Photographie illustrant le clonage vocal par IA, une technique utilisée dans les arnaques aux rançons
Tech & Gaming

L'application Savi protège des arnaques à l'IA comme les faux ravisseurs

Après que leur mère a failli être victime d’une arnaque au faux ravisseur par IA, les frères Coughlin lancent Savi, une application qui analyse vos appels en temps réel pour détecter les deepfakes vocaux.

As-tu aimé cet article ?

Le téléphone sonne. Le numéro affiché est celui de votre fille. Une voix paniquée hurle « Maman, ils m'ont kidnappée », puis un homme exige une rançon de 1 200 dollars en mentionnant le supermarché où elle fait ses courses. Ce cauchemar, la mère des frères Coughlin l’a vécu en 2025. L’appel était un deepfake généré par intelligence artificielle. Cette expérience a donné naissance à Savi, une application qui écoute vos appels en temps réel pour détecter les arnaques vocales pilotées par l’IA.

Photographie illustrant le clonage vocal par IA, une technique utilisée dans les arnaques aux rançons
Photographie illustrant le clonage vocal par IA, une technique utilisée dans les arnaques aux rançons — (source)

Lancée le 7 juillet 2026 par Patrick et Ryan Coughlin, Savi Security se positionne comme un rempart contre une menace qui explose : les escroqueries par clonage vocal. Avec 7 millions de dollars levés en seed auprès d’Acrew Capital, l’application promet de protéger les consommateurs là où les solutions des géants de la tech et des opérateurs téléphoniques montrent encore leurs limites. Mais à quel prix, et avec quelles garanties pour la vie privée ?

Quand l’IA vous vole la voix de vos proches

Le point de départ de Savi n’est pas un rapport d’expert ni une étude de marché. C’est un appel téléphonique ordinaire, un après-midi comme les autres, qui a basculé dans l’horreur. La mère des frères Coughlin reçoit un appel. L’écran affiche le numéro de sa fille. Elle décroche. Ce qu’elle entend la glace : une voix suppliante, des hurlements, puis un homme qui exige une rançon. Le scammer connaît même le Walmart que sa fille fréquente habituellement.

« Maman, ils m’ont kidnappée » : le cauchemar vécu par la mère des fondateurs

L’appel était d’un réalisme terrifiant. La voix clonée de la jeune femme disait « Mom, they’ve got me » dans un sanglot parfaitement imité. Les arnaqueurs avaient utilisé des extraits audio récupérés sur les réseaux sociaux pour entraîner un modèle de clonage vocal. En quelques secondes, ils avaient reconstitué une voix crédible, capable de tromper une mère.

Image stylisée d'une note de rançon, illustrant le type d'arnaque que combat l'application Savi
Image stylisée d'une note de rançon, illustrant le type d'arnaque que combat l'application Savi — (source)

La rançon demandée — 1 200 dollars — n’était pas astronomique. C’est justement ce qui rend l’escroquerie si efficace : un montant suffisamment bas pour que la victime paie sans réfléchir, assez élevé pour que l’arnaqueur en tire un profit net. Le fait que les malfaiteurs connaissaient le lieu de courses habituel de la fille ajoutait une couche de crédibilité qui a failli faire céder la mère.

Patrick Coughlin, ancien SVP de la sécurité produits chez Cisco et fondateur de TruSTAR (racheté par Splunk pour 82 millions de dollars), raconte : « Ce à quoi j’ai pensé, après avoir calmé ma mère, c’est : qu’est-ce qui a fondamentalement changé dans l’économie criminelle souterraine pour qu’on puisse désormais utiliser le même genre de sophistication que je voyais dirigée contre les agences gouvernementales, puis contre les entreprises du Fortune 500, et maintenant contre des particuliers ? »

40 milliards de dollars de pertes en 2027 : l’explosion silencieuse du « vishing IA »

Cette anecdote personnelle s’inscrit dans un phénomène macroéconomique vertigineux. Selon les données de la Federal Trade Commission (FTC), les pertes liées aux escroqueries par usurpation d’identité ont atteint 3,5 milliards de dollars en 2025 aux États-Unis seulement, soit un triplement par rapport à 2020. Le cabinet Group-IB estime que les pertes financières mondiales liées à la fraude alimentée par l’IA passeront de 12 milliards de dollars en 2023 à 40 milliards en 2027.

En Asie-Pacifique, les tentatives de fraude liées à l’IA ont bondi de 194 % en 2024 par rapport à 2023. Les secteurs les plus touchés sont la finance, les services aux cadres dirigeants et les help desks en télétravail. Plusieurs facteurs expliquent cette explosion : la démocratisation des outils de clonage vocal comme ElevenLabs, Google Tacotron 2 ou Microsoft Vall-E, qui permettent de créer un clone convaincant avec seulement quelques secondes d’audio ; la baisse du coût de calcul nécessaire pour faire tourner ces modèles ; et la disponibilité massive de données vocales sur les réseaux sociaux.

Gérôme Billois, expert en cybersécurité chez Wavestone, confirme dans Le Figaro que cloner une voix avec l’IA est « effectivement possible, même avec quelques dizaines de secondes là où il fallait auparavant de longues minutes d’enregistrement ». La sophistication des cybercriminels atteint désormais le particulier, comme le souligne Coughlin. Et les victimes ne sont plus seulement des entreprises.

Savi à la loupe : comment l’appli écoute vos appels

Face à cette menace, Savi propose une approche radicale : analyser vos appels en temps réel, silencieusement, pour détecter les artefacts des deepfakes avant que vous ne tombiez dans le piège. L’application, disponible sur iOS et Android, fonctionne comme un filtre anti-arnaque qui s’intercale entre l’appelant et vous.

Un algorithme formé sur des milliers d’arnaques

Les créateurs de l'application Savi, photographiés dans leur laboratoire
Les créateurs de l'application Savi, photographiés dans leur laboratoire — (source)

Le cœur technique de Savi repose sur une passerelle IA utilisant Google Gemini. Quand vous recevez un appel, l’application écoute la conversation en direct sans que l’interlocuteur en soit informé — du moins dans la version actuelle. L’algorithme, entraîné sur des milliers d’exemples d’arnaques vocales, analyse en temps réel plusieurs indicateurs de fraude : micro-coupures caractéristiques des voix synthétiques, absence de « respiration » humaine, tons artificiels, variations de fréquence anormales.

Si le système détecte une anomalie, il envoie une alerte à l’utilisateur. L’idée est d’interrompre le processus émotionnel qui pousse la victime à payer : l’urgence simulée par l’arnaqueur. En recevant une notification « Attention, cette voix pourrait être générée par IA », l’utilisateur a une chance de reprendre ses esprits et de vérifier l’information.

Les fondateurs viennent de la cybersécurité et de la tech grand public : Patrick Coughlin a fondé TruSTAR, racheté par Splunk, et a dirigé la sécurité produits chez Cisco ; Ryan Coughlin a travaillé chez Apple et Spotify sur des produits destinés au grand public. Cette double compétence — sécurité d’entreprise et expérience utilisateur — se retrouve dans la conception de l’application, qui se veut simple d’utilisation sans sacrifier la puissance de détection.

Abonnement familial à 8 €/mois : le prix de la tranquillité

Savi coûte 8 dollars par mois ou 63 dollars par an pour toute la famille, sans limite de membres. Ce modèle d’abonnement pose une question centrale pour le public visé — les 16-25 ans, génération ultra-connectée mais souvent précaire : ce prix est-il justifié ?

Pour un étudiant, 8 dollars par mois représente l’équivalent d’un abonnement Spotify ou d’un repas au restaurant. Face à une perte moyenne qui peut atteindre plusieurs milliers d’euros — certaines victimes françaises ont perdu jusqu’à 10 000 euros dans des arnaques au vishing IA — l’investissement peut sembler raisonnable. Mais pour les budgets serrés, cette dépense supplémentaire n’est pas automatique.

Le modèle économique de Savi repose sur un pari : que la peur de l’arnaque soit suffisamment forte pour justifier un abonnement dédié, alors que des solutions gratuites commencent à émerger côté opérateurs et fabricants de smartphones. La question du retour sur investissement est centrale : combien d’appels frauduleux faut-il recevoir pour que l’abonnement devienne rentable ? Pour l’instant, Savi mise sur la généralisation de la menace plutôt que sur la fréquence individuelle des tentatives.

Pourquoi la Gen Z est devenue la cible numéro 1

On pourrait penser que les jeunes, nés avec le numérique, sont mieux armés face aux arnaques en ligne. La réalité est inverse. La génération Z est devenue la cible privilégiée des escrocs, et les chiffres sont alarmants.

25 % des jeunes tombent dans le piège

Une étude Malwarebytes publiée en 2025 révèle que la Gen Z est plus ciblée que les autres générations par les arnaques par SMS, et qu’elle tombe dans le piège dans environ 25 % des cas. En France, l’étude Crédoc 2025 indique que près de 4 Français sur 10 déclarent avoir été victimes d’une arnaque en ligne au cours de l’année.

Le paradoxe est frappant : cette génération est ultra-connectée, mais cette hyperconnexion la rend plus vulnérable. Les jeunes publient massivement du contenu audio sur TikTok, Instagram Stories, WhatsApp. Chaque story, chaque message vocal est une mine d’or pour les cloneurs. Quelques secondes de voix claire suffisent désormais pour créer un deepfake vocal crédible.

Les arnaqueurs exploitent aussi la culture de l’immédiateté propre à cette génération : réponse rapide aux messages, moindre réflexe de vérification, confiance dans les notifications et les appels entrants. Combiné à une pression temporelle habilement construite, ce terreau est idéal pour les escroqueries.

Du « faux banquier » au « faux ravisseur » : les nouveaux scripts

Les scénarios d’arnaque ont évolué. Au classique « faux conseiller bancaire » qui vous demande de transférer vos fonds sur un compte sécurisé s’ajoutent désormais des scripts bien plus sophistiqués. L’appel de détresse d’un proche est le plus percutant sur le plan émotionnel, mais d’autres variantes existent.

Le faux coursier qui demande un code à 6 chiffres pour « confirmer une livraison ». Le faux employé d’une plateforme de streaming qui vous prévient d’une « activité suspecte sur votre compte ». L’arnaque au faux ravisseur, comme celle vécue par la mère des Coughlin, reste la plus spectaculaire mais elle n’est pas la plus fréquente.

Ce qui rend ces nouvelles arnaques particulièrement redoutables, c’est la personnalisation. L’IA permet aux escrocs d’adapter leur script en temps réel en fonction des informations glanées sur les réseaux sociaux ou dans les fuites de données. Ils savent où vous habitez, où vous travaillez, quels sont vos centres d’intérêt. Cette connaissance transforme un appel générique en une menace crédible.

La contre-attaque des géants

Face à Savi, les acteurs établis ne restent pas les bras croisés. Google, les opérateurs français et les régulateurs déploient leurs propres solutions. Mais ces approches diffèrent radicalement dans leur philosophie et leur efficacité.

Google Fake Call Detection : la solution gratuite

En juin 2026, Google a lancé une fonctionnalité inédite sur Android : la « fake call detection ». Le principe est simple mais élégant : utiliser le protocole RCS (Rich Communication Services) chiffré de bout en bout pour établir une « poignée de main numérique » entre deux appareils. Si un escroc usurpe le numéro d’un de vos contacts, le système détecte l’absence de signature de confirmation et affiche un avertissement.

Cette solution est gratuite, intégrée au système d’exploitation, et déployée sur les appareils Android 12 et plus, en commençant par les Pixels. Son efficacité repose sur un prérequis : que les deux interlocuteurs aient le RCS activé. Or, en France, l’adoption du RCS reste partielle, et de nombreux utilisateurs d’iPhone n’y ont pas accès.

La différence fondamentale avec Savi est dans l’approche : Google agit en amont, au niveau du réseau, en vérifiant l’identité de l’appelant avant même que la conversation ne commence. Savi agit en aval, pendant l’appel, en analysant le contenu vocal. Les deux approches sont complémentaires plutôt que concurrentes.

Loi Naegelen et API GSMA : le forcing des opérateurs français

En France, les quatre opérateurs historiques — Orange, Free, SFR et Bouygues — ont décidé de faire cause commune via l'initiative GSMA Open Gateway. Deux API sont déployées : KYC Match, qui permet de vérifier les informations d'un client sans partager ses données personnelles, et SIM Swap, qui détecte les changements suspects de carte SIM.

La loi Naegelen, adoptée en 2024, impose aux opérateurs de mettre en œuvre le protocole STIR/SHAKEN, standard américain d’authentification des appels. Le déploiement est attendu pour l’automne 2026. Comme le reconnaît le directeur du FFT (Fédération Française des Télécoms), « ça ne stoppera pas la fraude mais la rendra plus difficile ».

L’approche française est réglementaire et collective : plutôt que de laisser chaque consommateur se protéger individuellement avec une application payante, l’État et les opérateurs tentent de verrouiller le réseau en amont. L'article de Clubic détaille cette collaboration inédite entre concurrents.

Abonnement payant vs solution intégrée : le match des modèles

La confrontation des modèles économiques est instructive. Savi fait payer le consommateur directement (8 $/mois). Google intègre la protection dans son OS, le coût étant supporté par la plateforme. Les opérateurs mutualisent le coût dans l’abonnement téléphonique de tous leurs clients.

Qui paie, in fine, la protection contre les arnaques vocales ? Avec Savi, ce sont ceux qui peuvent et veulent payer. Avec Google, ce sont les utilisateurs d’Android (via les services Google). Avec les opérateurs, ce sont tous les abonnés, qu’ils soient exposés ou non à la menace.

La question de l’équité se pose : 8 dollars par mois pour une protection anti-arnaque, est-ce un luxe ou un investissement rentable ? Pour une famille avec plusieurs enfants adolescents, le calcul est vite fait. Mais pour un étudiant qui peine à boucler ses fins de mois, cette barrière à l’entrée est réelle. Le vide réglementaire français — aucune obligation de proposer ce service — laisse le marché décider.

Vie privée et RGPD : peut-on faire confiance à Savi ?

La proposition de valeur de Savi repose sur une promesse intrusive : écouter vos appels en silence. Pour un public français particulièrement sensible aux questions de vie privée et de surveillance, cette promesse soulève des questions légitimes.

Surveillance ou protection ? Le casse-tête de l’analyse vocale

Savi utilise une passerelle AI Gateway qui s’appuie sur Google Gemini pour analyser les conversations. Le dilemme est immédiat : pour détecter un deepfake, l’application doit écouter ce qui se dit. Où vont ces données audio ? Sont-elles stockées sur les serveurs de Savi ou de Google ? Les fondateurs affirment que non, que l’analyse se fait en temps réel sans conservation de l’audio.

Illustration conceptuelle de la détection de deepfake par intelligence artificielle
Illustration conceptuelle de la détection de deepfake par intelligence artificielle — (source)

Mais cette affirmation repose sur une seule source — l’article de TechCrunch — sans vérification indépendante. Aucun audit de sécurité tiers n’a été publié. Aucune politique de confidentialité détaillée n’est accessible. Pour une application qui écoute vos conversations les plus intimes, ce manque de transparence est un signal d’alarme.

Le recours à Google Gemini ajoute une couche de complexité : même si Savi ne stocke pas l’audio, Google pourrait le faire dans le cadre de l’utilisation de son IA. Les conditions d’utilisation de l’API Gemini sont floues sur ce point précis.

Ce que dit la loi française sur l’enregistrement et l’IA

Le cadre légal français est strict : enregistrer une conversation téléphonique sans le consentement des deux parties est interdit. Savi contourne-t-elle cette interdiction en affirmant qu’elle ne « stocke » pas mais « analyse en direct » ? La nuance juridique est fine.

Le droit à l’information des correspondants est un autre point sensible. Si vous utilisez Savi, votre interlocuteur doit-il être informé que l’appel est analysé par une IA ? La réponse n’est pas claire. En l’état actuel, rien n’indique que Savi notifie les appelants de cette analyse.

Ce vide juridique est préoccupant. Une application qui promet de vous protéger des arnaques pourrait elle-même enfreindre la loi si elle n’est pas transparente sur son fonctionnement. Le RGPD impose des obligations claires en matière de traitement des données personnelles, et la voix en fait partie. Savi devra se conformer à ces règles si elle veut se déployer sérieusement en Europe.

Les 3 réflexes anti-arnaque IA à connaître

Savi n’est pas une baguette magique. En attendant que les solutions techniques maturent, des réflexes simples peuvent faire la différence. Les voici, basés sur les recommandations d’experts comme Gérôme Billois et les bonnes pratiques de Cybermalveillance.gouv.fr.

« Rappelez-moi sur le numéro officiel »

Le principal levier des arnaqueurs est la pression temporelle. « Votre fille est en danger, payez maintenant ». « Votre compte va être bloqué, transférez immédiatement ». Cette urgence est fabriquée pour vous empêcher de réfléchir.

La règle d’or est simple : raccrochez immédiatement. N’utilisez pas la fonction de rappel direct, qui vous reconnecterait aux arnaqueurs. Composez manuellement le numéro officiel de la personne ou de l’organisme concerné. Si c’est votre fille qui est censée être en danger, appelez-la sur son vrai numéro. Si c’est votre banque, appelez le numéro au dos de votre carte.

Ce réflexe de vérification est la meilleure défense. Il ne coûte rien, ne nécessite aucune application, et fonctionne contre toutes les variantes d’arnaque, même les plus sophistiquées.

Stories Instagram et messages vocaux : comment protéger vos données

Gérôme Billois le rappelle : quelques secondes d’audio suffisent désormais pour cloner une voix. Là où il fallait « de longues minutes » de captation, les modèles actuels peuvent reproduire un timbre, une intonation, une émotion à partir d’un extrait de 10 à 15 secondes.

Chaque story Instagram où vous parlez, chaque message vocal WhatsApp, chaque TikTok où vous chantez ou racontez une anecdote est une matière première potentielle pour les cloneurs. Sans tomber dans la paranoïa, quelques précautions s’imposent : limitez la publication de contenus audio très clairs (voix seule, sans bruit de fond), activez les paramètres de confidentialité sur vos réseaux sociaux pour restreindre l’accès à vos contenus, et soyez vigilant sur ce que vous partagez publiquement.

L’article du Figaro précise que les appels silencieux — où personne ne parle — ne servent pas à cloner votre voix, mais à vérifier que votre numéro est actif pour le revendre. La menace principale vient de ce que vous publiez volontairement.

Conclusion : quelle stratégie collective contre l’arnaque du siècle ?

La course entre l’IA malveillante et l’IA protectrice ne fait que commencer. Les outils de clonage vocal s’améliorent chaque mois, les modèles deviennent plus rapides, plus précis, moins coûteux. Les arnaqueurs innovent en permanence, adaptant leurs scripts aux actualités et aux failles comportementales.

Aucune solution seule ne suffira. Savi détecte les deepfakes en temps réel, mais ne peut rien contre un appel parfaitement imité. Google vérifie l’identité des appelants, mais ne couvre pas tous les scénarios. Les opérateurs français verrouillent le réseau, mais les escrocs trouveront d’autres canaux. La régulation, comme la loi Naegelen, est nécessaire mais toujours en retard sur l’innovation criminelle.

La seule défense robuste est multicouche : vigilance humaine + outils technologiques + régulation. Le « réflexe Savi » — se fier à une application pour détecter les arnaques — ne doit pas remplacer le réflexe critique. Raccrocher, vérifier, rappeler sur un numéro officiel : ces gestes simples restent la colonne vertébrale de toute protection.

Pour les 16-25 ans, particulièrement exposés, l’enjeu est aussi culturel. Il ne s’agit pas de renoncer à partager sa vie en ligne, mais de comprendre que chaque story, chaque vocal est une donnée qui peut être détournée. La génération qui a grandi avec les réseaux sociaux doit apprendre à en maîtriser les risques, sans en perdre les bénéfices.

Savi, Google, les opérateurs, les régulateurs : tous jouent leur rôle dans cette bataille. Mais le premier rempart, c’est vous, au bout du fil, quand une voix suppliante vous demande de l’argent. Le réflexe de vérification reste, pour l’instant, la seule protection qui ne tombe jamais en panne.

As-tu aimé cet article ?

Questions fréquentes

Comment fonctionne l'application Savi ?

Savi écoute vos appels en temps réel via une IA basée sur Google Gemini. L'algorithme analyse la voix pour détecter des artefacts de deepfake, comme des micro-coupures ou l'absence de respiration. En cas d'anomalie, l'application envoie une alerte à l'utilisateur.

Quel est le prix de l'abonnement Savi ?

L'abonnement à Savi coûte 8 dollars par mois ou 63 dollars par an pour toute la famille, sans limite de membres. Ce modèle payant vise à protéger les utilisateurs contre les arnaques vocales par IA.

Pourquoi la génération Z est-elle ciblée par les arnaques ?

La génération Z est ultra-connectée et publie massivement du contenu audio sur les réseaux sociaux, ce qui fournit aux escrocs des échantillons vocaux pour cloner leur voix. De plus, 25 % des jeunes tombent dans le piège des arnaques par SMS ou appels.

Qu'est-ce que la détection de faux appels de Google ?

Lancée en juin 2026 sur Android, la "fake call detection" utilise le protocole RCS pour vérifier l'identité de l'appelant via une poignée de main numérique. Elle est gratuite et intégrée au système d'exploitation, mais nécessite que les deux interlocuteurs aient le RCS activé.

Savi respecte-t-elle la vie privée des utilisateurs ?

Savi analyse les conversations en temps réel sans stocker l'audio, selon ses fondateurs. Cependant, aucun audit de sécurité indépendant n'a été publié, et l'utilisation de Google Gemini soulève des questions sur le respect du RGPD.

Sources

  1. Savi's app aims to protect consumers from realistic AI scams like ... · news.backbox.org
  2. blog.google · blog.google
  3. clubic.com · clubic.com
  4. group-ib.com · group-ib.com
  5. lefigaro.fr · lefigaro.fr
future-tech
Elise Foubot @future-tech

Je suis fascinée par tout ce qui n'existe pas encore. Ingénieure IA dans une startup parisienne, je passe mes journées à entraîner des modèles et mes soirées à lire des papers sur arXiv. Je suis l'intelligence artificielle depuis GPT-2, bien avant que ce soit mainstream. Optimiste technophile mais pas naïve : je sais que la tech peut tout améliorer comme tout casser. Mon job, c'est de faire pencher la balance du bon côté.

10 articles 0 abonnés

Commentaires (2)

Connexion pour laisser un commentaire.

Chargement des commentaires...

Articles similaires