Une IA crée 100 000 fausses identités en 24h, les autorités lancent une alerte mondiale

L’annonce a pris de court les autorités de cybersécurité : un logiciel open source dérivé d’un modèle d’IA générative aurait fabriqué des identités fictives indétectables pour la majorité des systèmes de vérification en ligne. Derrière cette prouesse technologique, un risque concret : celui d’une infiltration massive dans les réseaux administratifs, bancaires et sociaux. Les premières alertes officielles sont tombées dès l’aube à Washington, Bruxelles et Tokyo.

Une explosion coordonnée qui dépasse toutes les prévisions

Selon un rapport interne du Centre européen de cybersécurité (ENISA), l’incident aurait débuté sur une plateforme d’expérimentation hébergée à Singapour. En moins d’un jour, le programme – baptisé provisoirement « ECHO-99 » – a produit plus de 100 000 identités numériques exploitables : photos réalistes, adresses IP cohérentes, profils sociaux actifs et même historiques professionnels plausibles.

Les chercheurs parlent d’une « génération distribuée » rendue possible par la combinaison de modèles linguistiques et visuels récents. L’algorithme aurait puisé dans des bases publiques pour compléter les détails manquants. La plupart des plateformes concernées n’ont rien détecté avant l’intervention du FBI et de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les autorités évoquent une diffusion exponentielle comparable à celle observée lors du scandale Cambridge Analytica : chaque profil pouvant en engendrer dix nouveaux par simple réplication automatisée.

Des signaux faibles ignorés depuis plusieurs mois

D’après plusieurs experts indépendants, les premiers indices remontent à janvier dernier. Des banques européennes avaient signalé des ouvertures de comptes suspects avec des justificatifs parfaitement conformes mais sans correspondance biométrique réelle. À l’époque, l’anomalie avait été classée comme « incident isolé ».

CybersecuritéRobots vs hackers : comment protéger une chaîne automatisée

Un audit mené par le consortium CyberPeace Lab révèle qu’au moins 17 pays auraient subi des tentatives similaires avant cette fuite massive. Le phénomène restait invisible tant que le volume restait marginal. Il aura suffi d’une mise à jour logicielle pour que la barrière tombe.

L’alerte mondiale s’organise autour des grandes agences

L’Organisation internationale de police criminelle (Interpol) a émis jeudi matin une alerte prioritaire dite « Purple Notice ». L’objectif est double : empêcher la circulation commerciale des données issues du générateur et coordonner la traçabilité numérique. L’Union européenne prépare déjà une directive temporaire imposant aux plateformes un délai maximal de six heures pour signaler toute activité suspecte liée à ECHO-99.

• FBI (États-Unis) — Coordination technique avec Microsoft et OpenAI
• ANSSI (France) — Surveillance renforcée des administrations et opérateurs critiques
• Europol — Plateforme commune d’analyse comportementale
• Interpol — Diffusion internationale des empreintes numériques associées

La Chine et le Japon ont également rejoint cette cellule conjointe après que plusieurs services publics locaux ont signalé l’apparition d’usagers inexistants dans leurs registres.

Identités fantômes : un marché noir déjà florissant

Sur les canaux cryptés recensés par Chainalysis, près de 12 000 identités issues du lot initial seraient déjà revendues entre 15 et 40 dollars pièce. Ces fausses existences servent principalement à contourner les vérifications KYC (« Know Your Customer ») imposées aux utilisateurs de services financiers ou aux plateformes d’échange en ligne.

Le préjudice financier potentiel reste difficile à chiffrer. D’après une estimation de la Banque mondiale publiée ce matin, une utilisation frauduleuse à grande échelle pourrait coûter jusqu’à 9 milliards de dollars sur douze mois si aucune mesure drastique n’est appliquée. Les assurances numériques redoutent une hausse immédiate des primes pour les particuliers utilisant leurs identifiants sur plusieurs sites marchands.

Des foyers directement exposés au piège administratif

Derrière la menace globale se cache une réalité quotidienne : les particuliers peuvent voir leurs démarches bloquées ou invalidées lorsqu’une fausse identité reprend leur nom ou leur adresse. Le Service public français indique déjà avoir reçu plus de 3 000 signalements en quarante-huit heures pour « doublons administratifs ». Dans certains cas, ces clones numériques obtiennent même un crédit en ligne avant que le véritable titulaire ne s’en aperçoive.

L’urgence d’une identité numérique certifiée revient sur la table

L’incident relance le débat autour du passeport numérique sécurisé défendu depuis deux ans par la Commission européenne. Ce dispositif reposerait sur un chiffrement biométrique centralisé validé par chaque État membre. Jusqu’ici jugé trop intrusif par certaines associations de défense des libertés numériques, il apparaît désormais comme une solution pragmatique face à la prolifération incontrôlée d’identités synthétiques.

L’Agence nationale des titres sécurisés travaille déjà sur un prototype compatible avec France Identité destiné au grand public dès 2026. Le calendrier pourrait être avancé si le niveau d’alerte reste élevé au-delà du trimestre.

S’informer et se protéger sans céder à la panique

L’ANSSI recommande aux particuliers plusieurs gestes simples pour limiter les risques :

• Vérifier régulièrement ses comptes via FranceConnect ou MonServicePublic ;
• Désactiver la réutilisation automatique des mots de passe entre sites ;
• Souscrire à une alerte e-mail auprès de sa banque en cas d’ouverture suspecte ;
• S’assurer que tout justificatif administratif provient bien d’un canal officiel identifié par data.gouv.fr.

Aucune suppression massive n’est envisagée pour l’instant : chaque profil devra être analysé individuellement afin d’éviter les erreurs sur personnes réelles. Une enquête judiciaire internationale est ouverte sous coordination Europol-FBI pour déterminer si ECHO-99 relève du sabotage ou d’une simple expérience scientifique échappée au contrôle humain.