Quinze virements en un seul jour, 200 millions de dollars de Hong Kong envolés. En janvier 2024, un employé du bureau hongkongais d’Arup participe à un appel vidéo avec ce qu’il croit être son directeur financier londonien. Tout le monde autour de la table est un deepfake, sauf lui.
Dix-sept mois plus tard, Zoom tire les leçons. Le leader mondial de la visioconférence, 300 millions d’utilisateurs quotidiens, vient d’annoncer ce vendredi 17 avril l’intégration de World ID, le système de vérification par scan d’iris cofondé par Sam Altman. Un simple badge « Humain vérifié » apparaîtra à côté du nom des participants qui ont bien voulu présenter leur œil à une sphère métallique de 23 cm appelée Orb.
Le jour où Arup a cru parler à son DAF
L’affaire Arup est devenue le cas d’école de la fraude à l’ère de l’intelligence artificielle générative. Le cabinet d’ingénierie, co-concepteur de l’Opéra de Sydney, a perdu 25,6 millions de dollars dans une escroquerie par visioconférence. La police de Hong Kong a confirmé que l’employé, seul véritable humain de la réunion, avait débloqué les fonds après avoir vu et entendu à l’écran des collègues dont chaque pixel était fabriqué par une IA. Le cabinet d’analystes Trend Micro a documenté la méthode dans un rapport devenu canonique : un mail de phishing qui initie le contact, puis une réunion orchestrée où les deepfakes audiovisuels neutralisent toutes les procédures de vérification classiques.
Depuis, les services financiers vivent avec cette épée de Damoclès. Les détecteurs de deepfakes existants analysent chaque trame vidéo à la recherche d’un artefact. Zoom admet désormais que cette course à l’armement est perdue d’avance. Les modèles génératifs progressent plus vite que les outils qui tentent de les démasquer.
Trois images pour prouver qu’on respire
C’est là que l’Orb entre en scène. La sphère imaginée par Sam Altman scanne la cornée de son utilisateur lors d’une unique visite en boutique. Elle enregistre une image signée cryptographiquement, qui servira ensuite de référence. Pendant une réunion Zoom, la technologie baptisée Deep Face compare trois flux en temps réel : la photo d’enrôlement à l’Orb, un balayage facial capté par la caméra de l’appareil, et la vidéo visible par les autres participants. Le badge « Humain vérifié » ne s’affiche que si les trois coïncident, a précisé Ivan Mehta dans TechCrunch.
Les hôtes d’un appel pourront configurer une salle d’attente « Deep Face » qui bloque à l’entrée quiconque n’a pas passé le test. Pendant la réunion, un participant pourra aussi sommer un autre de se soumettre à la vérification sur-le-champ. « Cette intégration s’inscrit dans l’écosystème ouvert de Zoom », a commenté le porte-parole Travis Isaman, cité par TechCrunch, qui évoque un outil pour « construire la confiance dans les flux de travail ».
17,9 millions d’iris déjà enregistrés
L’entreprise fondée par l’homme fort d’OpenAI revendique 17,9 millions d’inscrits à World ID sur la planète, a rapporté Axios. Un chiffre qui donne une idée du socle sur lequel Zoom va pouvoir greffer son badge, même s’il reste dérisoire face aux 4 milliards d’internautes connectés à un écran de visioconférence au moins une fois par mois. La Fondation World, dans son annonce officielle publiée vendredi, a présenté la manœuvre comme le basculement « vers la confiance à l’ère de l’IA ». La formule est marketing, mais elle signe le pari stratégique : faire de l’identification biométrique la prochaine brique d’infrastructure d’Internet, aussi banale que le HTTPS.
Pour y parvenir, Altman a ouvert le protocole World ID au code source libre. N’importe quelle application pourra y brancher sa couche d’authentification. Une application mobile standalone baptisée World ID stocke désormais les justificatifs biométriques dans le téléphone. Le même compte ouvre un Zoom, signe un document, valide un achat.
Tinder, DocuSign, la chaîne qui se referme
Le coup d’éclat de vendredi n’est pas limité à Zoom. World a annoncé simultanément des intégrations avec Tinder, DocuSign, Okta, Shopify et le gestionnaire d’actifs VanEck. Sur Tinder, un badge indiquera que la personne derrière le profil existe vraiment, a précisé Axios. L’expérience, d’abord déployée au Japon, traverse désormais l’Atlantique pour atterrir aux États-Unis. DocuSign teste la technologie pour garantir qu’une signature électronique provient d’une vraie main humaine, et non d’un bot ou d’un compte piraté. Okta, allié à la plateforme Vercel, développe un outil capable de vérifier qu’un humain a bien validé une action déléguée à un agent IA. Chez VanEck, un Orb dort déjà dans le hall du siège pour contrôler les employés avant l’entrée dans les bureaux sensibles.
Le maillage qui se dessine est vertigineux. Là où une signature Gmail, un numéro de téléphone et un selfie suffisaient jusqu’ici à prouver son existence en ligne, l’Orb propose une colonne vertébrale unique reliant la banque, le travail, la rencontre amoureuse et les visioconférences professionnelles.
Le revers biométrique
La perspective inquiète autant qu’elle séduit. L’Espagne, la France et le Portugal ont déjà suspendu ou encadré les opérations de Worldcoin, l’ancien nom de la société, au motif que la collecte de biomarqueurs irréversibles pose un problème de proportionnalité au regard du RGPD. La CNIL française avait épinglé le procédé en 2024. Le Kenya avait brièvement saisi des Orbs. Chaque scan reste une donnée que l’utilisateur ne pourra jamais changer, à la différence d’un mot de passe ou d’un numéro de carte.
Les critiques soulignent aussi la boucle ironique : le patron d’OpenAI, dont les outils alimentent la dernière génération de deepfakes, vend désormais la solution contre ces mêmes deepfakes. Une économie circulaire où un seul acteur contrôle le poison et l’antidote. Zoom, de son côté, se contente de rappeler que l’option restera facultative, et que rien n’oblige un utilisateur à scanner son iris pour rejoindre un appel d’équipe du lundi matin.
Ce que ça change à court terme
Pour l’instant, l’intégration Deep Face sera proposée d’abord aux comptes Zoom Enterprise, ceux-là mêmes qui ont vu passer l’alerte Arup dans leurs notes internes. Les 192 400 grandes entreprises clientes du service représentent la cible évidente : un secteur où un faux DAF peut coûter autant qu’un immeuble entier. Côté grand public, le badge apparaîtra quand assez d’interlocuteurs auront trouvé le courage de se planter devant un Orb dans un centre commercial.
Reste la question qui personne ne tranche encore : dans un monde où les IA se généralisent, combien de temps avant qu’un collaborateur refuse sérieusement de prendre un appel avec un collègue qui n’a pas le badge ? Sam Altman parie que la réponse se compte en mois. Les régulateurs européens examineront le dossier dès juin lors d’une réunion des CNIL nationales consacrée aux identités biométriques.
