The Verge a rapporté le 29 avril que la compagnie d'authentification Copyleaks a documenté un pattern de pubs scam de célébrités deepfake générées par IA qui roulent sur TikTok. Cibles confirmées : Taylor Swift pis Rihanna. Le format : footage réel manipulé par IA placé dans des contextes d'entrevues (red carpets, podcasts, talk shows). Les fausses célébrités promeuvent des programmes de récompenses qui prétendent que les utilisateurs peuvent gagner de l'argent en regardant du contenu TikTok pis en donnant du feedback. Le branding officiel de TikTok apparaît dans certaines pubs, mais la redirection s'en va vers des services tiers qui récoltent des données personnelles. Exemples cités : un avatar IA de Swift qui pousse les inscriptions à une feature appelée « TikTok Pay »; une fausse Rihanna qui dit « tu regardes littéralement du contenu pis tu donnes ton opinion ». L'article du Verge connecte explicitement ça aux dépôts de marque de Swift du 22 avril sur ses phrases vocales — exactement la surface de menace que ces marques étaient conçues pour combattre.
Deux signaux techniques comptent. Premièrement, le format c'est « manipuler du footage réel avec de l'IA » — pas « synthétiser de zéro ». C'est délibéré : du footage réel édité par IA garde les indices visuels (éclairage, mouvement, cadrage) qui rendent la détection plus dure qu'avec de la vidéo entièrement synthétique. La plupart des systèmes actuels de détection deepfake flagent le contenu entièrement synthétique beaucoup mieux que le footage réel avec identité swappée. Deuxièmement, la structure de l'arnaque, c'est la partie qui intéresse les équipes de sécurité de plateforme. La vidéo deepfake, c'est l'appât; le vecteur de dommage, c'est la redirection vers un tiers. Bannir les deepfakes en gros, c'est dur. Bannir les « deepfakes-qui-redirigent-vers-de-la-collecte-de-données », c'est beaucoup plus facile — pis c'est le set de règles vers lequel les plateformes vont probablement converger, parce que ça leur permet de garder les usages créatifs des deepfakes (parodie, contenu de fans) pis de bannir le pipeline d'arnaque monétisée. Surveille quelle plateforme écrit cette règle en premier.
Trois patterns se connectent. Premièrement, l'échelle. Le propre comité de surveillance de Meta a reconnu que les utilisateurs d'Instagram pis Facebook voient des milliards de pubs scam par jour, avec les deepfakes comme composante grandissante. YouTube dit qu'il « investit lourdement » pour combattre les pubs scam de célébrités. Le volume seul rend la revue manuelle impossible; détection automatisée plus gating côté annonceur, c'est la seule réponse faisable. Deuxièmement, le contournement par le détenteur de IP. Les dépôts de marque de Swift du 22 avril sur « Hey, it's Taylor Swift » existent pour cette raison-là — quand un deepfake d'elle pousse une arnaque, la marque lui donne un standing légal direct pour le faire retirer même quand le droit d'auteur le fait pas. Les deepfakes TikTok que Copyleaks a documentés, c'est la vraie surface de menace que ces dépôts visent. Troisièmement, Copyleaks elle-même est un signal. Les vendors d'authentification-as-a-service commencent à publier des rapports de menaces — le rôle de Copyleaks ici, c'est autant du marketing produit que de la recherche, mais la télémétrie est réelle. Attends-toi à plus de vendors d'authentification qui publient des rapports similaires; les données qu'ils relâchent vont de plus en plus piloter les débats de politique de plateforme.
Pour les builders, trois choses concrètes. Premièrement, si tu shippes des plateformes de pub ou de contenu, le pattern « pub deepfake de célébrité qui redirige vers de la collecte de données », c'est la priorité la plus facile à trier — signal clair (visage de célébrité + redirection hors-plateforme + nouvel annonceur) pis dommage clair. Bâtis de la détection pour la chaîne de redirection, pas juste pour la vidéo; le signal vidéo tout seul est trop bruité pour agir dessus à l'échelle de milliards de pubs par jour. Deuxièmement, si tu shippes des outils de synthèse vocale ou de génération vidéo, ton histoire trust-and-safety doit asteure adresser le cas d'usage de l'arnaque de célébrité spécifiquement. « On génère pas de voix célèbres », c'est pas assez — les utilisateurs adversariaux éditent du footage réel que t'as pas généré. Du provenance signing pour le contenu que tu génères, plus du scanning actif des uploads publics contre des registres de célébrités connues, c'est la barre. Troisièmement, le triangle plateforme-vs-détenteur-IP-vs-victime va définir le prochain round de politique de sécurité IA. Les victimes (célébrités personnifiées) déposent des marques. Les plateformes (TikTok) hébergent le dommage. Les vendors d'authentification (Copyleaks) écrivent les rapports de menaces. Celui qui finit par payer — par amendes, takedowns ou mandats d'authentification de contenu au niveau plateforme — fixe les règles. Surveille l'UE pis la Californie en premier.