Au début des années 2020, le paysage de la fraude a évolué moins comme un cambriolage que comme une mise à jour logicielle. Les anciens jeux de confiance existaient toujours : factures frauduleuses, faux dirigeants, virements falsifiés, mais l'IA générative leur a conféré une nouvelle propriété : l'échelle sans intimité. Un fraudeur n'avait plus besoin de connaître personnellement une victime si un modèle pouvait imiter le rythme d'un patron, l'urgence d'un banquier ou l'autorité visuelle d'un PDG lors d'un appel vidéo. La condition d'ouverture n'était pas un seul cerveau criminel, mais un écosystème : des services cloud peu coûteux, des outils de clonage vocal largement disponibles, la génération d'images open-source, et une culture d'entreprise qui avait déjà formé les employés à agir rapidement lorsqu'un supérieur semblait s'exprimer.
Le premier franchissement de la ligne se produisait souvent dans un lieu privé, presque banal : un ordinateur portable dans un appartement loué, un canal Telegram, un serveur Discord, ou un petit bureau où un opérateur testait ce que les machines pouvaient faire. Les chercheurs en sécurité et les avis des forces de l'ordre publiés depuis 2023 décrivent le même schéma encore et encore. Un appelant prétend être un directeur général. Un message vidéo semble montrer un visage familier. La cible est invitée à effectuer un paiement, à réinitialiser des identifiants ou à ouvrir un canal pour une vérification "urgente". La fraude commence non par la sophistication, mais par la permission : la victime est amenée à accepter le postulat qu'une autorité familière s'exprime.
Ce postulat était facilité par l'ère elle-même. Les réunions vidéo ont normalisé l'audio haché, les images figées et un mauvais éclairage. Le travail à distance a rendu ordinaire d'obéir à des instructions venant d'un visage sur un écran. Le public avait également été conditionné par des années de médias synthétiques à ne se méfier de rien et de tout à la fois, une contradiction qui aide les criminels. Si une cible croit que les deepfakes sont rares, elle est vulnérable ; si elle pense que la falsification est omniprésente, elle peut manquer le clip qui compte.
Un signal précoce documenté provenait du monde du conseil en fraude d'entreprise plutôt que d'une salle d'audience. En 2024, le Federal Bureau of Investigation des États-Unis a averti que des criminels utilisaient des deepfakes audio et vidéo pour usurper l'identité de dirigeants et de candidats à un emploi. L'avertissement était un fait structurel, pas un cas isolé : le marché était passé de l'hypothétique à l'opérationnel. Une barrière technique étonnamment faible restait. Quelques secondes d'audio clair pouvaient suffire pour un clone vocal. Une poignée d'images fixes pouvaient ancrer un visage synthétique. L'ancien fraudeur devait cultiver la patience ; le nouveau n'avait besoin que de données.
Le cadre comprenait également une arme moins visible : l'identité synthétique. Ce terme semble abstrait, mais en pratique, il désigne une personne assemblée à partir de fragments : numéros de sécurité sociale réels, adresses fabriquées, dossiers altérés et comportements numériquement plausibles. Le résultat n'est pas une identité volée au sens classique ; c'est une identité qui n'a jamais pleinement existé, mais qui peut passer à travers des systèmes automatisés suffisamment longtemps pour obtenir du crédit, des avantages ou un accès. Contrairement à un chèque contrefait, une identité synthétique peut vieillir. Elle peut construire un profil de crédit. Elle peut devenir, dans le langage des analystes de la fraude, une personne avec un historique.
Les premières cibles dans ce nouvel environnement étaient souvent les entreprises elles-mêmes. Le crime n'avait plus besoin de commencer par une grand-mère trompée de ses économies, bien que cela se soit également produit. Un département financier pouvait être amené à transférer des fonds vers le mauvais compte après un appel vidéo qui semblait montrer un dirigeant de confiance. Une équipe des ressources humaines pouvait intégrer un candidat dont l'identité avait été fabriquée par un logiciel. Une banque pouvait approuver un compte ouvert par un visage qui n'appartenait à aucune personne. Le mensonge fondateur n'était donc pas un mensonge unique, mais un système de mensonges qui, chacun, semblait modeste en soi.
Dans un incident médiatisé en 2024 couvert par la presse financière, un employé de Hong Kong d'une entreprise multinationale a rejoint ce qu'il croyait être une vidéoconférence avec des collègues supérieurs et a été persuadé de transférer environ 200 millions HK$ — environ 25 millions US$ — après que les participants se soient révélés être des recréations deepfake. Cet épisode n'a pas créé l'ère, mais il l'a montrée aux conseils d'administration. La fraude n'était plus confinée à des fautes de frappe dans des e-mails et à une mauvaise grammaire. Elle était entrée dans les espaces visuels et acoustiques où la confiance avait autrefois semblé automatique.
L'environnement facilitant était un retard réglementaire. Les banques avaient des règles pour la surveillance de la lutte contre le blanchiment d'argent, mais les systèmes de surveillance étaient construits pour des modèles de dépôts et de retraits, pas pour des personnes synthétiques arrivant avec une crédibilité fabriquée. Les contrôles d'entreprise pouvaient vérifier les flux de paiement, mais ils n'étaient pas toujours conçus pour contester un dirigeant qui apparaissait, parlait et incitait à l'action en temps réel. Dans la fraude, chaque nouveau contrôle crée un nouveau contournement ; l'IA a simplement accéléré la compétition.
Il y avait aussi un composant social important : l'embarras. Les victimes d'usurpation hésitent souvent à signaler un événement qui les fait paraître négligentes. Les entreprises craignent le coût réputationnel d'admettre qu'elles ont été dupées par une voix clonée. Ce silence fait lui-même partie de la mise en place. Moins les premiers incidents sont discutés, plus le marché criminel apprend en privé. Un deepfake réussi n'a pas besoin de contourner chaque protection ; il doit simplement contourner celles qu'un bureau particulier n'a pas encore imaginées.
Au moment où le premier argent a commencé à circuler, le schéma fonctionnait déjà comme un processus répétable plutôt que comme un tour unique. La machine pouvait rédiger l'appât, cloner le discours, imiter l'autorité et intensifier la pression. La question n'était plus de savoir si quelqu'un serait trompé. C'était de savoir à quelle vitesse la tromperie se répandrait avant que les institutions construites pour stopper la fraude ne comprennent ce qu'elles regardaient ensuite.