence du groupe — n'a pas donné suite, et WPP a alerté l'ensemble de ses cadres [4].

Ces deux échecs valent tous les rapports : dans les deux cas, ce n'est pas la détection du trucage qui a sauvé l'organisation — les imitations étaient bonnes — mais une vérification qui ne passait pas par le canal attaqué.

Le point commun : c'est le canal qu'on attaque, pas le contenu

Dans les quatre affaires, la demande présente la même signature : urgence, confidentialité exigée, contournement des procédures habituelles, et un canal de confiance usurpé — voix au téléphone, visage en visioconférence, messagerie du dirigeant. Les fraudes réussissent quand l'organisation accepte que l'identité soit prouvée par le canal lui-même : « je reconnais sa voix », « je le vois à l'écran ».

Elles échouent quand l'identité se vérifie hors du canal : un rappel au numéro connu, une question dont la réponse n'est pas publique, une procédure à deux personnes. Autrement dit, la défense n'est pas technologique mais procédurale — et elle doit exister avant l'appel, parce que l'urgence simulée est précisément conçue pour empêcher de l'improviser.

Ce que vous pouvez faire lundi matin

  1. Écrire la règle du double canal et la faire signer aux équipes finance et trésorerie : une page suffit.
  2. Définir le seuil au-dessus duquel toute instruction de paiement exige une double validation par des personnes non sollicitées par le demandeur.
  3. Briefer les assistantes et assistants de direction : ils sont le premier filtre des usurpations de dirigeants.
  4. Tester le dispositif par un exercice : une fausse demande urgente un vendredi à 17 h vous apprendra plus que n'importe quel audit.

Sources

  1. South China Morning Post, « UK multinational Arup confirmed as victim of HK$200 million deepfake scam », 17 mai 2024 ; CNN Business, 16 mai 2024.
  2. Wall Street Journal, « Fraudsters Used AI to Mimic CEO's Voice in Unusual Cybercrime Case », 30 août 2019 (source : Euler Hermes).
  3. Bloomberg, « Ferrari Narrowly Dodges Deepfake Scam Simulating Deal-Hungry CEO », 26 juillet 2024.
  4. The Guardian, « CEO of world's biggest ad group targeted by deepfake scam », 10 mai 2024.

Cet article est une ressource de sensibilisation. Il ne constitue ni un conseil juridique, ni un audit, ni une analyse adaptée à votre contexte particulier.

Formation · Deepfakes : détection et protocole de réponse
Une journée pour installer le protocole qui arrête ces fraudes

Reconnaître les contenus synthétiques (voix, image, vidéo), évaluer le risque pour votre organisation et déclencher le bon protocole en cas d'attaque. Formation intra, animée sur vos cas et vos procédures réelles.

Recevoir la fiche programme