Casse deepfake à 25 millions de dollars : ce que l'affaire Arup change pour votre entreprise
Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
Articles populaires
L'attaque qui a redéfini les règles
Début 2024, un collaborateur financier du cabinet d'ingénierie Arup a viré près de 25 millions de dollars en quinze opérations distinctes. L'ordre venait du directeur financier, lors d'une visioconférence de routine où figuraient plusieurs collègues. Le collaborateur avait pourtant hésité — la première demande, envoyée par courriel, lui paraissait étrange. L'appel en direct avait dissipé ses doutes : il reconnaissait les visages, il reconnaissait les voix.
Aucune des personnes présentes à cette visioconférence, lui excepté, n'était réelle.
Pourquoi l'affaire dépasse largement Arup
Le cas Arup est devenu la référence en matière de fraude deepfake multi-parties. Il a surtout balayé un postulat sur lequel les entreprises s'appuyaient depuis des années : exiger une visioconférence pour confirmer une demande inhabituelle n'est plus un contrôle de sécurité. La visioconférence est devenue, à son tour, une surface d'attaque.
Trois facteurs ont rendu ce scénario industrialisable en 2024, et la tendance n'a fait que s'accentuer depuis :
- Le clonage de visage et de voix en temps réel tourne désormais sur du matériel grand public.
- Les vidéos publiques des dirigeants — résultats trimestriels, conférences, posts LinkedIn — fournissent aux attaquants toutes les données d'entraînement nécessaires.
- Les angles morts des processus finance et RH continuent de reposer sur la reconnaissance visuelle ou vocale comme preuve d'identité.
Trois chantiers à ouvrir ce trimestre
La défense est ici plus procédurale que technique. Trois priorités s'imposent :
- Confirmation hors canal pour tout virement dépassant un seuil défini. Fixez ce seuil — par exemple 50 000 dollars — et exigez un appel téléphonique sur un numéro connu, jamais celui qui a initié la demande, au-delà de ce montant.
- Mots de passe convenus au sein du comité de direction. Une phrase tournante, connue des seuls membres réels. Coût nul. Effet immédiat contre les deepfakes en temps réel.
- Sensibilisation actualisée pour la finance et les assistants de direction. Le réflexe à inculquer n'est plus « repérer la faute de frappe » mais « se méfier d'une urgence inhabituelle, même en visioconférence ».
À retenir
La fraude par deepfake est sortie du champ des possibilités pour entrer dans le répertoire opérationnel des escrocs. Les entreprises qui tiendront le coup ne sont pas celles qui s'équiperont d'outils de détection — ce sont celles qui auront repensé leurs processus avant l'incident.
