Deepfake : Comment détecter, comprendre et se protéger contre cette menace numérique

Avant-propos de l'auteur

Comment j’en suis arrivé à penser cet article ? C’est plutôt simple, je me suis fait la réflexion suivante il y a peu :

“C’est quand même fou de se dire que n’importe quel contenu nous concernant, un audio, une vidéo oubliée sur un vieux blog, un Reels sur Insta ou n’importe quel support audio/visuel d’à peine quelques dizaines de secondes, peut suffire à un parfait inconnu pour usurper notre identité.”

Sans aucune connaissance en informatique ou en code et avec juste un peu de jugeote malveillante, nous pourrions tous être les victimes d’un acteur ayant décidé de créer un ou des clônes numériques de nous. Agissant en notre nom, avec notre visage et notre voix sans que nous le sachions : pleins de petits clones, pleins de petits agents Smith (”aaaah c’est pour ça le titre…”)

C’est bon ? Le sujet vous intéresse ? Allez on y va !

Les deepfakes représentent aujourd'hui une menace sérieuse pour les entreprises comme pour les particuliers. Cette technologie, qui permet de créer de fausses vidéos, images ou enregistrements audio réalistes grâce à l'intelligence artificielle, est devenue une arme puissante pour les cybercriminels.

Mais comment fonctionnent vraiment les deepfakes ? Comment les détecter ? Et surtout, comment s’en protéger efficacement ? Dans cet article, nous explorons les risques liés aux deepfakes et vous donnons les meilleures méthodes pour vous défendre.

Qu’est-ce qu’un deepfake ? Définition et fonctionnement

Commençons par le commencement.

Avant de critiquer, il faut comprendre. Alors, avant d’attaquer le sujet de front, on va d’abord revoir rapidement ce qu’est un deepfake et comment ça fonctionne.

Définition d’un Deepfake

Un deepfake, c’est un contenu multimédia (vidéo, image ou audio) généré ou modifié par intelligence artificielle afin d’imiter de manière ultra-réaliste l’apparence, la voix ou les gestes d’une personne.

L’idée de base ? Prendre des extraits existants (une photo, une vidéo, un enregistrement audio) et les transformer en un faux contenu si convaincant qu’il devient difficile, voire impossible, de distinguer le vrai du faux. Définition simple, basique.

Comment fonctionne un Deepfake ? 

Les deepfakes reposent sur un principe assez simple en apparence : analyser, apprendre et reproduire.

Tout commence avec un encodeur universel, un algorithme qui scanne et extrait les caractéristiques principales du visage et des mouvements d’une personne. Ces informations sont ensuite stockées dans ce qu’on appelle un espace latent, une sorte de version compressée de l’identité visuelle et corporelle de l’individu ciblé.

Ensuite, un modèle spécifique vient reconstruire ces données pour les appliquer sur une autre vidéo.

Résultat ? Une fusion quasi-parfaite entre les traits de la personne imitée et les mouvements du sujet d’origine.

GANs : La technologie derrière les Deepfakes

Pour rendre ces fakes encore plus réalistes, on utilise, depuis 2014, une technologie redoutable : les GANs (Generative Adversarial Networks), inventés par un chercheur nommé Ian Goodfellow.

Comment fonctionnent les GANs ?

Le concept des GANs, c’est un jeu du chat et de la souris entre deux algorithmes :

• Le générateur : il crée de fausses images en s’appuyant sur ce qu’il a appris.

• Le discriminateur : il analyse ces images et tente de repérer celles qui sont fausses.
  

À chaque erreur détectée, le générateur s’améliore, rendant les deepfakes qu’il génère toujours plus réalistes, jusqu’à devenir quasi indétectables.

L’essor des Deepfakes : De la culture pop aux cyberattaques

Nous voilà en 2017, année où les premiers deepfakes font surface sur Reddit.

Au départ, c’était presque qu’un simple délire de geeks : des vidéos virales où Nicolas Cage apparaissait dans tous les films cultes de la pop culture d’Internet. Tout ce qu’on aime.

Mais bon, parallèlement à ça, beaucoup de DeepFake pornographique faisaient déjà leur apparitions. La suite, vous la connaissez …

Les deepfakes comme armes de désinformation

Huit ans plus tard, on est passé à un tout autre niveau. Ces technologies ont tellement progressé qu’elles sont devenues de véritables armes géopolitiques : des outils de désinformation à grande échelle conduisant à des ingérences diplomatiques dans un grand nombre des pays du globes (Ukraine, Russie, USA, Israël, U.K, France…), allant jusqu’à de la manipulation de masse lors d’élections présidentielles.

Des exemples d’usages malveillants, on en a à la pelle. Tellement en fait, que je ne vais pas vous faire une liste à la Prévert des 1001 histoires et témoignages disponibles sur Internet.

Ce qui m’intéresse ici, ce n’est pas de vous faire peur avec des scénarios catastrophes. C’est de comprendre :

Comment lutter contre les dérives d’une technologie aussi “simple” dans son objectif de conception, et pourtant, aussi impactante dans son déploiement ?

Bref … peut on vraiment se défendre ?

Comment détecter un Deepfake ?

La première étape pour se protéger, que l’on soit un individu lambda ou une grande entreprise, passe bien évidemment par la sensibilisation. Et cette sensibilisation commence par comprendre comment détecter un DeepFake.

Si on veut éviter de tomber dans le piège, il faut apprendre à repérer les signaux d’alerte. Même si les deepfakes deviennent de plus en plus réalistes, il reste, pour les deepfakes vidéos, des indices visuels qui peuvent éveiller nos soupçons.

Les signes qui doivent vous alerter :

1️⃣ Le clignements des yeux (anormals ou absents) 👀

Les IA ont longtemps eu du mal à reproduire le clignement naturel des yeux. Dans certaines vidéos, les personnes semblent fixer l’écran sans jamais cligner ou alors de manière saccadée.

2️⃣ Les mouvements oculaires irréalistes 🔍

Normalement, les yeux suivent une certaine fluidité et ne bougent pas de manière mécanique. Sur un deepfake, on peut remarquer des déplacements un peu rigides ou trop flottants, voire un regard vide et inexpressif.

3️⃣ Les expressions faciales incohérentes 🤨

Un sourire qui n’atteint pas les yeux, un froncement de sourcils qui semble artificiel… Les micro-expressions humaines sont difficiles à reproduire.

4️⃣ Des problèmes de texture des cheveux 🌀

Les deepfakes ont du mal avec les cheveux fins, bouclés ou en bataille. Regardez si la texture semble floue, trop lisse ou mal définie.

5️⃣ Un désalignement de la tête avec le reste du corps ⚠️

Sur certaines vidéos, il peut y avoir un léger décalage entre la tête et le reste du corps. Cela peut être subtil, mais un mouvement de tête trop fluide ou mal aligné par rapport aux épaules peut être un indice de falsification.

6️⃣ Des défauts chromatiques et/ou des incohérences dans le jeu de lumière 🎭

Les nuances de couleur de la peau : elles peuvent varier d’une partie du visage à une autre. De même, l’ombre portée sur le visage peut ne pas correspondre à la source de lumière présente dans la scène.

7️⃣ Les mouvements du corps désarticulés 🏃♂️

Un corps humain bouge de manière fluide et coordonnée. Dans un deepfake, certains gestes peuvent paraître saccadés, trop rapides ou tout simplement étranges. C’est encore plus visible sur des vidéos où le sujet bouge beaucoup.

8️⃣ Un problème de synchronisation des lèvres 🎙️

Si la bouche bouge légèrement en décalage avec la voix, ou si certaines syllabes semblent étrangement articulées, il y a de fortes chances que la vidéo soit truquée. Faites particulièrement attention aux détails sur les consonnes complexes (P, B, M, V).

Technologies de détection des Deepfakes

Bon ok c’est sympa de savoir tout ça, mais l’appréciation humaine peut tout de même être rapidement biaisée. Après tout, c’est bien elle la principale porte d’entrée des cyberattaques.

N’y aurait-il pas des technologies nous permettant de palier aux erreurs d’appréciations humaines ?

Et bien oui, rassurez-vous, plusieurs solutions existent déjà et certaines d’entres elles sont mêmes françaises 🇫🇷 cocorico 🐓.

• Ircam Amplify – Détection audio avancée

  
  

Ircam Amplify a développé AI Speech Detector, une solution qui exploite des techniques avancées de deep learning combinées à des méthodes de prétraitement du signal audio et d'augmentation par masquage pour améliorer la précision de détection.

Concrètement, cela signifie que des parties du signal audio sont volontairement masquées (brouillées, coupées ou déformées) pendant l’entraînement du modèle, afin qu’il apprenne à faire la distinction entre des voix réelles et synthétiques même lorsque certaines données sont altérées.

L’outil se base sur 10 moteurs d’IA , lui permettant de détecter la plupart des deepfakes audio en circulation. Si un enregistrement provient d’un moteur inconnu, l’algorithme le classera automatiquement comme suspect, déclenchant une analyse plus approfondie.

La start-up travaille en partenariat avec des entreprises du secteur de la cybersécurité pour lutter contre les fraudes aux faux virements bancaires basés sur des deepfakes vocaux, ainsi qu’avec des maisons de disques pour protéger l’industrie musicale contre l’usurpation de voix d’artistes.

Vous aimez ? C’est français 🇫🇷

• Breacher.ai – Pentest de Deepfakes
  

Alors eux, je ne sais pas si vous beaucoup de gens les connaissent mais je les surveille de près, car j’adore leur approche. Breacher.ai est un acteur américain qui propose des services de pentest de Deepfake.

Pour évaluer la vulnérabilité des entreprises face aux attaques par ingénierie sociale utilisant des deepfakes, ils créent des faux contenus hyperréalistes (audio et vidéo) de dirigeants, en exploitant des techniques d'OSINT (Open Source Intelligence) pour recueillir des données publiques.

Leur approche est simple : des simulations d'attaques multi-canaux, testant les défenses biométriques, les processus internes et la vigilance des employés. Cela passe par des deepfakes insérés dans :

• Des appels vidéo et audio,

• Des emails,

• Des interactions sur les réseaux sociaux,

• Des vidéoconférences, etc.

  
  

Ce qui me plaît particulièrement chez eux, c'est qu'ils alignent leurs tests sur les processus métier réels : par exemple, ils ciblent les services financiers pour voir si des virements peuvent être détournés via un deepfake vocal.

Simple et efficace, j’adore.

Des solutions, je n’en ai pris que deux mais la liste est longue sur internet. Leur déploiement peut s’avérer coûteux, notamment pour les plus petites structures.

Je voulais donc vous partager trois méthodes d’authentification simples, peu coûteuses, voire gratuites, que vous pouvez mettre en place dès aujourd’hui pour renforcer votre sécurité face aux deepfakes, qu’ils soient audio ou vidéo.

Se protéger contre les Deepfakes : Solutions pratiques 

Pour protéger son entreprise contre les attaques basées sur les deepfakes, il est primordial d’améliorer ses mesures de cybersécurité. Adopter des technologies et des process de validation permet de limiter les risques d’usurpation d’identité et d’attaques par ingénierie sociale

Renforcer les protocoles de cybersécurité

• Les clés de sécurité MFA : en entreprise, l’authentification forte évite les usurpations d’identité par deepfake en combinant plusieurs facteurs d’authentification. L’authentification double facteur est extremement simple à mettre en place. Google la propose dans la plupart de ses services.

  
  

• Définir un mot de passe avec vos collègues : Simple, gratuit et efficace. Définissez un mot de passe ou une phrase de sécurité avec vos collègues (et même vos proches) lorsque vous échangez sur des sujets sensibles. Si un appel ou un message semble suspect, demandez le mot-clé convenu avant de poursuivre la conversation. Ce simple usage peut stopper net une tentative d’usurpation par deepfake vocal.

  
  

• Le principe du moindre privilège ou RBAC : Le Role-Based Access Control (RBAC) est un principe en cybersécurité qui permet de limiter les accès aux ressources critiques uniquement aux personnes qui en ont réellement besoin. En empêchant qu’un employé ait des droits excessifs, vous réduisez les risques qu’un attaquant utilisant un deepfake puisse usurper une identité et accéder à des informations sensibles. Ou du moins vous le repérerez également plus vite. Simple, efficace et gratuit.

Mettre en place un Système de Management de l’Information (SMSI)

L’arme ultime reste bien évidemment celle de se munir d’un véritable Système de Management de l’Information (”SMSI”). En sécurisant la gestion globale de l’information au sein de votre organisation, vous vous assurez d’avoir les armes nécessaires en interne afin de minimiser au maximum les risques liés à ces nouvelles technologies.

Conclusion : Peut-on vraiment se protéger des Deepfakes ?

La vigilance, la sensibilisation et les bons supports techniques réduisent considérablement les risques d’usurpation. Mais la vérité, c’est que la technologie évolue tellement vite qu’il est difficile d’avoir une longueur d’avance.

L’erreur reste humaine, vous ne serez jamais totalement à l’abris de ne pas vous faire avoir par un agent Smith mais vous aurez au moins tous les outils de votre côté pour réduire au maximum l’impact qu’une telle attaque pourrait avoir sur votre entreprise.

Parce qu’avouons-le, se faire voler son identité par une IA, c’est quand même moins classe dans la réalité que dans un film des Wachowski et beaucoup plus embêtant qu’un simple bug sur Excel.

À bon entendeur !

Sources

• https://www.deeptracetech.com/ 

• AI Voice Detector

• Une solution française permet d’identifier la majorité des deepfakes musicaux et vocaux | Techniques de l'Ingénieur

• Qui est Sensity, la start-up qui détecte les deepfake

• Qu'est-ce qu'un deepfake et quels en sont les risques ?

• Deepfakes générés par l’IA : Un danger sous-estimé pour la cybersécurité ?

• Cybersécurité en entreprise : La solution pour se protéger - Mailinblack

• "Personne n'est capable de faire la différence": les deepfakes font craindre des escroqueries de plus en plus sophistiquées

• 10 meilleurs outils et logiciels de détection de Deepfake IA (2025) - HashDork