Qu'est-ce qu'une arnaque crypto par deepfake IA, et pourquoi 2026 change la donne ?
Une arnaque crypto par deepfake IA est une fraude dans laquelle l'attaquant utilise l'IA générative pour se faire passer pour une personne, une marque ou une interface de confiance, puis convainc la victime d'envoyer des cryptomonnaies, d'approuver une transaction malveillante ou de remettre une phrase de récupération (les 12 ou 24 mots qui contrôlent un portefeuille crypto). L'IA générative désigne les modèles, comme les grands modèles de langage (LLM) et les réseaux de diffusion, capables de produire du texte, des images, de l'audio ou de la vidéo réalistes à partir d'un court prompt ou d'un petit échantillon de matériel réel.
Ce qui a changé entre 2023 et 2026 n'est pas l'existence de ces attaques. Les escrocs volent des cryptos depuis 2011. Le changement porte sur l'échelle et la fidélité. Les outils de face-swap en temps réel qui tournent sur un GPU grand public sont désormais bon marché et suffisamment convaincants pour tromper des gens lors d'un appel Zoom en direct. Le clonage vocal à partir d'un échantillon de 30 secondes est un projet open source gratuit. Les LLM rédigent des prétextes crédibles dans toutes les langues. Le résultat est une chaîne de fraude qui demandait autrefois une équipe expérimentée de locuteurs natifs et peut désormais être opérée par une seule personne avec un ordinateur portable et un groupe Telegram.
L'ampleur n'est plus marginale. Chainalysis, une société d'analyse blockchain, a signalé que les revenus des arnaques liées aux cryptos dans le monde ont dépassé 9,9 milliards de dollars en 2024, un chiffre qui exclut les pertes non déclarées. L'Internet Crime Complaint Center du FBI a enregistré plus de 5,8 milliards de dollars de plaintes pour fraudes à l'investissement en cryptos en 2023, la dernière année avec une ventilation publique complète. Des victimes individuelles dans des cas de pig-butchering ont déclaré des pertes d'un million de dollars ou plus, et plusieurs affaires en 2024 et 2025 ont atteint neuf chiffres. Il ne s'agit pas d'une curiosité. C'est une industrie importante et organisée.
Quels sont les risques réels pour les utilisateurs de cryptos en 2026 ?
Avant de parcourir les techniques, il est utile d'être honnête sur ce que vous ne pouvez pas savoir. Vous ne pouvez pas savoir à l'avance quelle arnaque vous ciblera. Vous ne pouvez pas savoir si le projet que vous étudiez est un vrai produit ou une façade bien polie. Vous ne pouvez pas savoir, en temps réel, si une vidéo de 30 secondes montrant un fondateur présentant un airdrop de tokens est authentique. La défense n'est pas la vigilance. La défense est un ensemble d'habitudes et d'outils qui échouent en toute sécurité lorsque quelque chose vous échappe.
Les modes de défaillance les plus fréquents en 2025 et 2026 sont prévisibles. Un utilisateur copie une adresse de portefeuille depuis un historique de transactions qui était en réalité une entrée d'address poisoning, et envoie des ETH ou des USDT vers une adresse contrôlée par un attaquant. Un utilisateur rejoint un appel vidéo avec quelqu'un qu'il croit être un fondateur, voit un visage familier et approuve une transaction qui vide un hot wallet (un portefeuille connecté à internet, par opposition à un portefeuille matériel qui reste hors ligne). Un utilisateur installe une extension de navigateur qui ressemble à MetaMask ou Phantom et saisit sa phrase de récupération dans une fausse interface. Dans ces trois cas, l'utilisateur n'a rien fait de manifestement stupide. Il a été trompé par quelque chose conçu pour le tromper.
Le préjudice financier est également asymétrique. Dans un cas de fraude bancaire, un virement peut parfois être annulé, et des rétrofacturations existent pour les paiements par carte. En crypto, une transaction confirmée sur Bitcoin ou Ethereum ne peut pas être annulée. Les fonds envoyés vers un exchange centralisé peuvent parfois être gelés si l'exchange coopère, mais les actifs acheminés via un cross-chain bridge (un service qui déplace des tokens entre blockchains) ou un mixer (un service qui brouille la traçabilité des coins) en quelques minutes sont en pratique irrécupérables. Traitez chaque interaction avec un portefeuille comme si elle était définitive, car la blockchain la traite ainsi.
Il existe aussi un risque social facile à sous-estimer. Les victimes d'arnaques au pig-butchering se culpabilisent souvent, et le traumatisme est bien réel. Une étude de 2024 de l'Université du Texas à Austin a montré que les survivants de fraudes à l'investissement sentimentale présentaient des symptômes de PTSD comparables à ceux de survivants d'agressions physiques. C'est en partie pourquoi ces arnaques continuent de prendre de l'ampleur : la honte fait taire les victimes, ce qui maintient la rentabilité des escroqueries.
Les six techniques d'escroquerie actuellement utilisées
Le paysage actuel des menaces est dominé par six schémas. Ils se chevauchent en pratique, et une même escroquerie peut en enchaîner plusieurs.
1. Appels vidéo en deepfake en temps réel sur Zoom et Meet
C'est la technique qui a le plus évolué depuis 2023. L'attaque fonctionne ainsi : l'escroc collecte un court échantillon du visage et de la voix d'une cible à partir de sources publiques, souvent une conférence YouTube, un podcast ou un enregistrement Twitter Spaces. Il injecte cet échantillon dans un outil de face-swap en temps réel, puis rejoint un appel Zoom ou Google Meet en se faisant passer pour la personne usurpée. Pour la victime à l'autre bout, le visage bouge, cligne des yeux et répond aux questions.
Le cas le plus cité dans le secteur crypto est l'attaque de 2024 visant l'entourage d'un dirigeant de Bitfinex, dans laquelle une vidéo deepfake de plusieurs membres de l'équipe a été utilisée lors d'un appel en direct pour autoriser une transaction. L'incident est également mentionné dans un avertissement de 2024 du bureau du Secrétaire d'État du Wyoming au sujet de l'usurpation d'identité par IA de dirigeants d'entreprise. Des attaques similaires ont visé deux employés d'un service financier à Hong Kong début 2024, lors d'un vol de 25,6 millions de dollars ayant commencé par une visioconférence en deepfake, selon la police de Hong Kong. Le secteur crypto n'est pas la seule cible, mais il est à forte valeur ajoutée car les portefeuilles de trésorerie sont importants et les validations se font rapidement.
Comment la repérer : le visage paraît légèrement trop lisse, la synchronisation labiale dérive de quelques images, et la personne évite de se tourner complètement de profil. L'interlocuteur pousse aussi la conversation vers une action sur portefeuille, car c'est le but de l'appel. Une défense distincte, low-tech, consiste à demander à la personne d'agiter une main devant son visage pendant l'appel, ou de basculer l'appel en audio uniquement et de demander un numéro de rappel que vous avez déjà utilisé.
2. Appels vocaux en voix clonée par IA usurpant le personnel du support
Le clonage vocal a été banalisé. Des outils open source comme OpenVoice et des API commerciales d'entreprises comme ElevenLabs peuvent synthétiser une voix convaincante à partir de quelques secondes d'audio échantillonné. Il en résulte un appel téléphonique qui ressemble exactement à un agent du support Coinbase, Binance ou Kraken, avec musique d'attente et transfert vers une « équipe fraude ».
Le scénario est toujours le même. On dit à la victime que son compte a fait l'objet de tentatives de connexion suspectes et qu'elle doit « vérifier » sa phrase de récupération ou transférer ses fonds vers un « portefeuille sécurisé » pour les protéger. Un avertissement du FBI de 2024 a spécifiquement signalé les appels de « support client frauduleux » générés par IA. Plusieurs cas documentés en 2025 impliquaient des personnes âgées à qui l'on demandait de vider leurs comptes Coinbase vers un portefeuille Bitcoin « pour conformité », que l'appelant contrôlait. L'IC3 du FBI a enregistré plus de 4 400 plaintes pour ce schéma précis en 2024.
Aucune véritable plateforme d'échange ne vous demandera jamais votre phrase de récupération, votre mot de passe ou un transfert vers une nouvelle adresse. Aucun véritable agent du support ne vous guidera à travers une transaction. Traitez tout contact entrant qui fait l'une de ces choses comme hostile, même si l'identifiant de l'appelant affiche le nom de la plateforme, ce qui est trivialement usurpable.
3. Empoisonnement d'adresse alimenté par des LLM
L'empoisonnement d'adresse, parfois appelé address-spoofing, est une vieille attaque qui a reçu une mise à jour en 2025. Le mécanisme : l'escroc génère une adresse de portefeuille dont les premiers et derniers caractères correspondent à la vraie adresse de la victime, puis envoie une micro-transaction (souvent un token sans valeur ou 0,01 $ d'USDT) depuis cette adresse ressemblante. La transaction reste dans l'historique de la victime. Lorsque la victime copie plus tard une adresse de son historique pour envoyer des ETH ou des BTC, le presse-papiers récupère la fausse. Les fonds vont à l'attaquant.
Ce que les LLM ont ajouté, c'est le ciblage. Les escrocs analysent désormais l'historique on-chain d'une cible et utilisent un LLM pour rédiger un message de prétexte, souvent une fausse « réclamation d'airdrop » ou une instruction de « vote de gouvernance », qui arrive dans les DM Discord, Telegram ou X. Le message dit à la victime d'« utiliser le même portefeuille que la dernière fois » et fournit une adresse quasi identique. Une variante apparue en 2025 utilise le LLM pour générer lui-même l'adresse ressemblante, en optimisant la collision avec la fenêtre de copier-coller la plus fréquente dans l'interface du portefeuille de la victime. Plusieurs variantes de la checksum EIP-55 (le format mixte majuscules/minuscules qu'Ethereum utilise pour détecter les fautes de frappe) ont été documentées ; certains portefeuilles avertissent désormais en cas d'incohérence de casse, mais pas tous.
La défense consiste à ne jamais copier une adresse depuis l'historique de transactions. Copiez-la toujours depuis la source (la plateforme d'échange, le canal officiel du destinataire) et vérifiez la chaîne complète. Pour les transferts importants, envoyez d'abord une petite transaction de test.
4. Extensions de navigateur malveillantes et fausses applications de portefeuille
Les extensions de navigateur restent l'une des surfaces d'attaque à plus haut volume. Dans une campagne typique de 2025, les attaquants publient une extension Chrome ou Firefox qui imite MetaMask, Phantom, Rabby ou Trust Wallet. L'extension peut passer la revue du Chrome Web Store en se comportant normalement pendant des semaines, puis pousser une mise à jour malveillante qui capture les phrases de récupération ou réécrit les adresses de retrait. Un schéma connexe est la fausse application de portefeuille, listée sur l'Apple App Store ou Google Play sous un nom ne différant que d'un caractère d'un portefeuille réel. Les incidents des portefeuilles K-9 et Rabit en 2024 et 2025 sont des cas documentés de ce schéma.
La même technique s'étend aux fausses versions de Ledger Live, Trezor Suite et des applications des plateformes d'échange. Le processus de notarisation d'Apple et Google Play Protect en ont attrapé beaucoup, mais le rythme des nouveaux téléchargements fait qu'un petit nombre passe toujours entre les mailles. Une fois installée, l'extension ou l'application peut réécrire l'adresse affichée sur l'écran de confirmation de transaction, si bien que l'utilisateur croit envoyer à Alice, mais la transaction est en réalité signée pour l'adresse de l'attaquant.
Défense : installez les extensions de portefeuille uniquement depuis le site officiel du projet, jamais depuis un résultat de recherche. Traitez la phrase de récupération comme un secret qu'il ne faut « jamais taper nulle part ». Les vrais portefeuilles ne vous demanderont jamais de la saisir sur un site web.
5. Arnaques au « pig butchering » : escroqueries longue associées à la vidéo deepfake
Le pig butchering (du chinois sha zhu pan, qui signifie approximativement « élever et abattre le cochon ») est une fraude à long terme dans laquelle l'escroc passe des semaines ou des mois à construire une relation amoureuse ou amicale avec la victime, puis introduit une « opportunité d'investissement », généralement une fausse plateforme de trading. La plateforme est truquée pour afficher de faux profits, et la victime finit par se voir demander de déposer de plus en plus de crypto pour « débloquer » les retraits. Quand la victime tente de retirer, la plateforme invente un impôt, des frais ou un coût de vérification, et l'escroc disparaît.
Ce que l'IA a changé, c'est la scalabilité et la crédibilité. Un LLM peut mener des conversations textuelles convaincantes en 20 langues. Un appel vidéo en deepfake, même court, peut lever le dernier doute de la victime sur l'identité de l'opérateur. L'Office des Nations Unies contre la drogue et le crime estimait en 2024 que les opérations de pig butchering en Asie du Sud-Est impliquent à elles seules des centaines de milliers de personnes, dont beaucoup sont victimes de la traite et contraintes de suivre les scripts. Le secteur est organisé, multinational et utilise les mêmes playbooks d'une juridiction à l'autre.
La persistance du schéma tient à trois facteurs. Premièrement, la période de séduction crée un attachement émotionnel réel. Deuxièmement, la fausse plateforme est entièrement personnalisée, avec graphiques, soldes et même un retrait fonctionnel pour de petits montants, ce qui renforce la confiance. Troisièmement, le coût social d'admettre la perte est élevé, si bien que les victimes ne signalent pas rapidement. La perte moyenne par pig butchering signalée à l'IC3 en 2023 était d'environ 210 000 $ par victime, et certains cas individuels ont dépassé les 10 millions de dollars.
6. Airdrop-phishing et kits de vidage de portefeuille
Les wallet drainers sont des kits de phishing prêts à l'emploi, vendus sur Telegram pour quelques centaines de dollars, qui génèrent des pages d'atterrissage convaincantes de type « réclamez votre airdrop » ou « réclamez votre NFT ». L'utilisateur connecte un portefeuille, signe une transaction qu'il croit être une réclamation, et la transaction accorde en réalité une permission d'approbation de token (une autorisation qui permet à un contrat tiers de déplacer les tokens de l'utilisateur) ou déclenche un transfert immédiat. En 2024, Scam Sniffer, une entreprise de sécurité web3, a estimé que les attaques par wallet drainer avaient volé plus de 295 millions de dollars à environ 324 000 victimes.
Les LLM ont rendu ces kits plus convaincants. Les textes du site sont fluides, le chat de support est réactif, et les fausses étapes de « vérification » paraissent réelles. Les défenseurs se sont aussi améliorés : des portefeuilles comme Rabby et Frame simulent désormais le résultat des transactions et avertissent en cas d'octroi d'approbation, et Blockaid, Blowfish et Pocket Universe proposent des pré-vérifications de transaction qui signalent les signatures de drainers avant que vous ne signiez. Aucun de ces outils n'est parfait, mais ils en attrapent une part significative.
Comment ces attaques se déroulent-elles concrètement dans des cas documentés ?
Décrire un schéma, c'est une chose. Il est plus utile de parcourir un exemple réel pour que le schéma devienne reconnaissable. Deux cas de 2024 et 2025 illustrent l'ampleur et le savoir-faire.
Cas un, le CFO deepfake de Hong Kong. En janvier 2024, la police de Hong Kong a signalé qu'un employé du bureau hongkongais d'une multinationale avait été trompé par une visioconférence en deepfake et avait effectué un virement d'environ 25,6 millions de dollars. L'employé était le seul être humain réel sur l'appel. Le « CFO » et les autres participants étaient synthétiques. L'attaquant a utilisé une vidéo publiquement disponible du CFO, des autres dirigeants de l'entreprise et un clone vocal. L'employé a suivi les instructions données lors de l'appel et approuvé une série de transferts. Les fonds ont transité par plusieurs comptes bancaires hongkongais et ont été partiellement blanchis. Le cas est la plus grande fraude par vidéo deepfake publiquement confirmée à ce jour.
Cas deux, l'affaire de pig butchering d'Orinda, en Californie. Le Bureau du Procureur des États-Unis pour le district nord de Californie a poursuivi en 2023 une affaire dans laquelle une victime a été séduite pendant plusieurs mois, puis convaincue d'investir sur une fausse plateforme crypto. La victime a viré de l'argent à la plateforme, vu son faux solde grimper, et perdu environ 1,6 million de dollars. Plusieurs accusés dans cette affaire ont été inculpés de blanchiment d'argent. L'affaire est l'une des premières poursuites fédérales américaines à détailler spécifiquement l'utilisation de personas générés par IA dans la phase de séduction. Les accusés doivent être jugés en 2026.
Ces deux cas ne sont pas des exceptions. Ils sont représentatifs. Le rapport IC3 2025 classe l'escroquerie à l'investissement crypto comme la catégorie de pertes la plus élevée aux États-Unis pour la quatrième année consécutive, et le rapport annuel 2024 du FBI a spécifiquement signalé la fraude借助IA comme un domaine en croissance. Si vous utilisez la crypto, vous faites partie d'une population cible attaquée à grande échelle par des groupes organisés.
À quoi ressemble réellement la récupération, et quelles en sont les limites ?
La récupération est la question que toute victime se pose, et la réponse honnête est plutôt mauvaise. Décortiquons les éléments.
Si les fonds sont allés vers une plateforme d'échange centralisée, le temps compte. Les CEX comme Coinbase, Binance et Kraken peuvent geler des adresses si la demande est déposée en quelques heures et que les fonds n'ont pas été retirés. Les gels reposent sur l'équipe de conformité de la plateforme, staffed 24/7 pour les grandes plateformes, et sur la coopération avec les forces de l'ordre. Les signalements via 911cyber.com, ic3.gov, ReportFraud.ftc.gov de la FTC et la page de support de la plateforme elle-même sont les principaux canaux. Un avis conjoint CISA et FBI de 2024 recommandait de contacter les forces de l'ordre avant de contacter la plateforme, car une demande des forces de l'ordre a davantage de poids juridique.
Si les fonds ont été bridgés ou mixés, la piste est en pratique perdue. Les bridges cross-chain et les mixers comme Tornado Cash (sanctionné) et Sinbad (démantelé) sont conçus pour briser la forensique on-chain. Plus le délai est long, plus les fonds ont fait de sauts, et plus la chance de récupération est faible. Il n'existe pas d'équivalent crypto au chargeback, pas d'assurance FDIC (l'assurance fédérale américaine des dépôts bancaires), et aucune autorité centrale capable d'inverser une transaction confirmée.
Une arnaque secondaire se greffe sur la première. Dès qu'une victime publie sa perte sur les réseaux sociaux, des « agents de récupération » la contactent, prétendent être des enquêteurs blockchain et demandent des frais d'avance ou une part des fonds récupérés. Le FBI a publié plusieurs avertissements sur ce schéma. Une opération de récupération légitime n'exige pas de paiement d'avance et est généralement menée par les forces de l'ordre, pas par un DM privé.
Pour les pertes importantes, les options réalistes sont : (1) un dépôt de plainte auprès des forces de l'ordre avec les hashs de transaction détaillés et les adresses des contreparties, (2) un procès civil dans les cas où une entité identifiable est impliquée, et (3) un cabinet privé d'enquête blockchain, à utiliser avec prudence et sans frais d'avance. Aucune de ces options ne permettra de récupérer les fonds rapidement, et aucune n'est certaine d'aboutir.
Une liste de défenses réaliste pour les utilisateurs non techniques
Les défenses ci-dessous sont pratiques, peu coûteuses et ont été utilisées par des personnes qui font activement du trading crypto et évitent de se faire arnaquer. Aucune n'est parfaite, mais combinées elles font échouer la plupart des attaques avant que les fonds ne bougent.
- Utilisez un portefeuille matériel (comme un Ledger ou Trezor) pour tout solde supérieur à des montants insignifiants. Un portefeuille matériel conserve vos clés privées, les codes secrets qui autorisent les transactions, sur un appareil physique qui ne touche jamais Internet, de sorte qu'une adresse empoisonnée à l'écran ne peut toujours pas être signée sans une pression physique sur un bouton.
- Utilisez un profil de navigateur dédié et séparé pour l'activité de portefeuille, sans extensions autres que le portefeuille lui-même. Désactivez JavaScript sur les sites inconnus. Cela bloque la majorité des kits de drainer.
- Ne copiez jamais une adresse de portefeuille depuis votre historique de transactions. Collez-la toujours depuis une source fraîche, et vérifiez visuellement la chaîne complète pour tout transfert important.
- Envoyez d'abord une transaction de test. Pour tout transfert supérieur à un montant dont la perte ne vous laisserait pas indifférent, envoyez un petit montant, confirmez la réception, puis envoyez le reste.
- Traitez tout contact entrant comme hostile. Un vrai support, de vrais fondateurs, un vrai personnel de plateforme d'échange ne vous appelleront pas, ne vous feront pas de visioconférence sans y être invités, et ne vous demanderont pas votre phrase de récupération. Raccrochez, raccrochez, raccrochez.
- Utilisez une extension de pré-vérification de transaction. Blockaid, Blowfish et Pocket Universe exécutent tous une simulation de la transaction proposée et signalent les signatures de drainer connues. Ils ne sont pas parfaits, mais ils attrapent la plupart des approbations malveillantes.
- Révoquez régulièrement les approbations de tokens. Revoke.cash et des outils similaires montrent quels contrats peuvent déplacer vos tokens et vous permettent d'annuler les autorisations.
- Ayez un « mot code » avec les personnes qui contrôlent vos fonds communs. Si un « PDG » appelle pour demander un transfert, le mot code prouve que la voix et la vidéo sont réelles. Les techniques d'espionnage de la Guerre froide fonctionnent encore en 2026.
- Si vous avez été escroqué, documentez tout (hashs de transaction, journaux de chat, adresses de portefeuille) et signalez sur ic3.gov et auprès du bureau local du FBI dans les 24 heures. La vitesse est le seul avantage dont vous disposez.
Comment suivre l'actualité des arnaques crypto de manière intelligente
Les tactiques d'arnaque crypto évoluent plus vite qu'une seule personne ne peut suivre. Un nouveau kit de drainer, un nouvel outil de deepfake ou une nouvelle variante d'address poisoning peut devenir une menace répandue en une semaine, et la longue traîne de variantes se compte par milliers. Suivre tout cela manuellement entre Telegram, X, Discord, GitHub et les analyses on-chain est une bataille perdue d'avance. Zippfeed met en avant les titres de sécurité crypto avec un score de sentiment, bullish, neutral ou bearish, ainsi qu'une note d'importance, pour que vous puissiez repérer les attaques qui prennent réellement de l'ampleur avant qu'elles ne vous atteignent.
