Trusted Codes
RessourcesJuillet 20267 min de lectureENDEESFRITNL

Apple vient de confirmer ce que les experts de la fraude savent depuis des années : le maillon faible, c’est l’humain

L’annonce d’iOS 27 cette semaine est importante — à condition de bien comprendre ce qu’elle apporte, et ce qu’elle laisse volontairement de côté.

À la WWDC26, Apple a dévoilé Trust Insights, un nouveau framework d’iOS 27. Il permet à une app de poser au système, au moment critique, une question inédite : « Cette personne est-elle en train de se faire guider par quelqu’un ? »

Mesurons ce que cela signifie. Une grand-mère au téléphone avec un prétendu petit-fils qui lui dicte, étape par étape, un virement bancaire. Un retraité à qui un faux « technicien Microsoft » fait activer la prise en main à distance. La transaction, elle, ne présente rien d’anormal : bons identifiants, bon appareil, bonne empreinte. La fraude n’est pas dans les données — elle se joue dans la conversation, juste à côté du téléphone.

La réponse d’Apple : l’appareil repère des signaux comportementaux et permet à l’app d’ajouter un contrôle supplémentaire avant que l’argent ne parte. Les banques, les apps de paiement et les portefeuilles crypto devraient l’adopter au plus vite — et j’espère sincèrement qu’ils le feront.

Ce que Trust Insights fait — et ce qu’il ne fait pas

C’est une dernière ligne de défense. Le plus souvent, elle se déclenche au tout dernier moment, dans une seule app, quand la victime est déjà au cœur de l’arnaque : convaincue, sous pression, le doigt sur le bouton du virement. Avec des limites structurelles :

  • La protection s’arrête là où s’arrête l’adoption — et l’adoption restera partielle. Chaque app doit intégrer le framework de son côté. Votre banque principale le fera peut-être ; la seconde, l’app de paiement ou le portefeuille crypto, peut-être pas. Or il suffit à l’escroc d’orienter sa victime vers la seule porte restée ouverte. Impossible, côté utilisateur, de savoir quelles apps sont couvertes : la protection est réelle, mais jamais garantie.
  • Il faut les plateformes Apple en version 27 — pour l’instant en bêta. Android, iPhone plus anciens, le web, les ordinateurs non Apple : hors périmètre.
  • Ce n’est ni totalement hors ligne, ni invisible. Le framework s’appuie à la fois sur l’appareil et sur le cloud, et Apple impose aux apps de rendre compte de l’usage de chaque signal. Surtout, l’utilisateur doit consentir explicitement, app par app, à ce que son comportement soit évalué. C’est la bonne architecture pour ce type de signal — mais cela reste une forme de surveillance comportementale à laquelle on souscrit.
  • Il ne voit que l’appareil sur lequel il tourne, à l’instant de la transaction. Déplacez la conversation ailleurs — le faux e-mail du PDG aujourd’hui, le virement depuis un ordinateur demain — et il n’y a plus rien à observer. La fraude au président par e-mail et les visioconférences deepfake vivent précisément dans cette faille : la manipulation est différée, la personne qui exécute le paiement se comporte tout à fait normalement, et la transaction passe par une machine qu’iOS ne verra jamais.
  • Il signale un risque, pas une vérité. Il sait dire « quelque chose cloche ». Il ne saura jamais si c’est bien votre petit-fils au bout du fil.

Et l’adversaire apprend vite

S’ajoute un problème plus discret, bien connu de ceux qui travaillent avec l’IA : Trust Insights est un classifieur comportemental — or ce comportement, c’est précisément l’escroc qui le met en scène. La fraude est une industrie ; chaque virement bloqué est une leçon. Les scripts s’adapteront : « Raccrochez d’abord, je vous rappelle. » « Rien ne presse, faites-le demain, tranquillement. » C’est la même faiblesse structurelle que l’injection de prompt : quand l’attaquant écrit une partie de l’entrée d’une décision de sécurité, il finit par apprendre à l’écrire sans déclencher l’alarme.

Les systèmes de détection ne s’effondrent pas d’un coup : ils s’usent, script après script, à mesure que l’adversaire s’ajuste. Un secret partagé, lui, ne s’use pas. Il n’y a pas de seuil sous lequel se glisser à force d’entraînement. L’escroc peut avoir la voix la plus posée du monde — il ne connaîtra toujours pas le code.

Et c’est là le cœur du sujet. Arnaque aux grands-parents, faux conseiller bancaire, fraude au président, visioconférence deepfake : tout repose sur une seule chose — une identité affirmée mais jamais vérifiée. « C’est moi. » « Je vous appelle de votre banque. » « C’est ton directeur financier. » Tout ce qui suit n’est plus que de la limitation des dégâts.

C’est exactement là que se place Trusted Codes

Trusted Codes vérifie la personne, pas la transaction — grâce à des codes courts et simples, partagés entre des gens qui se font confiance. La grand-mère et son petit-fils. La cliente et sa banque. Le dirigeant et son équipe finance. Quand quelqu’un appelle en se disant de la famille, une seule question suffit : « C’est quoi, notre code ? »

Et parce qu’on vérifie des personnes et non des transactions, les règles du jeu changent du tout au tout :

  • L’arnaque s’arrête au début, pas à la fin. Avant la pression, avant que l’histoire ne prenne, avant même d’ouvrir une app bancaire. La prémisse tombe — et rien de ce qui devait suivre n’arrive.
  • Pas de surveillance, pas de comptes rendus. Rien à accepter, car rien ne vous observe. La vérification se fait sur votre appareil : les secrets sous-jacents n’en sortent jamais, et tout ce qui se synchronise est chiffré de bout en bout. La confidentialité n’est pas une case à cocher — c’est l’architecture même.
  • Aucun seuil à déjouer. Un classifieur se sonde et se répète ; un secret partagé, il faut l’obtenir. Et les codes tournent : un code surpris hier n’ouvre plus rien aujourd’hui.
  • Tous les canaux. Téléphone, visio, messagerie, e-mail, face à face. Fixe ou smartphone, iPhone ou Android, ordinateur ou mobile. Une seule habitude couvre tous les vecteurs à la fois : la voix deepfake échoue au même contrôle que l’escroc au téléphone. Sans attendre qu’un éditeur d’app veuille bien publier une mise à jour. Et quand la tromperie se cache dans un message plutôt que dans une voix — l’e-mail du faux PDG, la facture falsifiée — le même principe s’étend de la vérification des personnes à celle des documents.
  • Et sans attendre personne. Ni feuille de route bancaire, ni version minimale du système, ni déploiement. Ça marche aujourd’hui.

Complémentaires, pas concurrents

Trust Insights rattrape la victime au dernier moment, dans les apps qui l’auront adopté. La vérification humaine, elle, empêche la situation de naître — partout ailleurs. Les banques qui adopteront Trust Insights se poseront d’ailleurs vite une nouvelle question : le système dit que le client est guidé — et ensuite ? Bloquer le virement pénalise les nombreux cas légitimes (une fille qui aide sa mère avec sa banque en ligne, par exemple — Apple précise justement qu’être guidé n’a rien de forcément malveillant). La réponse élégante, c’est un contrôle qui lève le doute au lieu d’ajouter de la friction : vérifier la personne. Et par honnêteté : Trusted Codes a ses limites aussi — il faut l’app des deux côtés et une relation établie au préalable, et aucun outil ne peut juger des intentions d’un inconnu. C’est précisément pour cela qu’un signal au niveau du système est bienvenu : il atteint des situations que la vérification seule ne couvre pas.

Qu’Apple intègre une protection anti-manipulation au cœur du système d’exploitation, c’est un jalon. Le message, au plus haut niveau du secteur : le problème de fraude de la décennie, ce n’est pas le logiciel malveillant, c’est l’ingénierie sociale. Les machines sont de plus en plus sûres. Les conversations, elles, ne le sont pas.

Protégez la conversation, et vous protégez tout le reste.

La vérification, pour les relations humaines

Trusted Codes fonctionne sur tous les canaux, garde tout sur votre appareil — et c’est disponible dès aujourd’hui.