Roger a 71 ans. Il vit à Drummondville. Il n’a pas de raison particulière de se méfier des appels téléphoniques de sa famille.
Un soir de février 2026, son téléphone sonne. C’est le numéro de Nicolas, son fils. Roger répond.
“Papa.” La voix tremble légèrement. C’est Nicolas — le même timbre, le même accent, la même façon de dire “papa” avec un léger souffle avant le mot.
Nicolas a eu un accident de voiture sur l’autoroute 40, à l’entrée de Montréal. Il n’est pas blessé, mais l’autre conducteur réclame 3 200 $ cash pour ne pas impliquer les assurances — pour éviter que le dossier de Nicolas soit affecté. Il faut envoyer l’argent dans les trente minutes.
Roger pose quelques questions. La voix répond. Elle hésite aux bons moments. Elle dit “je sais pas quoi faire” avec exactement le ton que Nicolas aurait eu dans une vraie situation de stress.
Roger transfère 3 200 $ via Interac. En trois virements, parce que sa banque limite les montants unitaires.
Il appelle Nicolas pour confirmer que l’argent est parti. Nicolas répond depuis son appartement à Québec. Il était en train de regarder la télévision.
L’escroc avait récupéré 45 secondes d’un vieux message vocal que Nicolas avait laissé à son père en 2024. C’est tout ce qu’il avait fallu.
Comment fonctionne le clonage vocal IA — expliqué simplement
Il y a cinq ans, cloner une voix demandait des heures de travail, du matériel spécialisé, et une expertise technique sérieuse. En 2026, n’importe qui avec une connexion internet et 20 $ peut le faire en quelques minutes.
Les outils les plus utilisés par les escrocs — ElevenLabs, HeyGen, Resemble AI — sont des services commerciaux légitimes, conçus pour la production audio, le doublage, et la création de contenu. Ils ont été détournés massivement.
Voici comment ça fonctionne techniquement, en termes simples :
Étape 1 — La récolte d’audio. L’escroc cherche un enregistrement de la cible vocale. Un message vocal laissé sur un répondeur. Une vidéo Facebook publiée il y a deux ans. Un TikTok, un Instagram Reel, une interview sur YouTube. 15 à 45 secondes d’audio clair suffisent. La qualité n’a pas besoin d’être parfaite — les algorithmes de reconstruction compensent le bruit.
Étape 2 — L’entraînement du modèle. L’escroc uploade l’audio dans le service de clonage. En 2 à 5 minutes, le modèle analyse les caractéristiques de la voix : fréquences dominantes, rythme, intonations, accent régional, respiration. Il crée un “clone vocal” — une voix synthétique qui imite la voix originale.
Étape 3 — La génération en temps réel. Certains outils permettent de parler en direct à travers le clone vocal — comme un masque audio. L’escroc parle, et ce que la victime entend c’est la voix du fils, de la fille, du parent. En direct. En temps réel.
Étape 4 — L’appel. L’escroc connaît le scénario par cœur. Urgence financière. Demande de discrétion. Interac ou virement rapide. Pression temporelle.
Le résultat : une conversation qui semble authentique, avec une voix que vous reconnaissez, venant d’un numéro qui ressemble au vrai numéro (les escrocs utilisent des techniques de spoofing pour afficher le bon numéro).
Les 4 arnaques deepfake les plus courantes au Canada en 2026
L’arnaque des grands-parents
C’est la version de Roger. Un proche — fils, fille, petit-enfant — appelle en urgence. Il a eu un accident, il est en détresse, il a besoin d’argent rapidement et discrètement. “S’il te plaît dis rien à maman, je veux pas qu’elle s’inquiète.”
Cette demande de discrétion est calculée. Elle empêche la victime de vérifier avec d’autres membres de la famille — ce qui révélerait l’arnaque en 30 secondes.
Les cibles principales : personnes de 60 ans et plus, souvent moins familières avec les deepfakes vocaux et plus susceptibles de faire confiance à une voix connue.
Le CEO fraud — l’arnaque du patron
Version entreprise. Un employé reçoit un appel du PDG ou d’un directeur. La voix est reconnaissable. L’urgence est réelle : un virement doit partir aujourd’hui pour une transaction confidentielle. Pas de questions, pas de circuits habituels d’approbation — c’est trop urgent.
Les escrocs ciblent les PME québécoises, les contrôleurs financiers, les comptables. Un seul appel réussi peut rapporter des dizaines de milliers de dollars.
En 2025, une PME montréalaise a perdu 87 000 $ via cette technique. Le “PDG” avait appelé depuis un faux numéro avec une voix clonée à partir d’une conférence YouTube.
L’ami en détresse à l’étranger
Bob reçoit un appel de son ami Marc-André, parti en voyage en Espagne. Il a été volé, son passeport et ses cartes sont partis, il a besoin de 800 $ pour rentrer au pays. “Je te rembourse dès que je suis de retour.”
La voix est celle de Marc-André. L’histoire est cohérente. Bob envoie.
Marc-André était à Sherbrooke.
Le faux support technique avec visage
Version visuelle du deepfake. Un appel vidéo d’un “représentant Microsoft” ou “agent Service Canada”. Le visage à l’écran est généré par IA — un visage humain convaincant, en temps réel.
Il vous dit que votre compte a été compromis, qu’il a besoin d’accès à distance à votre ordinateur pour “sécuriser” vos données, ou que vous devez payer une amende immédiatement.
Cette variante est encore moins répandue mais en forte croissance. Les outils de deepfake vidéo en temps réel sont devenus accessibles en 2025.
Ce que j’entends quand je teste un clone vocal — les défauts qui trahissent l’IA
J’ai testé plusieurs outils de clonage vocal en 2026. ElevenLabs, Resemble AI, un outil open source qu’on trouve facilement sur GitHub. Voici ce que j’ai remarqué — et ce que vous pouvez utiliser pour détecter une imitation, si vous savez quoi écouter.
La respiration. Un humain respire irrégulièrement. Il y a des micro-pauses entre les mots, des moments où la voix baisse légèrement en fin de phrase parce que les poumons se vident. Les clones vocaux actuels reproduisent ça de manière trop uniforme. Chaque respiration est au même endroit. Chaque fin de phrase a le même débit.
Les hésitations calculées. L’IA peut imiter le fait d’hésiter — “euh”, “je sais pas comment dire ça” — mais ces hésitations sont placées à des intervalles trop réguliers. Une vraie hésitation humaine dépend du contexte. Une hésitation IA est un comportement appris qu’elle reproduit sans raison liée au contenu.
La réponse trop rapide. Posez une question précise et inattendue. Un détail de mémoire partagée : “C’est quoi le nom du chien qu’on avait au chalet quand t’avais 8 ans ?” Un humain réfléchit. Il y a un vrai délai de récupération mémorielle. L’IA génère une réponse dans un délai constant, qui ne varie pas selon la difficulté de la question.
Les consonnes finales. Le son des lettres en fin de mot — le “t” dans “accident”, le “r” dans “partir” — est souvent légèrement aplati dans les clones. C’est subtil. Vous ne l’entendrez pas si vous êtes en état de stress. Mais si vous écoutez froidement un enregistrement de l’appel, c’est souvent là.
La cohérence des détails. L’IA ne sait pas ce que votre proche sait. Demandez-lui quelque chose de spécifique à votre relation — une blague interne, une situation récente dont vous avez parlé. Elle va répondre de manière vague ou inventer quelque chose de plausible mais inexact. Poussez sur les détails. Les escrocs n’ont pas de réponses préparées pour ça.
Franchement, ces signaux sont difficiles à identifier sous le stress. C’est pourquoi la seule vraie défense reste les processus — le mot de code, le raccrocher-rappeler — et pas votre capacité à détecter un deepfake à l’oreille. Ne comptez pas sur vos oreilles seules.
Le CEO fraud deepfake — comment les PME québécoises perdent des dizaines de milliers de dollars
L’arnaque des grands-parents fait les manchettes parce que les victimes sont identifiables et la perte est visible. Mais la version entreprise du deepfake vocal est bien plus lucrative — et bien moins signalée.
Le scénario standard : un employé des finances reçoit un appel du PDG ou d’un vice-président. La voix est reconnaissable. L’urgence est réelle. Une acquisition est en cours, un fournisseur exige un dépôt ce matin, il faut effectuer un virement de 40 000 $ avant midi. Pas de courriel, c’est confidentiel, les circuits habituels d’approbation ne s’appliquent pas.
L’escroc a fait ses devoirs. Il a écouté la présentation du PDG au dernier événement de la chambre de commerce. Il a trouvé 3 minutes d’audio sur YouTube, une interview de balado, ou une vidéo LinkedIn. Il connaît le nom du comptable, le nom de l’assistante, les noms des principaux fournisseurs — tout ça est public.
La PME montréalaise que j’ai mentionnée plus tôt — 87 000 $ perdus en 2025 — n’est pas un cas isolé. Le Centre antifraude du Canada parle d’une hausse de 171 % des signalements liés aux fraudes IA en 2025 par rapport à 2024. Les PME sont sous-représentées dans ces statistiques parce qu’elles signalent moins, souvent par honte ou par crainte d’affecter leur réputation auprès des partenaires.
Comment se défendre en entreprise :
Mettez en place une politique simple : aucun virement de plus de X $ ne peut être autorisé par téléphone uniquement, peu importe qui appelle. Le montant seuil dépend de votre réalité — 5 000 $, 10 000 $, 25 000 $. Mais la règle doit être écrite, connue de tous, et non-négociable même si le PDG “est pressé”.
Un deuxième canal de confirmation est obligatoire. L’appel vocal seul ne suffit pas. Un courriel depuis l’adresse habituelle, ou un message via un canal interne connu. Si le “PDG” ne peut pas confirmer par écrit parce que “c’est urgent et confidentiel”, c’est le signal que quelque chose cloche.
Formez votre équipe des finances. Pas un webinaire de 90 minutes avec des slides génériques. Simulez un vrai appel. Faites-leur entendre un clone vocal. Laissez-les voir à quel point c’est convaincant. La formation par l’expérience réelle change le comportement — les présentations PowerPoint, beaucoup moins.
Ce que les banques font — et ce qu’elles ne feront pas
Avant que vous demandiez : oui, j’ai vu des clients aller voir leur banque après une arnaque deepfake. Voici ce qui se passe réellement.
Les banques au Canada ont des outils de détection de fraude. Ils fonctionnent bien pour les transactions inhabituelles — un virement vers un pays étranger depuis un compte qui n’a jamais fait ça. Ils fonctionnent moins bien quand la victime initie elle-même la transaction, depuis son propre appareil, à un destinataire au Canada.
Interac est particulièrement problématique. Les virements sont quasi-instantanés et conçus pour l’être. C’est leur utilité. Une fois que l’argent est accepté de l’autre côté, il est parti. Les escrocs le savent — c’est pourquoi ils demandent Interac plutôt qu’un virement bancaire standard.
La Banque TD, Desjardins, la Banque Nationale — elles peuvent tenter de contacter la banque réceptrice si vous appelez dans les premières heures. Certaines transactions sont récupérables si le compte frauduleux n’a pas encore été vidé. Mais la fenêtre est étroite — souvent moins de 2 heures.
Ce que la banque ne fera pas : vous rembourser automatiquement. Les virements initiés par le titulaire du compte sont considérés comme autorisés. Vous devez prouver que vous avez été victime d’une fraude, produire un rapport de police, et la décision finale reste à la discrétion de la banque.
Moral de l’histoire : la prévention vaut 10 000 fois le traitement. Parce que le traitement, une fois que l’argent est parti, donne rarement des résultats.
Comment distinguer un vrai appel d’un deepfake — la checklist
La mauvaise nouvelle : vous ne pouvez souvent pas le détecter à l’oreille. Les meilleurs clones vocaux trompent des membres de la famille immédiate dans 80% des cas, selon des études récentes.
La bonne nouvelle : vous n’avez pas besoin de détecter le deepfake. Vous avez besoin de processus qui ne dépendent pas de vos oreilles.
Réflexe 1 — Raccrocher et rappeler. Si vous recevez un appel d’urgence d’un proche, raccrochez. Rappellez vous-même sur le numéro que vous connaissez — pas le numéro affiché sur l’appel entrant (il peut être spoofé). Si la personne répond normalement, l’urgence n’existe pas.
Réflexe 2 — Le mot de code. Si la personne ne connaît pas votre mot de code familial (voir section suivante), l’appel est suspect, peu importe la qualité de la voix.
Réflexe 3 — Vérifier par une autre voie. Pas de virement sans vérification via un autre canal. SMS, messagerie, email à l’adresse habituelle. Ou appeler un autre membre de la famille qui peut confirmer.
Réflexe 4 — L’urgence est un signal d’alarme. Tout scénario qui vous empêche de prendre 5 minutes pour vérifier est conçu pour court-circuiter votre jugement. La vraie urgence peut attendre 5 minutes.
Réflexe 5 — Jamais d’Interac sur un appel non prévu. Aucun transfert d’argent significatif suite à un appel non initié par vous, même si la voix semble parfaitement authentique, même si le numéro affiché est le bon.
Le mot de code familial — l’arme secrète contre les deepfakes
C’est la défense la plus efficace disponible aujourd’hui. Simple, gratuit, et efficace à 100% si utilisé correctement.
Le principe : vous choisissez un mot ou une phrase que seuls les membres de votre famille connaissent. En cas d’appel d’urgence, vous demandez le mot de code. L’IA ne peut pas le donner — elle ne le connaît pas.
Comment choisir le bon mot de code :
Évitez les mots évidents — prénom d’un animal de compagnie connu sur les réseaux, un sobriquet qu’on voit sur les photos Facebook. Choisissez quelque chose de spécifique à un souvenir partagé. La cabane au lac en 2015. Le nom du chat du voisin d’enfance. Une blague interne que personne d’autre ne connaît.
Changez-le une fois par an. Si un membre de la famille le mentionne par écrit quelque part, créez-en un nouveau.
Comment le déployer :
Appelez vos parents ce soir. Appelez vos enfants. Expliquez en deux phrases : “Il existe des arnaques où l’IA imite ma voix. On va établir un mot de code. Si tu reçois un appel urgent de ma part et que tu demandes le mot de code — si je ne peux pas le donner, c’est pas moi.”
La conversation prend trois minutes. Elle peut éviter une perte de plusieurs milliers de dollars.
L’utiliser dans la pratique :
Vous recevez un appel d’urgence de votre fille. La voix semble parfaite. Vous dites simplement : “Sophie, donne-moi le mot de code.” Si elle peut le donner : probablement authentique. Si elle hésite, invente une excuse, ou dit qu’elle “ne s’en souvient plus” : raccrochez immédiatement.
Un escroc va essayer de contourner — “je suis trop stressée pour me souvenir”, “c’est une urgence papa il faut pas perdre de temps”. Ne cédez pas. Le vrai mot de code, un proche s’en souviendrait même sous le stress.
J’ai été victime — que faire maintenant
Si vous réalisez après coup que vous avez transféré de l’argent à un escroc via cette technique, voici les étapes dans l’ordre.
Immédiatement — Appelez votre banque. Numéro au dos de votre carte, pas l’application. Dites : “J’ai été victime d’une arnaque deepfake vocal, j’ai envoyé un virement frauduleux.” Si le destinataire n’a pas encore vidé le compte, certaines banques peuvent bloquer ou récupérer les fonds. C’est rare mais ça arrive, surtout dans les premières heures.
Dans l’heure — Signalez au Centre antifraude du Canada. Téléphone : 1-888-495-8501. En ligne : antifraudcentre-centreantifraude.ca. Votre signalement alimente une base de données qui aide les enquêteurs à identifier les réseaux actifs.
Dans les 24 heures — Déposez une plainte à la police. Même si les chances de récupérer l’argent sont minces. Le numéro de dossier police est souvent exigé par la banque pour ouvrir une enquête formelle.
Dans la semaine — Parlez-en à votre entourage. Non pas pour vous humilier, mais parce que chaque personne informée est une personne qui peut identifier et stopper l’arnaque si elle se reproduit. La honte protège les escrocs. La transparence les expose.
Réduire votre surface d’exposition — ce que vous pouvez faire maintenant
L’escroc a besoin d’audio. Moins il y en a en accès public, plus le clonage est difficile — ou impossible.
Rendez vos vidéos Facebook privées. Les vidéos publiques de Noël, de fêtes de famille, d’anniversaires — c’est exactement ce que les escrocs cherchent. 45 secondes d’une vidéo où vous parlez normalement, c’est suffisant. Allez dans vos paramètres Facebook, filtrez par “vidéos publiques” et changez-les en “amis seulement” ou “seulement moi”.
Limitez les vidéos publiques de vos proches vulnérables. Si votre mère de 72 ans a un compte Facebook avec des vidéos publiques d’elle qui chante à un souper de famille — son clone vocal est accessible à n’importe qui. Aidez-la à sécuriser son profil.
TikTok et Instagram Reels. Les courtes vidéos où on entend clairement la voix. Mettez le compte en mode privé si vous n’avez pas de raison professionnelle d’être public.
Les messages vocaux WhatsApp et Telegram. Ils ne sont pas accessibles publiquement, mais si votre téléphone est compromis ou si quelqu’un y a accès, ces enregistrements peuvent être récupérés. Effacez les messages vocaux anciens régulièrement.
Ce que vous ne pouvez pas contrôler. Les interviews radio ou podcast publiées en ligne. Les présentations professionnelles sur YouTube. Si vous avez du contenu public avec votre voix, votre clone vocal existe potentiellement déjà. Ce n’est pas une raison de paniquer — c’est une raison de mettre en place les processus de défense (mot de code, raccrocher-rappeler) qui ne dépendent pas de l’absence d’audio public.
Parler-en à vos parents avant qu’il soit trop tard
Les cibles principales des arnaques deepfake vocal ont 55 ans et plus. Pas parce qu’elles sont moins intelligentes — parce qu’elles ont grandi dans un monde où la voix d’un proche était une signature fiable. Ce réflexe est profond, légitime, humain.
Les escrocs le savent. Ils ont conçu leurs techniques pour exploiter exactement ce réflexe.
Vos parents ne savent probablement pas que cloner une voix avec 30 secondes d’audio est possible en 2026. Ils ne savent pas que ça coûte pratiquement rien. Ils ne savent pas que des milliers de personnes au Canada ont déjà été victimes.
Voici comment avoir cette conversation sans que ça semble alarmiste.
Commencez par un fait concret : “J’ai lu que des escrocs utilisent maintenant l’IA pour imiter la voix des enfants et appeler les parents en disant qu’ils ont eu un accident. C’est arrivé à des centaines de familles au Québec.” Pas de catastrophisme. Juste un fait.
Ensuite : “On va établir un mot de code. Si tu reçois un appel urgent de ma part et que tu n’es pas sûre, demande le mot de code. Si je peux pas te le donner, c’est pas moi — raccroche et rappelle-moi directement.”
Choisissez le mot ensemble. Répétez-le deux fois. Dites-lui de l’écrire sur un bout de papier dans un tiroir — pas dans son téléphone, pas dans un courriel, juste sur un bout de papier.
La conversation prend cinq minutes. Elle peut éviter des milliers de dollars perdus et un traumatisme psychologique qui dure des mois.
C’est le meilleur investissement de sécurité que vous pouvez faire aujourd’hui — gratuit, efficace, et ça ne prend qu’un appel téléphonique.
À lire aussi :
- Arnaque Interac sur Kijiji : comment ils vous volent
- Ce courriel de votre banque est un faux — voici comment le savoir
- La pop-up qui dit “Votre ordinateur est infecté” : anatomie d’une arnaque
- Vos données sont déjà en ligne — voici comment vérifier
Vous pensez avoir reçu un appel deepfake, ou vous voulez mettre en place des protocoles de sécurité pour votre entreprise ? On peut vous aider : sequr.ca/contact
