Candidats Synthétiques : Comment l'IA Alimente une Nouvelle Vague de Fraude au Recrutement (FR)

Il faut 70 minutes. C'est le temps nécessaire à une personne sans aucune expérience technique pour créer un candidat deepfake convaincant – avec un visage synthétique, une voix clonée et un parcours professionnel fabriqué. Selon HR Dive, l'ensemble du processus, du téléchargement d'outils open source à la réalisation d'un échange de visage en temps réel lors d'un appel vidéo, peut être effectué en un peu plus d'une heure.

Il ne s'agit pas d'une menace théorique. Cela se produit maintenant, à grande échelle, et la plupart des équipes de recrutement ne sont pas équipées pour le détecter.

L'ampleur du problème

Les chiffres dressent un tableau alarmant. 50% des entreprises déclarent avoir déjà rencontré une fraude deepfake alimentée par l'IA, selon CBS News. Du côté des candidats, 39% des demandeurs d'emploi ont utilisé l'IA au cours de leur processus de candidature en 2024 (Gartner T4 2024), et 28% des candidats admettent avoir utilisé l'IA pour créer de faux échantillons de travail (Rapport sur la fraude des candidats Greenhouse 2025).

Mais utiliser ChatGPT pour peaufiner une lettre de motivation, c'est une chose. Se présenter à un entretien vidéo en tant que personne complètement différente – avec un visage synthétique superposé au vôtre en temps réel – en est une autre. C'est la frontière que nous avons franchie.

Peut-être le plus révélateur : 62% des professionnels du recrutement pensent désormais que les demandeurs d'emploi sont plus doués pour simuler la compétence avec l'IA que les équipes RH pour la détecter. L'asymétrie est le problème. Les outils deepfake s'améliorent plus vite que l'œil humain ne peut suivre.

Comment la technologie deepfake fonctionne dans la fraude au recrutement

Le manuel de la fraude au recrutement par deepfake implique généralement trois couches de tromperie, chacune alimentée par des outils d'IA de plus en plus accessibles.

Construction d'une identité synthétique

La première étape consiste à créer un candidat qui n'existe pas. Les réseaux antagonistes génératifs (GAN) produisent des photos de profil photoréalistes qui passent les recherches d'images inversées. Les grands modèles linguistiques génèrent des CV, des lettres de motivation et même des portfolios de code soignés, adaptés à des descriptions de poste spécifiques. Les profils LinkedIn sont fabriqués avec des réseaux de connexion synthétiques. Le « candidat » a une empreinte numérique qui semble légitime lors d'une inspection occasionnelle.

Échange de visage en temps réel lors des appels vidéo

C'est là que la technologie devient dangereuse. Des outils comme DeepFaceLive, FaceFusion et des alternatives exclusives peuvent superposer un visage synthétique sur un flux vidéo en direct en temps réel. La latence est suffisamment faible pour que le résultat paraisse naturel sur des plateformes comme Zoom, Google Meet et Microsoft Teams.

En juin 2025, Pindrop a démontré à quel point c'est facile. Lors d'une démonstration en direct pour les journalistes, leur équipe a transformé le visage d'un journaliste en temps réel lors d'un appel Zoom – l'échange était suffisamment fluide pour passer inaperçu lors d'un entretien typique. Les expressions, les mouvements de la tête et la synchronisation labiale du journaliste ont tous été fidèlement transposés sur le visage synthétique.

La technique sous-jacente s'appuie sur la détection des points de repère faciaux, la déformation du maillage et le rendu neuronal. Un visage source est décomposé en un ensemble de points clés – yeux, nez, bouche, mâchoire – et une texture de visage cible est rendue sur ces points de repère image par image. Les implémentations modernes fonctionnent à 30+ images par seconde sur des GPU grand public.

Clonage vocal et synthèse vocale

Quelques secondes d'audio suffisent. Les modèles de clonage vocal, tels que ceux d'ElevenLabs, Resemble AI et des alternatives open source, peuvent produire une synthèse vocale qui correspond à la hauteur, au rythme et à l'accent d'une voix cible. Combiné à l'échange de visage en temps réel, cela permet un « entretien par procuration » où la personne qui répond aux questions n'est pas la personne qui a postulé pour le poste.

La voix n'a même pas besoin d'être clonée à partir du candidat réel. Les fraudeurs peuvent générer des voix entièrement synthétiques qui sonnent simplement de manière professionnelle et cohérente. L'objectif n'est pas une réplication parfaite – c'est un déni plausible.

Le problème des entretiens par procuration, amplifié

Les entretiens par procuration ne sont pas nouveaux. Les candidats paient d'autres personnes pour passer des entretiens à leur place depuis des années, en particulier pour les postes techniques où les tests de codage peuvent être effectués par un remplaçant plus qualifié. Ce que l'IA a changé, c'est la facilité d'accès et le niveau de sophistication de la tromperie.

Avant les deepfakes, les entretiens par procuration exigeaient que le remplaçant ressemble physiquement au candidat ou qu'il exploite des appels audio uniquement. Maintenant, le remplaçant peut ressembler et sonner comme n'importe qui. Un seul « coach d'entretien » peut servir des dizaines de faux candidats simultanément, échangeant des visages à la volée.

L'économie est simple. Un service par procuration facture quelques milliers de dollars. Si le faux candidat obtient un poste à distance à six chiffres et perçoit un salaire pendant quelques mois seulement avant d'être détecté, le retour sur investissement est énorme – pour le fraudeur.

L'affaire KnowBe4 : quand un État-nation entre en jeu

L'exemple le plus inquiétant à ce jour concerne KnowBe4, la société de formation à la sensibilisation à la cybersécurité. En 2024, KnowBe4 a embauché ce qu'elle pensait être un ingénieur logiciel légitime. Le candidat a réussi plusieurs entretiens vidéo, des vérifications des antécédents et des vérifications de références.

Le « candidat » était en réalité un agent nord-coréen. Il avait utilisé une photo de stock améliorée par l'IA superposée à de véritables traits du visage pour passer le contrôle vidéo. L'identité fabriquée comprenait des informations personnelles volées à un véritable citoyen américain, combinées à la couche visuelle synthétique.

KnowBe4 n'a découvert la fraude que lorsque le nouvel ordinateur portable de l'entreprise a tenté d'installer des logiciels malveillants sur le réseau d'entreprise. L'agent n'avait jamais eu l'intention de faire le travail – l'objectif était l'infiltration du réseau.

Ce qui rend cette affaire cruciale, c'est que KnowBe4 est une société de sécurité. Elle est spécialisée dans la détection de la manipulation sociale. Si son processus de recrutement a été dupé, chaque entreprise doit supposer que le sien est également vulnérable.

L'incident KnowBe4 n'a pas été une opération isolée d'un État-nation. Il représente un schéma qui est désormais accessible à tous ceux qui possèdent des connaissances techniques de base et les bons outils open source.

Pourquoi les méthodes de détection traditionnelles échouent

Les équipes de recrutement ont tenté plusieurs contre-mesures, et la plupart d'entre elles échouent.

L'œil humain ne suffit pas

51% des responsables du recrutement s'accordent à dire que l'IA a rendu plus difficile la confiance dans les entretiens virtuels. Les artefacts visuels qui rendaient les premiers deepfakes détectables – des textures de peau étranges, des scintillements autour des bords des cheveux, un éclairage mal aligné – ont largement disparu dans les outils de nouvelle génération. À la résolution et à la compression typiques des appels vidéo (720p, débit binaire variable), les artefacts deepfake sont souvent indiscernables du bruit de compression vidéo normal.

Les vérifications des antécédents passent à côté des identités synthétiques

Les vérifications des antécédents traditionnelles vérifient qu'une personne réelle existe avec le nom, l'adresse et les antécédents professionnels indiqués. Elles ne vérifient pas que la personne lors de l'appel vidéo est cette personne. Une identité synthétique construite sur des informations personnelles volées passera une vérification des antécédents sans problème – exactement comme dans le cas de KnowBe4.

Les vérifications de références sont facilement contournées

Les références peuvent être fabriquées, externalisées à des complices, voire générées par des agents vocaux IA qui répondent au téléphone et fournissent des témoignages écrits. L'ensemble du processus de vérification des références suppose une bonne foi qui est précisément exploitée par les opérations frauduleuses.

Les évaluations techniques ne vérifient pas l'identité

Les défis de codage, les devoirs à emporter et les évaluations techniques en direct vérifient que quelqu'un peut faire le travail. Elles ne vérifient pas que la personne qui effectue le travail est la personne qui se présentera le premier jour. Dans le modèle d'entretien par procuration, l'évaluation technique est réalisée par le remplaçant qualifié, et l'« employé » réel se contente de scripts préétablis et d'assistants IA.

Le retour aux entretiens en personne

Face au problème des deepfakes, certaines des plus grandes entreprises au monde ont adopté l'approche la plus directe possible : exiger que les candidats se présentent en personne.

En mi-2025, Google et McKinsey ont réintroduit des entretiens en personne obligatoires pour les postes clés, selon le Wall Street Journal. Ils ne sont pas seuls – 72% des entreprises déclarent lutter contre la fraude aux candidatures alimentée par l'IA en exigeant des entretiens en personne à un moment donné du processus de recrutement.

La logique est simple. Il est très difficile de deepfaker quelqu'un lorsqu'il est assis en face de vous. La présence physique est la vérification ultime de la vivacité.

Pourquoi le présentiel n'est pas une solution évolutive

Mais cette approche présente des limites importantes.

Exclusion géographique. Exiger que les candidats s'envolent vers un bureau pour un entretien restreint immédiatement le bassin de talents. Les entreprises qui ont bâti leur marque employeur sur le recrutement en priorité à distance demandent désormais aux candidats de se présenter en personne – parfois à travers des fuseaux horaires ou des frontières internationales. Cela exclut de manière disproportionnée les candidats des marchés émergents, les candidats handicapés et ceux qui ne peuvent pas se permettre de voyager sur spéculation.

Coût et rapidité. Les entretiens en personne ajoutent des jours voire des semaines au délai de recrutement et des milliers de dollars de remboursement des frais de déplacement par candidat. Pour les postes à volume élevé, les chiffres ne correspondent pas.

Cela ne résout qu'une seule étape. Même si l'entretien est en personne, l'intégration, l'authentification continue et la vérification du travail quotidien restent à distance. Un fraudeur déterminé pourrait envoyer une personne réelle à l'entretien en personne, puis substituer un remplaçant pour le travail à distance réel.

Le mandat de présence en personne est un instrument contondant. Il s'attaque au symptôme – les appels vidéo deepfakés – sans résoudre le problème sous-jacent : il n'existe pas de lien cryptographique entre la personne qui passe l'entretien et la personne qui travaille.

Comment la détection de la vivacité biométrique déjoue les deepfakes

La contre-mesure technologique aux candidats deepfake n'est pas de forcer tout le monde à se rendre dans une salle de conférence. Il s'agit de la détection de la vivacité biométrique – la même technologie utilisée dans les services financiers pour prévenir la fraude à l'identité à grande échelle.

Analyse passive de la vivacité

La détection moderne de la vivacité ne nécessite pas que l'utilisateur effectue une action spécifique. Les systèmes de vivacité passive analysent les signaux biologiques involontaires que les deepfakes ne peuvent pas reproduire : les schémas de clignement des yeux naturels, les micro-expressions, la texture de la peau au niveau subpixel, les schémas de flux sanguin visibles par les changements de couleur de la peau (photopléthysmographie à distance) et le profil de profondeur 3D d'un vrai visage par rapport à un rendu plat.

Ces signaux sont analysés par des réseaux neuronaux formés sur des millions d'échantillons de visages réels et synthétiques. Les systèmes actuels, tels que ceux certifiés selon les normes iBeta Level 1, atteignent une précision de 99,9% pour distinguer les vrais visages des deepfakes, des photos imprimées, des relectures d'écran et des masques 3D.

L'avantage essentiel est que la vivacité passive est invisible pour l'utilisateur. Il n'y a rien à contourner car le candidat ne sait pas exactement ce qui est mesuré.

Vivacité active avec des défis aléatoires

Pour les scénarios de haute assurance, la vivacité active ajoute des actions aléatoires de l'utilisateur – tournez la tête vers la gauche, clignez des yeux deux fois, souriez. Comme les défis sont générés aléatoirement au moment de la vérification, les attaques préenregistrées échouent. Un deepfake en cours d'exécution en temps réel devrait traduire l'instruction aléatoire en le mouvement facial correct avec une latence nulle et une fidélité parfaite – un défi que les modèles actuels d'échange de visage ne peuvent pas relever de manière fiable.

Correspondance faciale 1:1 avec une pièce d'identité gouvernementale

L'application la plus puissante pour le recrutement est la correspondance faciale : comparer les données biométriques de la personne lors de l'appel vidéo avec un document d'identité gouvernemental vérifié. Le système extrait un embedding facial – une représentation mathématique de 512 dimensions** de la géométrie du visage – à la fois de la capture en direct et de la photo d'identité, puis calcule un score de similarité.

Cela crée le lien cryptographique qui manque au recrutement traditionnel. La personne qui vérifie son identité est prouvablement la même personne qui se présente à l'entretien et, surtout, la même personne qui se connecte le premier jour.

Pourquoi les deepfakes ne peuvent pas vaincre la vivacité biométrique

Les échanges de visage deepfake fonctionnent au niveau du pixel – ils manipulent l'apparence visuelle d'un visage. La vivacité biométrique fonctionne au niveau du signal – en analysant la profondeur, la texture, le mouvement et les réponses biologiques involontaires qui existent en dessous de la surface des pixels.

Un deepfake peut ressembler à un vrai visage. Il ne peut pas reproduire le schéma de flux sanguin sous-cutané d'un vrai visage. Il ne peut pas produire le profil de réflectance infrarouge correct. Il ne peut pas générer les schémas de tremblements micro des muscles faciaux réels. Ce sont les signaux que la détection de la vivacité capture, et ils représentent une couche de réalité fondamentalement différente de celle que les modèles deepfake sont formés pour reproduire.

Construire un processus de recrutement à l'épreuve des deepfakes

La solution n'est pas un seul outil – c'est une architecture de vérification en couches qui rend la fraude deepfake économiquement non viable.

Étape 1 : Vérification de l'identité lors de la candidature

Avant qu'un candidat n'entre dans le pipeline d'entretien, vérifiez son identité par rapport à un document d'identité gouvernemental avec une vivacité biométrique. Cela établit un point d'ancrage d'identité vérifié. Des plateformes comme Didit offrent ce service à 0,20 $ par vérification de la vivacité avec correspondance faciale – une fraction des 30 à 100 $ facturés par les fournisseurs de vérification des antécédents traditionnels pour une vérification beaucoup moins concluante.

Étape 2 : Re-vérification biométrique à l'entretien

Au début de chaque entretien vidéo, le candidat effectue une brève vérification de la vivacité qui est comparée à son identité vérifiée de l'étape 1. Cela confirme que la personne à l'appel est bien la personne qui a été vérifiée. Si quelqu'un a remplacé un remplaçant avec une superposition deepfake, la non-correspondance biométrique sera immédiatement signalée.

Étape 3 : Authentification continue pendant l'intégration

Le premier jour, le nouvel embauché effectue une autre vérification biométrique. Son embedding facial est mis en correspondance avec le même point d'ancrage d'identité vérifié. Cela ferme la boucle que les entretiens en personne ne peuvent pas : garantir la continuité de l'identité de la candidature à l'emploi.

Étape 4 : Escalade basée sur les risques

Tous les postes ne nécessitent pas le même niveau d'assurance. Un représentant du service clientèle dans un environnement surveillé comporte un risque différent d'un ingénieur logiciel à distance ayant accès aux systèmes de production. L'intensité de la vérification doit être adaptée au profil de risque – vivacité passive pour les rôles standard, vivacité active avec vérification des documents pour les postes de confiance.

L'économie de la prévention

Le calcul des coûts est frappant. Une embauche frauduleuse dans un poste technique peut causer des centaines de milliers de dollars de dommages – par le biais de la perte directe de salaire, de l'exposition de la propriété intellectuelle, de la compromission du réseau (comme dans le cas de KnowBe4) ou simplement du coût du recrutement après la découverte de la fraude.

La vérification biométrique de l'identité au moment de l'embauche coûte une fraction de dollar par candidat. Le retour sur investissement ne se mesure pas en gains d'efficacité – il se mesure en pertes catastrophiques évitées.

Les entreprises qui reviennent aux entretiens en personne obligatoires dépensent des milliers de dollars par candidat pour résoudre un problème que la technologie biométrique peut résoudre pour moins d'un dollar. L'écart entre ces deux approches ne fera que s'élargir à mesure que les outils deepfake s'améliorent et que le volume des candidatures frauduleuses augmente.

Ce qui va suivre

Le problème des candidats deepfake va empirer avant de s'améliorer. Les outils deviennent plus accessibles, la qualité de la sortie s'améliore à chaque génération de modèle et les incitations financières à la fraude augmentent avec l'augmentation de la rémunération du travail à distance.

L'industrie du recrutement dispose d'une fenêtre étroite pour adopter la vérification biométrique avant que la fraude activée par les deepfakes ne devienne la norme plutôt que l'exception. La technologie pour vaincre les candidats synthétiques existe aujourd'hui – vivacité passive, défis actifs, correspondance faciale avec des documents vérifiés, des embeddings faciaux de 512 dimensions que les deepfakes ne peuvent pas reproduire.

La question n'est pas de savoir si les entreprises adopteront la vérification biométrique de l'identité dans leur processus de recrutement. Il s'agit de savoir si elles le feront avant ou après leur propre moment KnowBe4.