L’année 2025 a été catastrophique d’un point de vue de la protection des données personnelles. L’entreprise Surfshark a récemment publié son rapport pour l’année écoulée, et la France fait figure d’exception pour les mauvaises raisons. À l’échelle mondiale, Surfshark recense 425,7 millions de comptes compromis dans des fuites de données.

Environ un tiers de ces comptes appartiennent à des utilisateurs situés aux États-Unis, soit 142,9 millions. La France arrive en seconde position, avec 40,3 millions de comptes compromis, loin devant l’Inde (28,9 millions), l’Allemagne (18,6 millions) et la Russie (12,9 millions). Rapportés à la population du pays, ces chiffres placent la France en première position en matière de densité des failles. Et ces données sont dans la nature. Le mois dernier, Cybernews a découvert une base de données contenant 45 millions d’enregistrements spécifiques à la France. Une compilation en provenance de registres électoraux, de professionnels de la santé et d’assureurs automobile.

Des attaques plus crédibles grâce à l’IA

Autant dire qu’il est extrêmement probable que vos données personnelles circulent dans la nature. Il y a à peine quelques années, le principal risque était que quelqu’un vous appelle en se servant de ces informations pour se faire passer pour votre conseiller bancaire, par exemple. Aujourd’hui, grâce à l’intelligence artificielle, les arnaques sont de plus en plus sophistiquées.

Finie l’époque où les arnaques par e-mail étaient repérables à leurs fautes d’orthographe. Désormais, ces messages sont rédigés par l’IA, qui est capable de reproduire parfaitement les communications officielles de tous les organismes et de personnaliser chaque message pour contenir des informations personnelles afin de les rendre plus crédibles. Il en va de même pour les appels, qui ne s’appuient plus sur des centres d’appel à l’étranger. L’IA est désormais capable d’effectuer les appels en masse. Elle peut se faire passer pour quelqu’un de votre banque ou du gouvernement, une célébrité ou même un proche.

Nigerian princes might not be the kings of scams anymore — deepfakes using celebrities have scammed their way to over $1.1B in 2025 alone.

This is your reminder to treat messages from famous people as spam. Because it likely is. https://t.co/8p2NAhYPUe

— Surfshark (@surfshark) February 18, 2026

Deepfake et clonage vocal

Une attaque ciblée de plus en plus courante est l’arnaque au président. L’IA contacte des employés, en se faisant passer pour leur patron, afin de les convaincre d’effectuer le paiement d’une fausse facture ou de transférer des fonds. Grâce aux deepfakes, l’IA peut aller jusqu’à cloner sa voix ou même son apparence lors d’un appel visio. Mais les deepfakes permettent même à l’IA d’imiter un membre de sa propre famille. Si la personne a un jour publié une vidéo ou un clip audio sur les réseaux sociaux, l’IA peut la retrouver et reproduire de manière crédible sa voix. Et elle peut se servir de l’ensemble des informations publiées sur les réseaux sociaux pour convaincre sa victime. Quelle que soit l’identité utilisée par l’IA, elle utilisera un prétexte d’urgence pour déstabiliser sa victime et déjouer sa vigilance.

Les escrocs n’ont plus besoin d’avoir de compétences particulières, que ce soit sur le plan technique ou dans l’art de manipuler leurs victimes pour obtenir des informations ou les convaincre d’effectuer des actions. L’intelligence artificielle fait désormais tout à leur place, ce qui rend les attaques beaucoup plus efficaces et faciles à lancer à grande échelle.

Ne jamais agir dans l’urgence

Afin d’éviter de tomber dans le panneau, il est possible de mettre en place quelques protections. La première est un mot de passe humain. Définissez un mot ou une phrase à utiliser avec vos proches ou vos collègues pour les situations d’urgence afin de confirmer qu’il s’agit bien d’eux. Certains arnaqueurs sont aussi capables d’usurper le numéro de téléphone, unique technique appelée spoofing téléphonique. Certaines personnes ont déjà reçu un appel avec un deepfake vocal plaidant « maman, des types m’ont enlevé », avec la voix et le numéro de téléphone de l’enfant. Instaurer un mot ou une phrase secrète permet de confirmer son identité, ou au contraire de révéler l’arnaque.

Pour les autres situations, le plus important est de ne jamais agir dans l’urgence. La pression temporelle altère le jugement, et on accepte plus volontiers de divulguer des informations ou d’effectuer des actions que l’on ne ferait pas en temps normal. L’humain est le plus souvent le maillon faible dans la cybersécurité, ce qui en fait une cible de choix pour les attaques de type ingénierie sociale depuis longtemps. Avec l’IA, ces attaques sont plus sophistiquées et plus personnalisées, les rendant beaucoup plus crédibles.