Deepfake vidéo en Microsoft Teams : faux PDG ordonnant un virement
Nouvelle technique : appels Microsoft Teams avec deepfake vidéo en temps réel pour ordonner un virement urgent au service comptable.
Qu'est-ce qui se passe
Le voice cloning audio existe depuis deux ans. Le passage à la vidéo deepfake en temps réel sur visio professionnelle est la nouveauté de ce printemps 2026 — et plusieurs cas remontent en PME française depuis le 10 mai. Le scénario : un comptable participe à ce qu'il pense être un appel Teams avec son PDG, qui lui demande de procéder à un virement urgent.
Trois cas documentés au 19 mai (sources : signalements Cybermalveillance, remontées via une association de DAF qu'on ne nomme pas pour ne pas griller la veille). Ordre de grandeur des virements détournés : 50 k€ à 180 k€ par tentative. Cible : services compta de structures de 20 à 200 personnes (assez de transactions pour qu'un virement urgent ne paraisse pas atypique, pas assez de procédure pour bloquer).
Comment ça marche
L'attaque combine deux briques techniques accessibles :
- Compromission d'accès Microsoft 365 d'un membre de l'organisation (souvent un cadre intermédiaire), via phishing préalable — OU création d'un compte Teams externe « guest » avec un nom proche
- Flux vidéo deepfake en temps réel, alimenté par une vidéo source du dirigeant disponible publiquement (LinkedIn, interview presse, vidéo corporate). Modèles type face-swap temps réel exécutables sur GPU consommateur depuis 2025
- Voice cloning sur la même source audio
Le scénario en visio est calibré pour limiter l'exposition aux artefacts :
- Durée brève (1 à 3 minutes max)
- Cadrage serré sur le visage, pas de mouvements rapides ni mains visibles
- Pretexte « réunion brève entre deux meetings » pour justifier la concision
- Mail de confirmation envoyé en parallèle depuis l'adresse compromise pour double-renforcement
Mécanisme voice-cloning-pdg — évolution de la fraude au président audio classique, documentée dans notre alerte voice cloning. Côté grand public, le même type de technologie alimente les deepfakes investissement qui saturent Meta et TikTok.
Comment reconnaître
Indices visuels possibles — mais qui s'effacent à mesure que les générateurs s'améliorent :
- Synchronisation labiale décalée sur les consonnes occlusives (
b,p,m) - Yeux qui fixent parfois sans cligner naturellement
- Bordure du visage qui « flotte » lors de mouvements rapides
- Mains cachées ou absentes du cadre (les modèles temps réel les gèrent mal)
- Bande passante exceptionnellement basse pour une visio prétendument live
La défense ne doit pas reposer sur la détection visuelle. Elle doit reposer sur la procédure interne : aucun virement urgent ou hors-procédure n'est validé sans confirmation par un canal différent de celui ayant émis l'instruction.
Que faire si concerné
- Ne valide jamais un virement urgent reçu en visio sans rappel téléphonique au numéro habituel du dirigeant (composé à la main, pas depuis l'historique)
- Établis en interne un mot de passe verbal partagé pour les ordres critiques — un mot anodin que le PDG doit prononcer à un moment de l'appel
- Si virement parti : alerte la banque dans l'heure pour tenter un rappel. Signale à Cybermalveillance.gouv.fr — FOVI
- Dépôt de plainte rapide auprès du commissariat. Pour les pertes au-delà de 100 k€, le PJL local peut être saisi
- Documente pour la cellule de veille : timestamp, identifiants Teams utilisés, IP de la connexion compromise (l'équipe DSI peut les extraire des logs Microsoft 365)
Sources
Sources
Pour comprendre toute la mécanique de ce type d'arnaque et comment se protéger en amont :
Guide fraude au président →Même marque ou même canal
Alerte rédigée par l'équipe éditoriale killscam après recoupement de sources publiques (2 références citées ci-dessus). Première observation par notre veille le 10 mai 2026. Dernière vérification le 19 mai 2026.
Nos critères de publication, nos sources et nos garanties éditoriales sont détaillés sur la page méthodologie. Une info à corriger ou une nuance à ajouter ? écris-nous.