Vol d’identité numérique : comment l’IA et les deepfakes transforment la cybersécurité
À l’ère de l’intelligence artificielle et des deepfakes, nos identités numériques sont plus vulnérables que jamais. Phishing automatisé, clonage de voix et visages, marché noir des données personnelles… Les cybercriminels disposent d’outils sophistiqués pour exploiter chaque fragment de notre identité. Retour sur l’émission « Nos identités nous appartiennent-elles encore ? », qui explore les nouvelles menaces et les stratégies pour protéger ses informations en ligne.
L’identité numérique, un actif de plus en plus exposé
À mesure que l’intelligence artificielle progresse, les cyberattaques gagnent en sophistication. Ce ne sont plus seulement des identifiants ou des mots de passe que l’on cherche à détourner, mais l’image même des individus, leurs voix, leur identité numérique au sens large. Ce clonage ne se limite plus à des attributs statiques. Certaines attaques intègrent des éléments de comportement imité : manière de parler, tournures de phrase, routines de connexion, voire habitudes de navigation.
À lire aussi : Chat Control : quand la protection des mineurs menace la cybersécurité européenne
Autant d’indices qui, une fois captés et synthétisés, permettent à des IA d’usurper une présence numérique de manière crédible. Deepfakes, IA générative, pillage de données personnelles, automatisation des campagnes de phishing : tout concourt à faire de l’identité un actif exposé, instable, et désormais monnayable.
C’est ce constat qui a réuni quatre experts dans l’émission « Nos identités nous appartiennent-elles encore ? », produite par Crowdstrike, autour d’une discussion sur l’avenir de la cybersécurité centrée sur l’identité.
La discussion a réuni plusieurs spécialistes du domaine, parmi lesquels Philippe Netzer Joly, Vice-Président et Group Chief Cyber Security Officer chez Arkema, Manuel Henry, Cyber Defense Manager chez Pernod Ricard, Patrick Foubert, CISO de PIXID, et Flavien Moutardier, Senior Product Manager chez Crowdstrike.
Tous s’accordent sur un constat préoccupant : les cybercriminels disposent aujourd’hui d’une longueur d’avance, qu’ils consolident non pas grâce aux outils grand public, mais par des moyens internes, souvent invisibles. Dans ce contexte, les approches réactives ne suffisent plus. La protection de l’identité numérique exige désormais une posture active, mêlant anticipation, encadrement des usages, sensibilisation continue et industrialisation des réponses de sécurité. Le tout, dans un environnement où les frontières entre usages légitimes et détournés deviennent de plus en plus floues.
Deepfakes et IA générative : interdire ou encadrer ?
L’un des sujets centraux du débat concerne la banalisation des technologies de falsification visuelle et sonore. Récemment, un projet open source disponible publiquement sur GitHub a permis de générer des deepfakes vidéo saisissants avec très peu de moyens techniques. Cela soulève une question : ces outils doivent-ils être accessibles à tous ?
À lire aussi : Cybersécurité, sûreté et souveraineté : comprendre le continuum de la menace dans un monde sans limites
Pour Philippe Netzer Joly, la réponse est pragmatique. Interdire cet outil ne changerait rien à la menace réelle. « Les cybercriminels qui font déjà des arnaques au président structurées, qui s’attaquent à des grands groupes, ils n’ont pas besoin de ce projet-là », affirme-t-il. Ils disposent de leurs propres moyens, souvent plus puissants, et n’attendent pas les innovations du marché open source pour agir. « Même en interdisant, on ne touchera pas à cette population-là » qui représente la vraie menace.
Manuel Henry partage cette position, tout en la poussant plus loin : « Si on interdit un outil, les criminels vont développer les leurs. On ne maîtrisera plus du tout ce qu’ils sont en train de faire. » Faut-il au contraire promouvoir certains outils sous contrôle pour que leur usage soit connu et mesurable ?
Un cadre juridique dépassé par la rapidité technologique
Ce qui rend la situation encore plus complexe, c’est le décalage croissant entre les usages technologiques et le cadre légal. Tant que la fraude n’est pas avérée, l’existence d’un outil ou sa diffusion en ligne ne constitue pas nécessairement une infraction. Et même lorsqu’il y a fraude, les cybercriminels « ne sont presque jamais en France, ni même en Europe », rappelle Manuel Henry. Ils opèrent depuis des zones où la réglementation est plus souple, voire complice.
Ce constat empêche une régulation internationale cohérente. Il existe bien des dispositifs de lutte contre la cybercriminalité transnationale, mais ils sont lents, cloisonnés, inégalement appliqués. Cela laisse un champ libre à des campagnes d’escroquerie utilisant des visages synthétiques, des voix clonées, ou des identités détournées, autant de phénomènes qui, aujourd’hui, peuvent être montés avec des outils accessibles publiquement.
Parallèlement, un véritable marché noir de l’identité numérique se développe. Des identités complètes: noms, visages, empreintes vocales, et historiques de navigation sont agrégées, revendues, et utilisées à des fins d’escroquerie ou de chantage. Ce phénomène rend encore plus urgente la nécessité d’une coopération internationale sur les standards de protection identitaire.
L’industrialisation du vol d’identité s’accompagne aujourd’hui d’une sophistication croissante dans la manière dont ces identités sont utilisées. Sur certains forums du dark web, les profils ne sont plus simplement vendus en bloc, mais segmentés en fonction de leur potentiel d’exploitation : comptes bancaires, réseaux sociaux, accès professionnels, profils psychologiques déduits des historiques de navigation… Cette granularité renforce la valeur marchande de l’identité numérique et permet des attaques plus ciblées, plus efficaces. Il ne s’agit plus seulement de pirater une identité, mais d’en monétiser chaque fragment.
L’ambiguïté des usages : entre innovation et menace
Les intervenants soulignent également l’ambiguïté de ces technologies : si elles peuvent être utilisées à des fins malveillantes, elles servent aussi à des usages légitimes, notamment dans les domaines du divertissement ou de l’innovation créative. Il ne s’agit donc pas d’éradiquer l’outil, mais de définir des règles d’usage, et de sensibiliser le grand public aux risques associés.
En effet, les arnaques les plus récentes ciblent de plus en plus les particuliers, en s’appuyant sur leur crédulité face à des vidéos ou appels truqués, souvent perçus comme authentiques.
Dans certains cas, des cybercriminels n’hésitent pas à détourner l’image ou la voix de personnalités publiques pour extorquer de l’argent à des victimes vulnérables. Ces manipulations exploitent un facteur clé : la confiance naturelle accordée à l’image. Et cette confiance est aujourd’hui mise à mal.
Mots de passe et biométrie : des protections fragiles
Un autre point marquant de l’échange concerne l’évolution du phishing. Là où, jadis, les campagnes frauduleuses étaient rédigées à la main, parfois mal orthographiées, l’intelligence artificielle a bouleversé la donne. Philippe Netzer Joly le résume simplement : « Une campagne de phishing, maintenant il suffit de demander à une IA de la faire. »
Flavien Moutardier met en garde : « Les gestionnaires de mots de passe sur Google, c’est une cible particulièrement privilégiée parce que ça permet de récupérer tous les mots de passe qui ont été enregistrés. »
Ces services, bien que pratiques, concentrent une richesse critique. Leur compromission donne un accès direct à l’ensemble de l’identité numérique d’un utilisateur. D’où l’importance d’en limiter l’usage dans les contextes professionnels, voire de les interdire, comme l’indique Patrick Foubert : « Là, on est sur la sensibilisation, l’utilisation de coffres-forts, l’interdiction d’enregistrer des mots de passe dans Google. »
Certaines entreprises explorent des alternatives comme l’authentification biométrique, mais même ces solutions ne sont pas infaillibles. Des IA avancées sont désormais capables de leurrer des dispositifs de reconnaissance faciale ou vocale, remettant en cause la fiabilité de ce qui était, jusqu’ici, considéré comme plus sûr que les mots de passe.
Face à cette menace constante, certains spécialistes évoquent la possibilité d’un futur où les identités numériques deviendraient volontairement périssables. Des identifiants à durée de vie limitée, des voix artificielles non traçables, ou des avatars changeants pourraient constituer des formes de protection active contre l’usurpation. Une logique qui, si elle reste encore marginale, interroge déjà notre rapport à la continuité de soi dans l’espace numérique.
Vers une culture globale de la sécurité de l’identité
L’identité numérique est devenue un champ de bataille. Ce ne sont plus seulement des comptes qui sont détournés, mais des voix, des visages, des comportements. Les outils utilisés (IA, deepfakes, phishing automatisé) ne sont plus réservés aux États ou aux groupes très structurés. Ils sont désormais accessibles à un grand nombre, amplifiant la vulnérabilité individuelle et le risque collectif.
Pour répondre à cette menace diffuse et évolutive, les organisations doivent combiner technologie, sensibilisation et encadrement réglementaire. Interdire ne suffit pas, sensibiliser ne suffit plus. Il faut construire une culture de la sécurité de l’identité, à tous les niveaux : employés, citoyens, décideurs.
Dans l’économie numérique actuelle, l’identité n’est plus seulement un moyen d’accès : elle devient une ressource. Exploitée, mesurée, analysée, vendue, elle est le carburant de modèles économiques entiers fondés sur la personnalisation et la prédiction. Ce glissement d’une identité-outil vers une identité-produit explique aussi pourquoi sa sécurisation devient si stratégique : ce n’est plus simplement une question de vie privée, mais d’équilibre économique global.
Comme l’ont rappelé les experts au cours de cette émission, nos identités sont devenues des actifs numériques. Et à ce titre, elles doivent être protégées avec la même rigueur que les systèmes critiques. Sans quoi, la question cessera d’être rhétorique : non, nos identités ne nous appartiendront plus.
.avif)