Avec l’essor de l’intelligence artificielle générative, il est désormais possible de créer des contenus contrefaits incluant documents, voix et vidéos avec pour objectif de créer, usurper ou de falsifier une identité.
Ainsi un simple contrat ou un devis peut être altéré sans que la fraude ne soit immédiatement détectable. Et pour cause, au gré des mises à jour des modèles d’intelligence artificielle (LLM), ces actions sont devenues accessibles aux néophytes, augmentant le nombre de fraudes documentaires.
Une tendance confirmée par le rapport 2025 Identity Fraud Report publié par la société Entrust, qui rapporte une hausse de 244 % des falsifications de documents numériques en 2024, facilitée par l’essor de l’IA générative.
À l’heure où de plus en plus de transactions se dématérialisent, la question de l’intégrité documentaire devient un problème de société.
Peut-on encore se fier à un document ? Quelles garanties techniques permettent d’assurer que ce dernier n’a pas été modifié, et que le signataire est bien la personne qu’il prétend être ?
Face à ces enjeux, des plateformes comme Eva, développée par Nowina, proposent une approche rigoureuse de la signature électronique, fondée non pas sur la confiance implicite, mais sur la preuve vérifiable. Explications.
De la falsification à l’usurpation : comment l’intelligence artificielle change la nature des fraudes
Alors que les outils d’intelligence artificielle générative se démocratisent dans le monde professionnel, les cybercriminels n’hésitent pas à en détourner l’usage dans un but de falsification documentaire.
Faux documents, vraie crédibilité : l’IA améliore la qualité des falsifications
La falsification documentaire n’est pas née avec l’intelligence artificielle. Depuis la sortie du logiciel Photoshop en 1990, des utilisateurs peu scrupuleux ont toujours tenté de falsifier des fichiers PDF et autres documents officiels tels que des fiches de paie ou des diplômes à l’aide des fonctionnalités de retouche graphique. Avec l’émergence de LLM tel que ChatGPT, ce phénomène change d’échelle grâce à une rapidité d’exécution, une facilité de mise en œuvre et un niveau de réalisme proche du document originel.
Lorsqu’il fallait par le passé acquérir des compétences en matière de design graphique, un accès gratuit à ChatGPT permet de délivrer le même résultat sans compétences préalables.
Une absence de barrière à l’entrée qu’observe l’étude menée par le World Economic Forum et citée par LeMagITen 2024 puisque près d’un professionnel sur cinq déclare avoir déjà été confronté à un document falsifié dans le cadre de son activité.
Selon cette étude, 12 % de ces cas ont débouché sur un litige juridique, et 15 % ont entraîné une perte financière directe. Des chiffres significatifs qui montrent le passage d’un épiphénomène à celui de risque systémique.
Fraude au président et deepfakes : la confiance mise à l’épreuve
L’utilisation de l’intelligence artificielle ne se limite pas à générer de faux documents. Elle permet désormais par une technique dite de face swapping, de reproduire le visage d’une personne en mouvement et en temps réel, rendant possibles des usurpations d’identité audiovisuelles convaincantes.
À cela s’accompagne désormais le voice cloning, ou clonage de voix, permettant d’adopter le timbre, la tonalité et le ton de la voix d’une personne sur la base d’un extrait audio et en seulement quelques clics.
Ces techniques sont aujourd’hui utilisées dans les attaques dites de fraudes « au président ». Historiquement, ces escroqueries reposaient sur l’envoi d’e-mails usurpés, souvent peu personnalisés, dans lesquels un cybercriminel usurpant l’identité du dirigeant réclamait un virement ou une action urgente.
Ce mode opératoire, bien que déjà efficace, laissait souvent des indices : fautes, adresses douteuses, incohérences dans le ton.
Avec l’IA générative, ces attaques deviennent beaucoup plus crédibles. Des fraudeurs peuvent désormais organiser de fausses visioconférences en incarnant en direct la personne.
La fraude se joue alors dans un cadre familier (je vois et j’entends la personne), interactif (elle me répond), et visuellement rassurant pour la victime (la personne que je vois ressemble à celle que je côtoie au quotidien dans l’entreprise).
« Imaginez un cybercriminel qui compromet votre poste de travail et accède à deux heures d’interview stockées localement. Il dispose alors de votre voix, de votre image, de vos expressions faciales. Avec des outils de deepfake, il devient possible de vous faire prononcer n’importe quelle déclaration. Il est devenu aujourd’hui nécessaire d’être vigilant sur les éléments. Cela souligne également la nécessité d’une vigilance accrue quant à ce que chacun expose en ligne : tout contenu non sécurisé peut servir de matière première à une fraude identitaire. » comme le rappelle David Naramski, Partner chez Nowina.
C’est exactement ce même scénario qui est arrivé à une entreprise de Hong Kong en février 2024, trompée lors d’une réunion en ligne où le PDG, bien connu de ses collaborateurs, était en réalité un hacker utilisant l’ensemble de ces techniques d’usurpation. Cette fausse interaction a suffi à convaincre un collaborateur à effectuer plusieurs virements pour un montant total de 26 millions de dollars.
Dans ces conditions, la confiance doit reposer sur des mécanismes techniques explicites et vérifiables tels que proposés par les plateformes de signature électronique.
Comment les plateformes de signature électronique garantissent l’intégrité des documents face à l’IA générative ?
Alors que l’IA générative bouleverse la nature des fraudes documentaires, les plateformes de signature électronique jouent un rôle central pour maintenir la confiance.
Grâce à des standards légaux stricts et des mécanismes techniques éprouvés, elles permettent de garantir l’authenticité, l’intégrité et la traçabilité des documents, même dans un contexte de manipulation numérique avancée.
Trois niveaux de signature, trois niveaux d’assurance
Conformément au règlement européen eIDAS, il existe trois niveaux de signature électronique, chacun adapté à des usages et des exigences de preuve.
- La signature électronique simple est le premier niveau. Elle peut prendre la forme d’un scan de signature manuscrite ou d’un clic sur un bouton. Facile à utiliser, elle est adaptée aux démarches à faible enjeu (formulaires, validations internes), mais reste juridiquement contestable sans éléments complémentaires de preuve.
- La signature électronique avancée repose sur l’identification du signataire et lie techniquement sa signature au document. Elle implique des moyens d’authentification renforcés et assure que toute modification ultérieure du fichier invalide la signature. Elle est couramment utilisée pour des contrats commerciaux, devis ou documents RH.
- La signature électronique qualifiée est la plus sécurisée. Elle repose sur un certificat qualifié délivré par un prestataire de service de confiance qualifié (PSCQ), après vérification d’identité en face à face ou par vidéo avec preuve documentaire. C’est l’unique niveau reconnu équivalent à une signature manuscrite en droit européen. Elle est utilisée pour les actes notariés, bancaires ou les appels d’offres publics.
La signature électronique intègre des mécanismes techniques qui assurent l’intégrité
Les plateformes de signature électronique s’appuient sur plusieurs composants techniques pour garantir qu’un document signé est à la fois authentique, non modifiable et juridiquement fiable.
Authentification du signataire
Avant d’apposer une signature électronique, la plateforme doit s’assurer que la personne signataire est bien celle qu’elle prétend être, et qu’elle est légitimement autorisée à signer le document.
Cette étape repose sur une authentification multifacteur, combinant généralement un identifiant (e-mail ou numéro de téléphone) à un ou plusieurs facteurs de vérification : mot de passe, code à usage unique par SMS ou e-mail, lien sécurisé, ou encore application mobile d’authentification.
Dans les parcours les plus sécurisés, notamment pour les signatures qualifiées, cette étape s’appuie sur un contrôle d’identité conforme aux exigences KYC (Know Your Customer).
L’utilisateur doit alors présenter une pièce d’identité officielle, parfois accompagnée d’une vérification vidéo en direct pour confirmer la correspondance entre le visage et le document. Ces vérifications automatisées ou supervisées permettent d’écarter les tentatives de fraude, notamment celles rendues possibles par les deepfakes.
Audit trail : une traçabilité complète et horodatée
Un journal d’audit (audit trail) est automatiquement généré pour chaque processus de signature. Il documente de manière détaillée :
- les identifiants utilisés pour l’authentification,
- les étapes de consultation du document,
- l’heure exacte de chaque action (ouverture, signature, validation),
Ce registre est non modifiable et horodaté, ce qui en fait une preuve technique opposable en cas de litige. Il reconstitue la chronologie exacte de l’opération, et permet à un juge ou une autorité tierce de vérifier indépendamment la régularité de la signature.
Cachet électronique : la garantie d’intégrité du contenu
Le cachet électronique fonctionne comme un scellement cryptographique apposé au document à l’instant de la signature. Il repose sur un certificat émis par une autorité de confiance, et associe le contenu du fichier à un hachage numérique unique.
Si le document est modifié après coup, le hachage ne correspond plus et la signature devient invalide. Cela garantit que :
- le document n’a pas été altéré depuis sa signature,
- l’origine du document peut être vérifiée (émetteur identifié),
- la version signée est bien celle que toutes les parties ont validée.
L’ensemble de ces mécanismes stoppent à ce jour toute tentative d’usurpation comme le souligne Christophe Labbé, Partner chez Nowina :
« L’IA générative ne permet pas de falsifier un document signé électroniquement au niveau cryptographique. Ce niveau de falsification nécessiterait une puissance de calcul que seules les technologies quantiques pourraient théoriquement atteindre. »
La plateforme de signature électronique Eva de Nowina : une architecture conçue pour la confiance
La plateforme Eva, développée par Nowina, se distingue par une approche rigoureuse de la sécurité, de la transparence et de la conformité. Dans un contexte où l’IA générative complexifie la détection des fraudes, Eva fait le choix d’une architecture sans compromis, centrée sur la maîtrise technique.
Une architecture souveraine, ouverte et conforme
Conforme au règlement européen eIDAS, Eva propose une signature avancée pragmatique et s’appuie, pour les signatures qualifiées, sur des prestataires de services de confiance européens reconnus, garantissant une signature juridiquement valable.
Contrairement à certaines plateformes fermées, Eva est interopérable : les clients conservent la capacité de vérifier toutes les signatures qualifiées mais surtout aussi les signatures avancées réalisées sur des plateformes d’autres prestataires de services (Universign, Docusign, Connective, PleaseSign, VitalSign, Docaposte, …) , d’extraire leurs données, de mixer les prestataires de services (itsme, LuxTrust, eIDs, …) ou de changer de prestataire sans perdre leur historique ni leurs preuves. Aucune contrainte logicielle ne vient limiter leur autonomie.
Des parcours d’identification adaptés au niveau de risque
Eva intègre des parcours de vérification qui s’adaptent au niveau de sécurité attendu. Pour un document à faible enjeu, l’expérience peut rester simple et rapide, mais rapidement une identification forte (identification 2FA) s’impose pour des documents signés par des tiers en B2B ou B2C.
Pour des contrats sensibles ou des documents à valeur légale élevée, Eva mobilise des mécanismes d’identification renforcés qui s’appuient sur les mécanismes d’identifications proposés par les prestataires de services qualifiés intégrés à la plateforme (identification vidéo, identification spécifique basée sur un document officiel). Cette approche permet de concilier sécurité, conformité et expérience utilisateur, sans complexité inutile.
Un contrôle total grâce au déploiement on-premise
Pour les organisations souhaitant garder la maîtrise complète de leur infrastructure, Eva peut être déployée sur le réseau interne de votre entreprise (on-premise).
Cela signifie que les données, les certificats, les journaux de preuve et les mécanismes d’authentification sont hébergés localement, dans un environnement maîtrisé par le client. Un atout essentiel pour les secteurs soumis à des contraintes de souveraineté ou de confidentialité renforcées.
Vous souhaitez en savoir plus, contactez nos experts dès aujourd’hui.