Le deepfake est un ensemble de technologies florissant qui cause des dommages dont les montants explosent. Et la réponse des autorités est beaucoup trop timorée. (Photo générée par ChatGPT 4.0)

Le deepfake est un ensemble de technologies florissant qui cause des dommages dont les montants explosent. Et la réponse des autorités est beaucoup trop timorée. (Photo générée par ChatGPT 4.0)

La scène est cocasse: un groupe de chercheurs de l’Université a réalisé un deepfake du Premier ministre pour lui montrer comment ils vont remédier au problème. Pas question que les journalistes se saisissent de cette fausse vidéo, interdiction dont les uns et les autres se renvoient la responsabilité. À l’heure où il ne faut que trois minutes pour avoir mon propre «FakeLuc», la consigne éclaire sur le trouble qui entoure un tsunami technologique.

(À nos lecteurs: «Cachez ce [deepfake] que je ne saurais voir» est… une sorte de deepfake du Tartuffe de Molière, lequel feint d’être troublé par la jeune femme qu’il essaie de séduire)

- Il est interdit de prendre des vidéos!

- …

- Il est interdit de prendre des photos de l’écran!

- …

Un dialogue de sourds s’engage. Au-dessus de notre épaule, plus présente que la police des mœurs dans les pays les plus conservateurs, la porte-parole de l’Université du Luxembourg scrute avec attention que le faux Frieden ne soit pas immortalisé alors qu’il promet un «Chill Act» avec port obligatoire de socquettes blanches avec des tongs et ananas sur la pizza. Avant d’aller discrètement se plaindre au service de sécurité du Premier ministre du peu de discipline dont le journaliste lui témoigne. Avec la voix basse de ceux qui peuvent vous aplatir comme une crêpe d’une prise ancestrale venue d’un obscur sport de combat asiatique millénaire, celui-ci «invite» aussitôt le récalcitrant à ne pas diffuser de photo s’il en a une. Ajoute que «la situation est déjà assez compliquée comme ça». Poli. Affable. Mais ferme.

Mais qui a donné cette curieuse consigne? Interdire à un journaliste de photographier un dispositif qui tourne toute la journée avec un deepfake du directeur du SnT. Pour l’Université, c’est le Premier ministre. Pour le Premier ministre, interrogé directement, c’est l’Université. «Le Grand-Duc a déjà été visé. a déjà été visé. J’ai déjà été visé et mes services ont très vite fait le nécessaire», confie le chef du gouvernement, qui ajoute que trop de gens croient ces deepfakes au point de lui demander des comptes.

Une crédulité «humaine» qu’effectivement, des chercheurs ont déjà démontrée: un quart des personnes exposées à un deepfake croient ce que dit la vidéo et 72% des personnes interrogées en 2022, avant la vague actuelle, ne savaient pas ce qu’était un deepfake. «Probablement», tente-t-il, «que l’Université a voulu éviter que ce deepfake ne se retrouve sur les réseaux sociaux». Comme un pompier qui allumerait un incendie, quoi? En fin de journée, l’Université renvoie un dernier mail qui indique avoir reçu la consigne de «ne pas laisser quiconque photographier ou filmer le deepfake du Premier ministre lors de son passage. Ce fichier a été réalisé uniquement à une fin didactique entourant la visite de au Partnership Day.» Ajoutons qu’il a été effacé dès que le chef du gouvernement a tourné le dos.

La photo interdite ne présente aucun danger, ni pour le Premier ministre, ni pour l’Université. Elle montre un faux Premier ministre en train d’annoncer un Chill Act avec des mesures qui ne sont, au pire, que des fautes de goût. (Photo: Maison Moderne)

La photo interdite ne présente aucun danger, ni pour le Premier ministre, ni pour l’Université. Elle montre un faux Premier ministre en train d’annoncer un Chill Act avec des mesures qui ne sont, au pire, que des fautes de goût. (Photo: Maison Moderne)

Ouf. La perspective d’un nouveau Bommeleër s’éloigne... Ne reste qu’un message pas forcément flatteur: le Premier ministre avait-il vraiment besoin d’être confronté à sa propre fausse image pour comprendre l’enjeu des deepfakes? Si la réponse est assurément «non» pour Luc Frieden, de très nombreux dirigeants d’entreprise et politiques mériteraient d’être sensibilisés à cette nouvelle forme de «fraude au président» – dans laquelle traditionnellement un faux président appelait, plutôt le vendredi soir, son comptable pour lui demander de virer rapidement une forte somme dans le cadre d’un nouveau contrat juteux – «fraude au président» qui explose.

Un deepfake toutes les cinq minutes

«Explose», oui. Besoin de chiffres pour «mesurer» cette explosion?

- Les tentatives de deepfake ont été multipliées par 31 en 2023 par rapport à l'année précédente, ce qui représente une croissance stupéfiante de 3.000%, selon le Rapport Onfido sur la fraude à l’identité 2024.

- Le même rapport en 2025 indique un deepfake toutes les cinq minutes (+244% sur un an).

- Les deepfakes comptent pour 40,8% dans les fraudes financières biométriques.

- Une société spécialisée dans la cybersécurité a enregistré une augmentation de 1.400% des attaques deepfake au cours du premier semestre 2024.

- Selon le rapport de Signicat, les tentatives de fraude par deepfake dans le secteur financier ont augmenté de 2.137% au cours des trois dernières années. Il y a trois ans, les deepfakes ne figuraient même pas parmi les trois types de fraudes d’identité numérique les plus courants.

- Le nombre estimé de vidéos deepfakes a montré une augmentation exponentielle, passant de moins de 8.000 en 2019 à une prévision de 200.000 en 2025.

- Le coût global des fraudes liées aux deepfakes est passé de 0,1 milliard de dollars en 2019 à 4,7 milliards en 2023. Les prévisions pour 2025 atteignent potentiellement 10,5 milliards de dollars.

- Certains outils de deepfake faciles à utiliser attirent jusqu’à 10 millions de recherches par mois.

Trois technologies qui se nourrissent les unes les autres

Le plus affolant est justement ce dernier chiffre: il montre comment ChatGPT a dopé l’utilisation par monsieur Tout-le-Monde, surtout mal intentionné. Le montant à investir dans un deepfake est quasiment passé à zéro, la rapidité à quelques minutes et la technologie à du «plus vrai que nature».

Jusqu’ici, les experts vous disaient: «Regarde les battements de cils et tu pourras déterminer si c’est un fake.» Mais ça, c’était jusqu’ici.

Les cybercriminels utilisent trois technologies de base que nous allons ici essayer de vulgariser:

Les auto-encodeurs: une image de vous, une fausse image et au milieu, une technologie qui va modifier le faux en rapprochant pixel par pixel le faux du vrai. Comme un peintre qui retoucherait un portrait mal abouti d’un de ses élèves, mais de manière automatisée et digitalisée.

- Les generative adversorial networks: deux réseaux antagonistes qui s’affrontent, un faussaire qui génère les fausses images et un détective qui analyse les fausses images, jusqu’à ce que les images du faussaire ne suscitent plus de commentaires du détective.

- Les convolutional neural networks: comme les loupes ultragrossissantes des salles de bain, le réseau va analyser chaque «pore» de la peau avec précision pour faciliter la création du deepfake. Cette technologie est d’ailleurs souvent la base des deux autres.

Et les «policiers» ou ceux qui garantissent notre sécurité mentale doivent donc repérer le plus tôt possible comment les vidéos qui circulent ont été bricolées. Puis, dans un deuxième temps, agir pour empêcher ces contenus de se propager tout en mettant en œuvre une communication officielle si la personnalité est publique et si les cybercriminels ont lu «La rumeur», de Jean-Noël Kapferer, qui expliquait déjà en 1987, comment rendre les rumeurs crédibles.

Le projet du SnT s’attache justement à détecter ces bricolages. Non pas pour fournir une solution logicielle au marché, comme l’a précisé le head of SNT Technology Transfer Office, , au cours de la visite de presse mais pour apprendre au marché luxembourgeois – et notamment à Post qui cofinance ce projet de recherche – comment fonctionnent les deepfakes pour mieux les comprendre et les combattre.

De l’urgence d’une stratégie nationale

Sans connaître encore le plan de bataille du gouvernement Frieden, qui sera, dans les grandes lignes, présenté la semaine prochaine, le Luxembourg devrait aller plus vite et plus fort sur deux aspects fondamentaux.

D’abord, contrairement à ce que l’on imagine, les deepfakes ne sont pas majoritairement utilisés sur TikTok pour faire rigoler tout le monde mais pour bypasser les procédures d’identification du secteur bancaire et de la place financière. 40,8% des fraudes biométriques sont dues à des deepfakes. À partir des données extensives de la Reserve fédérale américaine, le Deloitte Center for Financial Services avait anticipé dès 2023 que la fraude à l’identité synthétique générerait au moins 23 milliards de dollars de pertes d’ici 2030. Sont particulièrement visées les banques traditionnelles qui proposent des crédits.

Au point que le régulateur financier américain a publié, en novembre dernier, une alerte spécifique sur ce sujet, avec neuf red flags très pragmatiques – ce pragmatisme qu’on chérit au Luxembourg.

1.  Photo du client incohérente: la photo paraît modifiée ou en contradiction avec les autres informations d’identification (ex.: la date de naissance suggère un âge différent de celui apparent sur la photo).

2. Documents d’identité incohérents: le client présente plusieurs documents d’identité qui ne sont pas cohérents entre eux.

3. Utilisation de logiciels de webcam tiers ou anomalies techniques: le client utilise un plug-in de webcam durant la vérification en direct, ou signale des problèmes techniques suspects pour éviter cette vérification.

4. Refus d’utiliser l’authentification multifactorielle (MFA) pour prouver son identité.

5. Photo d’identité trouvée dans une base de données publique de visages générés par IA lors d’une recherche d’image inversée.

6. Détection par un logiciel anti-deepfake: la photo ou la vidéo du client est identifiée comme potentiellement manipulée.

7. Contenu textuel suspect dans le profil du client: du texte produit par GenAI est détecté dans les réponses ou informations fournies.

8. Données géographiques ou techniques incohérentes: les informations sur la localisation ou le type d’appareil utilisé ne correspondent pas aux documents d’identité fournis.

9. Comportement financier suspect: un compte nouvellement ouvert ou peu actif montre des transactions rapides, des paiements vers des sites à risque (jeux, crypto, etc.), ou de nombreux refus/contestation de paiements. 

La Place doit donc se saisir urgemment et fortement du problème.

Ensuite, comme pour de nombreuses problématiques, le gouvernement doit avoir une action non seulement de sensibilisation, mais aussi d’éducation. (!), , mais il faut absolument donner à cette stratégie une autre envergure.

Jusqu’ici, la Chine, la Californie, le Royaume-Uni et la France (dans certaines circonstances) ont sévèrement durci l’utilisation de deepfakes et l’Europe (ou le Luxembourg) devraient s’interroger sur la nécessité d’être plus clairs au lieu de s’en remettre à des textes plus ambigus…

(Je retourne ici lire «Tartuffe», œuvre éminemment moderne sur l’esprit critique et qui nous invite à distinguer l’apparence de la réalité, à ne pas confondre morale et moralisme, et à rester lucides face aux faux dévots, aux charlatans, et aux manipulateurs.)

Pour aller plus loin

sur les évolutions de la menace.

et ses nombreux liens à parcourir.

.

en 2024.

Le , parce que cette entreprise propose des plateformes unifiées au lieu d’un stack de 100 technologies raccordées les unes aux autres et qui augmentent les risques.

.

Articles Associés