Tu reçois un appel visio de ton patron. Son visage, sa voix, ses tics nerveux — tout est parfait. Il te demande un virement urgent. Tu t'exécutes. Une semaine plus tard, tu découvres que tu as viré 26 millions de dollars à des escrocs. Ce scénario n'est pas une fiction. Il s'est réellement produit à Hong Kong en 2024, et en 2026, n'importe qui avec une carte bancaire peut reproduire la même attaque.
Bienvenue dans l'ère du Deepfake-as-a-Service.
Le crime en kit, livré clé en main
Le rapport de Threat Intelligence publié par TEHTRIS fin 2025 pose un constat sans appel : le deepfake n'est plus l'apanage de hackers chevronnés ou d'États-nations. Il est devenu un produit commercialisable, accessible sur le même modèle que le Ransomware-as-a-Service ou le Phishing-as-a-Service avant lui.
Le principe est simple. Des plateformes underground proposent un catalogue de services d'IA malveillante : échange de visage en temps réel pour les appels vidéo, clonage vocal ultra-réaliste, génération d'images de faux profils, chatbots capables de maintenir des conversations crédibles pendant des semaines. Le client paie, reçoit ses outils, et lance son attaque. Pas besoin de savoir coder. Pas besoin de comprendre les réseaux de neurones. L'interface est conçue pour les débutants.
Eric Bregand, Chief Product Officer chez TEHTRIS, résume la situation : « 2025 pourrait bien être l'année où la cybercriminalité bascule définitivement dans une nouvelle ère — celle du crime automatisé, scalable et indétectable. »
Haotian AI : le Amazon de l'arnaque
Le rapport TEHTRIS met en lumière un acteur particulièrement inquiétant : Haotian AI. Cette organisation, basée en Asie, illustre à elle seule la professionnalisation du Deepfake-as-a-Service.
Son catalogue parle de lui-même :
| Service | Description |
|---|---|
| Face-swapping temps réel | Usurpe n'importe quel visage lors d'un appel vidéo |
| Synthèse vocale | Clone une voix avec précision à partir de quelques secondes d'audio |
| Chatbots automatisés | Maintient des centaines de conversations simultanées 24h/24 |
| Génération d'images | Crée de faux profils crédibles pour les réseaux sociaux |
Haotian AI ne se contente pas de vendre des outils. L'organisation facilite activement leur utilisation par des cybercriminels : architecture de bots prête à l'emploi, méthodes de blanchiment via cryptomonnaies, techniques d'engagement prolongé des victimes. C'est un véritable écosystème criminel horizontal, du premier contact jusqu'au retrait des fonds.
Les recherches OSINT de TEHTRIS montrent que cette plateforme alimente des escroqueries à travers le monde entier, sans distinction de cible. Particuliers, PME, multinationales — personne n'est épargné.
Pourquoi les deepfakes trompent (presque) tout le monde
En 2026, il ne faut plus être expert pour créer un deepfake convaincant. Comme le souligne un guide d'autodéfense numérique publié par Akademia AI, les outils sont devenus accessibles à tous. Quelques clics suffisent pour générer un message crédible en quelques minutes.
Le problème fondamental, c'est que ces attaques ne ciblent pas la technologie. Elles ciblent l'humain.
L'escroc n'a plus besoin d'écrire un mail parfait. Il lui suffit de provoquer l'urgence, la peur ou le sens du devoir. Un dirigeant reçoit un message vocal censé venir de son associé : « Je suis en déplacement, fais ce virement urgent aujourd'hui ». La voix correspond. Le ton aussi. Le montant paraît raisonnable. Aucun voyant rouge ne s'allume — parce que l'associé n'a jamais enregistré ce message.
En famille, c'est identique. Le téléphone sonne le soir. Une voix paniquée au bout du fil : « Maman, j'ai eu un accident, j'ai besoin de 2 000 euros ». La voix semble familière. L'émotion prend le dessus. La raison fait une pause. C'est exactement ce que les escrocs attendent.
Les trois vecteurs d'attaque dominants
1. Le deepfake vidéo
L'attaque la plus spectaculaire. Tu reçois une vidéo ou tu participes à un appel visio où le « patron » te demande une action urgente. La mauvaise qualité de l'image, le faible éclairage et la pression du temps font le reste. Comme l'a montré l'affaire de Hong Kong, même des cadres supérieurs d'une multinationale s'y laissent prendre — à hauteur de 26 millions de dollars.
2. L'arnaque vocale (voice scam)
C'est aujourd'hui l'une des ruses les plus sournoises. L'escroc récupère un échantillon de voix sur TikTok, YouTube, une story Facebook ou un webinaire d'entreprise. Quelques secondes suffisent pour cloner une voix avec une précision troublante. L'attaque n'a pas besoin d'être parfaite — il suffit qu'elle soit suffisamment proche, et que l'échange soit court et émotionnel.
3. Le phishing assisté par l'IA
Le phishing n'a pas disparu, il a simplement muté. Les messages sont mieux rédigés, plus personnels et plus difficiles à distinguer des vrais. Fini le « Cher client » générique. Maintenant, ton prénom apparaît, le nom de ton entreprise, le contexte d'une commande récente. C'est particulièrement dangereux dans les PME, où une seule personne gère la comptabilité, les achats et les urgences.
L'automatisation change la donne
Ce qui distingue vraiment le Deepfake-as-a-Service des arnaques d'il y a deux ans, c'est l'échelle. Les bots IA peuvent simuler des centaines de conversations simultanément, 24 heures sur 24. Les plateformes DfaaS fournissent des outils d'automatisation prêts à l'emploi.
Un rapport de Cyble publié début 2026 confirme cette tendance : le marché du Deepfake-as-a-Service a explosé en 2025, propulsant la fraude à l'identité par IA et les risques d'ingénierie sociale à un niveau sans précédent. Les identités synthétiques — des profils entièrement générés par IA avec des visages, des voix et des historiques crédibles — sont en passe de redéfinir le paysage de la cybersécurité en 2026.
Le rapport cite des exemples concrets d'utilisation :
- Usurpation d'identité en visioconférence — remplace un dirigeant lors d'un call stratégique
- Escroqueries sentimentales (« Pig Butchering ») — des faux profils engagés dans des relations de longue durée pour extorquer des fonds
- Contournement des procédures KYC — utilise des deepfakes pour passer les vérifications d'identité des plateformes financières
C'est cette combinaison — automatisation + réalisme + accessibilité — qui rend la menace si difficile à contrer. Comme nous l'avions vu lors de l'attaque de Vercel par les ShinyHunters, la supply chain numérique est déjà fragile. Le DfaaS ajoute une couche de sophistication qui la rend redoutable.
Comment se protéger : 5 réflexes qui sauvent
Pas besoin d'être expert en cybersécurité pour se défendre. La plupart des arnaques aux deepfakes reposent sur la pression émotionnelle et l'urgence. Voici cinq tests simples à systématiquement appliquer.
1. Le test de l'urgence
Si quelqu'un exige une réaction immédiate — virement, code, clic sur un lien — arrête-toi 60 secondes. Les arnaques reposent presque toujours sur la pression du temps. Pose-toi trois questions :
- Cette affaire ne peut-elle vraiment pas attendre 10 minutes ?
- Cette personne communique-t-elle habituellement de cette manière ?
- La demande est-elle inhabituelle, même si elle semble crédible ?
Un proche réel survivra à 3 minutes de vérification supplémentaires. L'escroc compte sur le fait que tu ne les prendras pas.
2. Le test du second canal
La méthode la plus simple et la plus efficace. Si tu reçois un message suspect, ne réponds pas dans le même fil. Appelle le numéro connu à l'avance. Écris via un canal convenu. En entreprise, fais confirmer l'instruction par une deuxième personne.
3. Le test de la question privée
Si tu soupçonnes un clonage de voix, ne demande pas « C'est toi ? ». Cette question ne sert à rien. Pose une question courte dont seule la personne connaît la réponse. Le nom du chien d'enfance. Le lieu des dernières vacances. En famille, définis un code de sécurité — un mot absurde et absent des réseaux publics.
4. Le test du détail technique
Les deepfakes passent au niveau de l'impression générale. Ils trébuchent sur les détails. Dans une vidéo, fais attention aux clignements des yeux (souvent irréguliers ou absents), aux reflets incohérents dans les pupilles, aux distorsions autour du visage lors des mouvements rapides, à l'asymétrie des mains ou des accessoires. Les Numeriques soulignent dans leur guide publié le 1er mai 2026 que la « peau de porcelaine » — un visage trop lisse, sans pores ni rides — reste l'un des premiers indices visuels.
5. Le test du bon sens
Si la demande implique un virement vers un compte inconnu, un partage d'informations sensibles ou une action inhabituelle — valide toujours par un autre chemin. Un appel, un SMS, une vérification en face à face. Le temps gagné à ignorer cette étape ne compensera jamais ce que tu pourrais perdre.
Ce que les entreprises doivent mettre en place
Le rapport TEHTRIS formule des recommandations précises pour les RSSI et les équipes SOC/MDR :
Adopter une approche XDR hyper-automatisée — intégrer des solutions proactives capables d'anticiper les menaces émergentes liées aux plateformes DfaaS. La détection traditionnelle par signature ne suffit plus face à des attaques qui usurpent des identités légitimes.
Miser sur la détection comportementale — identifier les anomalies subtiles dans les communications : latences inhabituelles, incohérences vocales, demandes urgentes hors protocole. Le deepfake n'est pas parfait. Il laisse des traces comportementales.
Surveiller les flux financiers — tracer les transactions suspectes et les adresses crypto liées aux activités criminelles. Les plateformes DfaaS reposent massivement sur les cryptomonnaies pour le blanchiment, comme nous l'avons déjà documenté.
Sensibiliser et former — organiser des simulations de deepfakes et de phishing vocal pour préparer les équipes. La meilleure technologie du monde ne servira à rien si un collaborateur clique sans réfléchir.
2026 : l'année où le faux devient indétectable ?
Le constat est clair : les outils de deepfake progressent plus vite que les outils de détection. Les modèles d'IA s'améliorent à chaque génération. Les données publiques — vidéos YouTube, podcasts, stories Instagram — alimentent les clones avec une précision croissante.
La France n'est pas épargnée. Avec 23 millions de comptes piratés en trois mois et des fuites de données massives comme celle de l'ANTS, les cybercriminels disposent d'une matière première abondante pour nourrir leurs deepfakes : photos d'identité, données personnelles, numéros de téléphone. Chaque fuite de données renforce potentiellement l'arsenal des plateformes DfaaS.
Le ministère de l'Intérieur français a d'ailleurs publié une fiche pratique sur les arnaques utilisant l'IA, reconnaissant officiellement que « l'IA s'est rapidement intégrée à nos usages numériques » et qu'il devient « de plus en plus difficile de les détecter ».
Le deepfake n'est plus une curiosité technique. C'est une industrie. Un business structuré, avec ses fournisseurs, ses plateformes, ses clients et ses victimes. Et tant que les outils de détection n'auront pas rattrapé leur retard, la meilleure protection restera le bon sens — et un réflexe simple : vérifie toujours par un autre canal.
Sources
- Deepfake-as-a-Service : L'IA au cœur de la cyberfraude 2.0 — Global Security Mag, rapport TEHTRIS 2025
- Deepfake-as-a-Service Exploded In 2025: 2026 Threats Ahead — Cyble, 2026
- IA : une arnaque par deepfake a coûté 26 millions de dollars à une entreprise de Hong Kong — France Inter, février 2024
- Deepfake : comment les reconnaître et se protéger des arnaques — Les Numériques, mai 2026
- Autodéfense numérique 2026 : deepfake et arnaque vocale — Akademia AI, 2026
- Les arnaques utilisant l'intelligence artificielle — Ma Sécurité, Ministère de l'Intérieur
Julian COLPART
Fondateur & Rédacteur en chef
Passionné de tech, d'IA et de tendances qui façonnent notre quotidien. Je vérifie et valide chaque article publié sur DailyTrend pour garantir l'exactitude et la qualité de l'information.