L'IA au service des arnaqueurs : comment les escrocs utilisent ChatGPT

Début 2024, une employée d'une multinationale hongkongaise a viré 25 millions de dollars suite à un appel vidéo avec ce qu'elle croyait être son directeur financier et plusieurs collègues. Tous étaient des deepfakes générés en temps réel. Cet épisode n'est pas un cas isolé : il illustre une révolution silencieuse mais radicale dans les méthodes des cybercriminels. L'IA n'est plus seulement l'outil des développeurs et chercheurs — c'est désormais l'arme de prédilection des escrocs.

Le phishing parfait : quand l'IA supprime les fautes

Pendant longtemps, le phishing avait un talon d'Achille évident : la qualité de la langue. Un email truffé de fautes d'orthographe, avec une syntaxe approximative et un ton maladroit, était immédiatement suspect. Les campagnes de masse en provenance de pays non francophones laissaient des traces évidentes dans le texte.

Ce marqueur de détection n'existe plus. Des outils comme ChatGPT, Claude ou Gemini produisent un français parfait, idiomatique, parfaitement adapté au registre souhaité — formel, amical, urgent, rassurant. Un escroc qui ne parle pas un mot de français peut désormais rédiger un email parfaitement convaincant imitant votre banque, votre opérateur, ou même votre employeur.

De la campagne de masse au ciblage individuel

Plus inquiétant encore : l'IA permet le spear phishing à grande échelle. Avant, cibler une personne précise — en mentionnant son nom, sa banque, sa ville, son employeur — demandait un travail de renseignement manuel. Aujourd'hui, un script automatisé collecte ces informations depuis les réseaux sociaux, LinkedIn, les mentions publiques, et les injecte dans un modèle de message personnalisé. Des milliers d'emails hyper-ciblés peuvent être générés et envoyés en quelques minutes.

Le destinataire reçoit un message qui mentionne son prénom, sa banque spécifique, une transaction récente parfois inventée avec suffisamment de vraisemblance — et qui lui demande d'agir en urgence. La combinaison de personnalisation et d'urgence est redoutable.

Le clonage vocal : votre banque vous appelle... mais ce n'est pas votre banque

Le vishing — hameçonnage par téléphone — a toujours existé. Mais les deepfakes audio lui ont donné une dimension nouvelle et terrifiante. Des outils désormais accessibles au grand public permettent de cloner une voix à partir de moins de 3 secondes d'audio. Une vidéo YouTube, un message vocal sur WhatsApp, une interview dans un podcast : c'est suffisant.

Des familles ont reçu des appels de ce qui ressemblait à la voix de leur enfant, en larmes, demandant de l'argent en urgence après un accident ou une arrestation. Des salariés ont reçu des "instructions" vocales imitant leur directeur général pour effectuer des virements. Le réalisme de ces clonages est tel que même des personnes averties peuvent être trompées.

En 2025, des systèmes de clonage vocal en temps réel permettent à un escroc de mener une conversation téléphonique complète avec la voix d'une autre personne. Il parle dans son microphone, et l'IA transforme sa voix en direct — avec l'accent, le timbre et les intonations de la victime ciblée.

Des sites frauduleux clonés en quelques minutes

Créer un faux site internet ressemblant à celui de la Caisse d'Allocations Familiales, de la SNCF ou de votre banque demandait autrefois des heures de travail. Des compétences techniques, une connaissance du HTML/CSS, un œil pour le détail graphique. Aujourd'hui, un outil d'IA peut analyser un site réel et en produire une copie visuelle quasi-identique en quelques minutes.

Ces clones sont déployés sur des domaines ressemblant à l'original (ameli-social.fr, caf-allocations.fr, ma-banque-securisee.fr), hébergés sur des serveurs offshore, et équipés de formulaires qui transmettent immédiatement vos identifiants aux attaquants. La durée de vie de ces sites est courte — quelques heures à quelques jours — ce qui complique leur détection et leur signalement.

ChatGPT comme "complice" : les contournements existent

OpenAI, Anthropic et les autres éditeurs de modèles de langage ont mis en place des garde-fous pour empêcher la génération de contenu malveillant. Demander directement à ChatGPT d'écrire un email de phishing ou un script d'arnaque sera refusé. Mais la communauté des cybercriminels a développé des techniques de contournement sophistiquées.

Les "jailbreaks" — des formulations qui trompent le modèle en lui faisant croire qu'il joue un rôle, qu'il rédige de la fiction, ou qu'il répond à une demande légitime de test de sécurité — permettent d'extraire des contenus que les filtres sont censés bloquer. Des forums spécialisés échangent et actualisent en permanence ces techniques dès que les éditeurs corrigent une faille.

Par ailleurs, des modèles non censurés — entraînés sans garde-fous — circulent librement et permettent de générer n'importe quel type de contenu frauduleux sans la moindre restriction.

Comment se protéger concrètement

Face à des arnaques que l'on ne peut plus détecter par la seule qualité du français ou l'apparence d'un site, les réflexes de protection doivent évoluer :

• Ne jamais agir sous pression. L'urgence est la principale arme des escrocs. Une vraie banque, un vrai employeur, un vrai service public peut attendre que vous vérifiez. Si quelqu'un vous demande d'agir "dans les 10 minutes", raccrochez et rappelez sur le numéro officiel.
• Établir un mot de code avec vos proches. Face au clonage vocal, une phrase secrète connue de votre famille permet de vérifier en quelques secondes si vous avez vraiment votre enfant en ligne.
• Vérifier les URLs avant de saisir quoi que ce soit. Un site visuellement identique à votre banque peut avoir un domaine différent d'un seul caractère. Apprenez à lire une URL.
• Ne jamais rappeler sur un numéro fourni dans un message suspect. Cherchez le numéro officiel sur le site de l'organisation, puis appelez vous-même.
• Utiliser une protection technologique à jour. Les habitudes humaines ne suffisent plus face à des attaques automatisées et personnalisées.

DYLETH : l'IA qui combat l'IA

La réponse à une menace générée par l'IA ne peut pas être uniquement humaine. C'est l'approche que DYLETH a adoptée dès sa conception : utiliser l'analyse comportementale et l'apprentissage automatique pour détecter des patterns que l'œil humain ne peut pas voir.

Là où un email généré par l'IA peut être grammaticalement irréprochable, son comportement réseau, les métadonnées de l'expéditeur, la structure des liens inclus et le timing d'envoi trahissent souvent son origine automatisée. DYLETH analyse ces signaux faibles en temps réel, avant que vous n'ouvriez le lien ou ne décrochiez l'appel.

Pour les URLs suspectes, le moteur d'analyse DYLETH compare en quelques millisecondes le domaine, le certificat, le contenu de la page et son comportement face à une base de référence. Un faux site bancaire cloné sera détecté même si son apparence est identique à l'original — parce que les signaux techniques, eux, ne mentent pas.

Ce que dit la loi française sur les fraudes à l'IA

En France, l'utilisation de l'IA à des fins frauduleuses ne constitue pas une infraction spécifique : les faits sont qualifiés au titre des infractions existantes — escroquerie (article 313-1 du Code pénal), usurpation d'identité (article 226-4-1), atteinte à un système informatique (articles 323-1 et suivants). Les peines encourues vont jusqu'à 5 ans d'emprisonnement et 375 000 euros d'amende pour l'escroquerie aggravée.

Le règlement européen sur l'IA (AI Act), entré en application progressive depuis 2024, interdit explicitement les systèmes d'IA conçus pour tromper les personnes ou manipuler leur comportement de manière préjudiciable. Mais ces textes peinent à rattraper la vitesse d'évolution des outils et des usages criminels.

Si vous êtes victime d'une arnaque impliquant l'IA, signalez-le sur cybermalveillance.gouv.fr et déposez plainte auprès de la police ou de la gendarmerie. Conservez toutes les preuves : emails, captures d'écran, enregistrements d'appels.

Vigilance humaine et protection technologique : les deux piliers

La menace IA n'annule pas la valeur de la vigilance humaine — elle la reconfigure. Les bons réflexes restent indispensables : ne jamais agir dans l'urgence, vérifier par un autre canal, ne pas cliquer sans réfléchir. Mais ces réflexes doivent désormais être appuyés par une couche de protection technologique que les particuliers n'avaient pas à déployer il y a encore cinq ans.

L'IA est un outil. Comme tout outil, elle peut servir à construire ou à détruire. La différence, c'est de savoir qui l'utilise — et d'être équipé pour en reconnaître les usages malveillants avant qu'ils ne vous atteignent.