Sécurité 12 min de lecture

Arnaque deepfake vidéo : la nouvelle escroquerie qui piège tout le monde en 2026

Visios truquées avec un faux PDG, un faux proche, un faux journaliste. Comment ça marche, 5 signaux pour repérer, et que faire pendant et après l’appel.

Visio truquee avec artefacts visuels et laptop sur bureau

La directrice financière d’une PME lyonnaise reçoit une demande de visio urgente sur Teams. À l’écran, le PDG, en déplacement à Singapour. Cravate bleue, voix reconnaissable, gestuelle habituelle. Il lui demande de valider un virement de 180 000 euros vers un fournisseur asiatique avant la fermeture des marchés. Elle hésite trois secondes, puis exécute. Quarante minutes plus tard, le vrai PDG l’appelle pour un autre sujet. Le virement est parti. Il ne reviendra pas.

Cette histoire, racontée par un cabinet de cybersécurité parisien début 2026, n’a plus rien d’exceptionnel. L’arnaque deepfake en visio a explosé depuis le début de l’année, portée par des outils de génération vidéo en temps réel devenus accessibles au premier escroc venu. Les cibles ne sont plus seulement les grandes entreprises : particuliers, retraités, étudiants reçoivent désormais des appels vidéo de proches qui n’en sont pas. Le piège fonctionne parce qu’on a appris à se méfier des mails et des SMS, mais pas encore d’un visage familier qui parle à l’écran.

Léo Vasseur ici. Je suis cette mécanique depuis plusieurs mois et le rythme d’évolution m’inquiète. Cet article te donne les clés concrètes pour repérer une visio truquée, réagir pendant l’appel, et limiter les dégâts si le pire est arrivé.

Comment ça marche : la technologie derrière l’arnaque deepfake

Il y a deux ans encore, fabriquer un deepfake vidéo convaincant demandait une carte graphique sérieuse, plusieurs heures de calcul et des compétences techniques solides. En 2026, la donne a changé. Des modèles open source comme LivePortrait, certains forks de SadTalker ou des services en ligne payés en cryptomonnaie permettent de transformer une simple photo de profil LinkedIn en avatar animé pilotable en temps réel par webcam.

Le processus tient en quatre étapes. L’escroc récupère d’abord du matériel sur sa cible : une photo de bonne qualité, idéalement plusieurs angles, et quelques secondes de voix issues d’une story Instagram, d’une interview ou d’un message vocal. Il charge ensuite cette base dans un outil de synthèse faciale qui crée un masque animable. Pendant l’appel, ses propres expressions faciales sont transposées en temps réel sur le visage de la cible, tandis qu’un module de clonage vocal traduit ses paroles dans la voix copiée. Le tout fonctionne sur un PC gamer haut de gamme, parfois même sur un MacBook récent.

Le temps de préparation a chuté. Un escroc moyen peut désormais monter un kit deepfake fonctionnel en une après-midi, à partir d’éléments publics. Les retraités sont devenus une cible privilégiée parce qu’ils ont peu de réflexes de vérification vidéo et que leurs enfants postent abondamment sur les réseaux. Les responsables financiers de PME également, parce qu’ils sont habitués à des décisions rapides en visio avec leur direction.

J’ai déjà détaillé un mécanisme proche dans l’article sur l’arnaque à la voix clonée par IA. Le deepfake vidéo en est la suite logique : même logique d’usurpation, même exploitation de la confiance, mais une couche visuelle qui pulvérise les derniers garde-fous instinctifs.

5 signaux qui doivent t’alerter pendant un appel vidéo

Les deepfakes temps réel ont beaucoup progressé, mais ils gardent des défauts exploitables. Aucun signal pris seul ne suffit à conclure, c’est l’accumulation qui doit déclencher l’alerte.

Les micro-incohérences visuelles. Regarde le pourtour du visage : cheveux, oreilles, bords de la mâchoire. Le masque a souvent du mal à gérer les transitions, surtout quand la personne bouge la tête ou passe sa main près du visage. Les lunettes peuvent flotter, les boucles d’oreilles disparaître par intermittence, les dents former une masse blanche imprécise. La peau peut paraître trop lisse, comme passée à un filtre Instagram permanent.

La latence de réaction. Une vraie personne réagit à ce que tu dis en quelques fractions de seconde, avec des micro-mouvements involontaires : un haussement de sourcil, un sourire qui s’esquisse. Un deepfake a souvent un demi-temps de retard, parce que le pilote humain derrière doit traiter ce qu’il entend puis le rejouer. Les expressions paraissent calculées, jamais spontanées.

Le refus de tâches simples. Demande à ton interlocuteur de lever trois doigts devant son visage, de tourner la tête à 90 degrés, de passer la main lentement devant son nez. Un deepfake va trouver mille raisons de ne pas le faire : « je n’ai pas le temps », « c’est ridicule, on est entre adultes », « ma webcam déconne ». Une personne qui demande un virement de 50 000 euros peut accepter de lever trois doigts.

L’audio désynchronisé. Concentre-toi quelques secondes sur la bouche. Les phonèmes complexes (les sons « f », « v », « p », « b ») demandent des mouvements de lèvres précis que les modèles peinent à reproduire parfaitement. Si la bouche s’ouvre et se ferme en décalage avec ce que tu entends, ou si les lèvres restent trop immobiles pendant que la voix continue, c’est suspect.

La pression et l’urgence. C’est le signal le plus fiable, parce qu’il ne dépend d’aucune technologie. Un proche ou un dirigeant qui exige une décision financière dans la minute, qui refuse que tu rappelles, qui te coupe quand tu poses des questions de vérification : ce n’est pas une question de deepfake, c’est une question de méthode d’arnaque. Le procédé a été décrit en détail dans le dossier sur l’arnaque au faux conseiller bancaire.

Si tu penses être visé : que faire en direct

Tu as un doute pendant un appel vidéo. La pire chose à faire est de raisonner avec la personne en face, ou d’accepter de continuer la conversation pour « en avoir le cœur net ». Plus l’échange dure, plus l’escroc te conditionne.

La règle d’or tient en deux temps : tu interromps, tu vérifies par un canal différent.

Concrètement, tu peux demander un mot de passe convenu en famille ou en équipe. C’est une pratique que je recommande à tous mes lecteurs depuis la généralisation du clonage vocal. Un mot anodin, choisi à l’avance, jamais écrit, jamais échangé par messagerie. « Quel est notre mot ? » Si ton interlocuteur cherche, bafouille ou se vexe, la conversation s’arrête là.

Si tu n’as pas mis ce système en place, pose des questions qu’un escroc ayant fait du social engineering ne pourra pas anticiper. Pas « comment s’appelle ton chien » (trouvable sur Insta), mais « tu te souviens du restaurant où on a fêté l’anniversaire de Claire l’année dernière ? Comment ça s’appelait déjà ? » Les détails contextuels datés et non publics sont ton meilleur allié.

Dans tous les cas, raccroche et rappelle. Sur le numéro de portable connu de la personne, jamais celui affiché à l’écran ou transmis pendant l’appel. Si c’est un dirigeant de ton entreprise, contacte un autre membre de la direction pour confirmation. Cette double vérification ralentit la transaction de quelques minutes au maximum. Quelques minutes qui valent les dizaines de milliers d’euros que tu protèges.

Comment protéger tes proches (et toi)

La protection contre les deepfakes vidéo ne se joue pas pendant l’attaque mais avant. Trois actions concrètes à mettre en place sans attendre.

Le code mot familial est le rempart le plus simple et le plus efficace. Réunis ta famille proche un dimanche, choisissez ensemble un mot ou une phrase courte. Quelque chose qu’aucun escroc ne pourra deviner : « papier de verre », « tournesol bleu », peu importe. Ce mot sert exclusivement aux situations d’urgence financière ou de demande sensible. Il ne s’écrit pas, ne se partage pas par SMS, ne se prononce jamais en public. Les retraités l’apprennent en cinq minutes et l’utilisent à vie.

La formation visuelle compte aussi. Montre à tes parents ou tes grands-parents des exemples de deepfakes connus (les chaînes YouTube de vulgarisation cybersécurité en regorgent). Voir un faux Tom Cruise parler pendant trente secondes fait beaucoup plus d’effet que dix paragraphes d’explication. L’objectif n’est pas qu’ils repèrent toutes les supercheries, mais qu’ils intègrent que la vidéo peut mentir.

Le signalement aux plateformes ferme la boucle. Si tu as identifié un deepfake utilisé sur Facebook, Instagram, TikTok ou WhatsApp, signale-le via les outils dédiés. Les plateformes ont des équipes de modération qui agissent vite sur les contenus manipulés, surtout quand ils servent à arnaquer. Plus elles reçoivent de signalements, plus elles affinent leurs détecteurs automatiques.

Les mêmes principes valent pour les variantes par SMS ou téléphone que j’ai documentées dans l’analyse des SMS impôts frauduleux et l’enquête sur les faux SAV.

Si l’arnaque a marché : les bons réflexes dans les 24 heures

Tu as validé le virement, partagé l’information sensible, ou cliqué sur un lien envoyé pendant l’appel. La culpabilité va te frapper fort. Mets-la de côté pour les jours suivants : les premières 24 heures se jouent en mode opérationnel.

Opposition virement immédiate. Appelle ta banque (numéro au dos de la carte, jamais celui d’un mail de confirmation suspect) et demande l’opposition sur le virement. Si la transaction n’est pas encore exécutée par la banque réceptrice, elle peut parfois être bloquée. Les banques françaises ont obligation de te répondre rapidement sur ce point. Plus tu attends, plus la chance de récupération s’effondre.

Dépôt de plainte au commissariat ou à la gendarmerie. Demande un récépissé, garde-le précieusement. La plainte est indispensable pour activer ton assurance bancaire ou ton assurance habitation si elle couvre la cyberescroquerie. Apporte toutes les traces : captures d’écran de l’appel si tu as pu, échanges écrits, références du virement, log de connexion si l’appel est passé par Teams ou Zoom.

Signalement sur Pharos. La plateforme du ministère de l’Intérieur (internet-signalement.gouv.fr) centralise les arnaques en ligne et alimente les enquêtes. Ton signalement aide à identifier les réseaux d’escrocs, surtout quand plusieurs victimes décrivent un mode opératoire similaire avec le même avatar ou la même voix clonée.

Alerte immédiate de l’entourage. L’escroc qui t’a piégé a souvent accès à ton carnet d’adresses, ou va relancer ses tentatives sur tes proches en utilisant ton nom. Préviens famille et collègues qu’une usurpation est en cours, par un canal qu’ils reconnaîtront (un appel personnel, pas un message générique). Cette alerte évite la deuxième vague, qui touche souvent les parents ou les enfants de la première victime. Le mode opératoire est documenté dans le dossier sur l’arnaque au faux livreur et ses variantes en cascade.

Enfin, parle. Honte et silence sont les meilleurs alliés des escrocs. Plus les victimes témoignent, plus la société se vaccine.

Questions fréquentes

Un deepfake vidéo peut-il être créé à partir d’une seule photo ?

Oui, et c’est ce qui change tout en 2026. Les modèles récents reconstituent un visage animable à partir d’une photo de profil de bonne qualité. La voix demande un échantillon plus long, généralement entre 10 et 30 secondes, mais elle peut être extraite d’une story Instagram, d’un message vocal ou d’une interview publique. Tout ce qui circule sur tes réseaux peut servir de matière première.

Les outils de détection automatique fonctionnent-ils ?

Partiellement. Microsoft Teams et Zoom ont déployé des détecteurs internes qui repèrent certains artefacts de génération en direct, mais les escrocs adaptent vite leurs modèles pour les contourner. Compte sur ces outils comme une couche de protection supplémentaire, pas comme un filtre fiable. Ton jugement humain et la procédure de double vérification restent la défense principale.

Mon assurance rembourse-t-elle ce type d’arnaque ?

Ça dépend de ton contrat. Certaines assurances habitation incluent une garantie cyberescroquerie avec plafond de remboursement (souvent autour de 5 000 à 10 000 euros). Côté bancaire, l’article L133-19 du Code monétaire impose une protection en cas d’opération non autorisée, mais les banques contestent souvent quand le client a validé volontairement le virement, même sous manipulation. Le dépôt de plainte et le récépissé sont indispensables pour ouvrir le dossier.

Faut-il arrêter de poster des photos et vidéos sur les réseaux sociaux ?

Pas la peine de basculer dans la paranoïa totale, mais quelques ajustements aident. Limite la visibilité de tes posts aux contacts validés, évite les vidéos en gros plan où la voix est très claire, réfléchis avant de publier une story de plusieurs minutes en mode public. Pour les profils professionnels (LinkedIn, sites d’entreprise), c’est plus difficile à éviter, c’est pour ça que la double vérification systématique sur les demandes financières devient non négociable.