C'est quoi un deepfake, et faut-il vraiment s'en inquiéter en 2026 ?

Réponse rapide

Un deepfake est une vidéo, image ou enregistrement vocal généré ou modifié par IA pour faire dire ou faire faire à une vraie personne ce qu'elle n'a pas dit ou fait — et en 2026, la menace réaliste pour le grand public n'est pas la fausse vidéo politique mais le clone vocal utilisé dans les arnaques téléphoniques visant familles et services finance.

Ce que ce n'est PAS

Un deepfake n'est PAS un problème réservé aux États et aux célébrités — les clones vocaux peuvent désormais se fabriquer à partir de 3 à 10 secondes d'audio enregistré, donc n'importe quel message de répondeur, extrait de podcast, ou story Instagram suffit. Et un deepfake n'est PAS toujours parfait — la plupart des deepfakes réels laissent encore de petits indices (artefacts en arrière-plan, désynchronisation labiale, clignement des yeux) si on prend le temps de regarder.

Pour aller plus loin

Un deepfake est un média — généralement vidéo, de plus en plus voix ou image — qui a été généré ou modifié par IA pour faire faire ou dire à une vraie personne ce qu’elle n’a pas fait ou dit. Le nom combine deep learning (la technique IA) et fake ; il a été forgé en 2017 autour d’une première classe d’algorithmes de face-swap. En 2026, la technologie sous-jacente est radicalement meilleure, radicalement moins chère, et accessible via des services grand public gratuits ou peu coûteux.

La forme réaliste de la menace pour le grand public en 2026 — ce qui arrive vraiment, dans l’ordre :

  1. Arnaques téléphoniques au clone vocal. Un criminel clone la voix de quelqu’un que vous aimez (enfant, petit-enfant, conjoint) à partir de 5 à 30 secondes d’audio public, puis vous appelle en sonnant exactement comme cette personne. L’appel est court et urgent : accident, arrestation, prise d’otage, problème bancaire soudain. L’objectif est un virement rapide ou une remise d’argent en main propre. C’est la menace deepfake dominante pour les foyers à l’échelle mondiale et elle progresse vite — la CNIL, le FBI, l’Action Fraud britannique ont tous publié des avertissements.
  2. Visioconférences d’usurpation d’identité de dirigeant. Un employé du service finance reçoit une visio du « DAF » (et parfois d’autres « cadres seniors »), avec une demande de virement urgent. Le cas Arup à Hong Kong (début 2024) a coûté 25 M$ ainsi. Des tentatives similaires sur des entreprises européennes sont publiques ; celles qui ne sont pas publiques sont sans doute plus nombreuses.
  3. Arnaques sentimentales et à l’investissement renforcées par la vidéo. Un escroc se faisant passer pour quelqu’un de réel-d’apparence sur une appli de rencontre utilise des clips vidéo deepfake pré-enregistrés et une voix IA pendant les appels pour maintenir l’illusion assez longtemps pour pousser un faux placement crypto.
  4. Fausses vidéos politiques et de réputation. Des responsables politiques, dirigeants, personnalités publiques mis en scène disant ce qu’ils n’ont pas dit. Ce sont les deepfakes dont on parle le plus mais, pour la plupart des gens, les moins susceptibles d’affecter la vie quotidienne.
  5. Images intimes non consenties. Un préjudice sérieux et croissant, surtout pour les femmes et les adolescentes. De plus en plus criminalisé explicitement (loi SREN 2024 en France, AI Act européen, Online Safety Act britannique, TAKE IT DOWN Act fédérale américaine 2025).

Les défenses pratiques portent sur le processus, pas la détection visuelle :

  • Un mot-code familial. Convenir avec vos proches d’un mot unique que vous pouvez demander pendant tout appel « je suis dans le pétrin ». Un clone vocal ne peut pas le deviner.
  • Le rappel connu. Sur toute demande urgente d’argent, raccrocher et rappeler sur le numéro déjà connu pour cette personne ou cette institution. Ne pas composer le numéro qui vient d’appeler.
  • Double canal de confirmation au travail. Aucun virement au-dessus d’un certain seuil n’est autorisé par visio ou voix seule — vous confirmez aussi en messagerie avec la personne, ou en personne, ou avec un second signataire.
  • Ralentir. Toute arnaque deepfake réussie repose sur le fait que vous agissiez en quelques secondes. Les 90 secondes pour rappeler sont la défense entière.
  • Pour les visios : demander à l’autre de faire quelque chose que la génération vidéo gère mal — tourner complètement de profil, couvrir un œil avec la main, brandir un objet que l’escroc n’aurait pas. Ce n’est pas parfait, mais ça relève le coût de l’attaque.

Ce qui se construit (lentement) : les standards de provenance de contenu comme C2PA / Content Credentials, où les appareils photo et logiciels de montage légitimes signent cryptographiquement les contenus pour que les consommateurs puissent vérifier « cette vidéo vient bien d’un appareil Canon et n’a été éditée que dans Adobe Premiere ». Les grandes plateformes (TikTok, LinkedIn, Adobe, OpenAI) ont commencé à les supporter ; l’adoption grand public côté lecteur reste à construire.

Le deepfake n’est pas la fin de la confiance en ligne. La discipline vers laquelle il nous pousse — vérifier par un second canal connu, ne jamais agir sur une voix ou une vidéo seules, convenir de mots-codes — est la même discipline qui a toujours défendu contre l’usurpation. Elle n’est juste plus optionnelle.

On nous pose aussi

Peut-on vraiment cloner ma voix à partir d'un court extrait ? +

Oui. Les services commerciaux de clonage vocal n'ont besoin que d'une poignée de secondes d'audio propre pour produire un clone convaincant sur des phrases courtes. Toute personne avec un message de répondeur public, une story Instagram avec sa voix, une apparition en podcast ou un TikTok avec son a fourni assez de matière. Le clone ne tiendra pas une longue conversation ouverte avec quelqu'un qui connaît bien la personne, mais c'est largement suffisant pour un appel de 30 secondes du type « je suis dans le pétrin, peux-tu m'envoyer de l'argent ».

Quelle est l'arnaque deepfake la plus courante en 2026 ? +

L'appel du « parent en détresse ». L'escroc appelle un parent ou grand-parent, fait passer une voix clonée de leur enfant / petit-enfant disant « j'ai eu un accident » ou « je me suis fait arrêter, ne dis rien à maman, envoie de l'argent sur ce compte ». Parfois l'appel est en partie en direct (l'escroc parle normalement), parfois l'audio cloné est l'intégralité de l'appel. La défense est la même que pour toutes les [arnaques téléphoniques](/fr/library/everyday/scam-calls/) : raccrocher, appeler la vraie personne sur son numéro connu, convenir d'un mot-code familial à l'avance.

Y a-t-il aussi des attaques deepfake en entreprise ? +

Oui — et les attaques financières sont massives. Le cas public le plus cité est le cabinet d'ingénierie Arup à Hong Kong (début 2024), où un employé du service finance a été manipulé pour virer 25 M$ après une visioconférence où toutes les personnes à l'écran étaient des deepfakes de cadres supérieurs. Des attaques similaires (de taille plus modeste) ont touché des entreprises allemandes, britanniques et françaises. La défense : ne jamais autoriser un virement à partir d'une seule visio — toujours confirmer par un second canal connu.

Comment distinguer une vraie vidéo d'un deepfake ? +

En 2026, souvent vous ne pouvez pas, à l'œil, sur un court extrait. Les indices fiables relèvent du contexte, pas de l'image : la vidéo a-t-elle été publiée par une source crédible, apparaît-elle sur les canaux vérifiés de la personne, correspond-elle à ce qu'elle a dit ailleurs, des journalistes indépendants en parlent-ils ? Pour les visios précisément, demander à l'autre de tourner la tête sur le côté, de couvrir une partie du visage avec la main, ou de se lever — des gestes que la génération vidéo actuelle gère mal — casse parfois l'illusion. La réponse de long terme, ce sont les standards de provenance de contenu (C2PA / « Content Credentials ») intégrés aux appareils photo et logiciels de montage légitimes.

Le deepfake porno non consenti est-il un délit ? +

Oui, dans la plupart des juridictions, et de plus en plus explicitement. La France l'a criminalisé en 2024 (loi SREN) ; l'AI Act européen impose des obligations de transparence sur les deepfakes non consentis ; l'Online Safety Act britannique couvre la question ; beaucoup d'États américains ont des lois dédiées ; la « TAKE IT DOWN Act » fédérale américaine a été promulguée en 2025. Si vous ou un proche êtes victime, le bon réflexe est de signaler aux plateformes (qui ont désormais des obligations légales d'agir vite) et aux forces de l'ordre, pas le silence.

Aussi expliqué

Comment distinguer un appel ou SMS frauduleux d'un vrai ?

Si un appel ou un message crée de l'urgence, demande un code ou un mot de passe, sollicite un virement ou des cartes cadeau, ou menace d'arrestation, d'amendes ou de fermeture de compte, traitez-le comme une fraude quel que soit l'expéditeur — et rappelez la vraie institution sur un numéro que vous trouvez vous-même, jamais sur le numéro que l'appelant vous a donné.

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

C'est quoi la double authentification (2FA), et quelle version utiliser ?

La double authentification ajoute une seconde étape après votre mot de passe — un code venant d'une appli, une notification sur votre téléphone, ou une passkey — pour qu'un mot de passe volé ne suffise plus à se connecter ; en 2026 la meilleure option pour la plupart des gens est la passkey, puis une appli d'authentification, et le SMS uniquement en dernier recours.
← Retour au glossaire grand public