1,59 million de faux sites en 5 mois, Google attaque le réseau qui a armé Gemini
L’IA promet de gagner du temps ; entre de mauvaises mains, elle sert surtout à produire plus d’arnaques, plus vite, et à plus grande échelle. C’est précisément ce que Google veut faire reconnaître devant la justice : un réseau criminel aurait utilisé Gemini pour industrialiser des campagnes de phishing par SMS et par faux sites.
Google porte l’affaire devant les tribunaux pour frapper au portefeuille
Le 12 juin 2026, Google a déposé une plainte contre un réseau baptisé Outsider Enterprise, présenté comme une organisation de cybercriminalité ayant exploité Gemini et d’autres outils d’IA pour alimenter une vaste mécanique de fraude. L’affaire, révélée notamment par TechCrunch et Ars Technica, dépasse la simple communication sécuritaire : elle documente l’usage concret de l’IA générative comme outil de production de masse pour des escroqueries grand public.
Selon les éléments cités dans la presse, l’opération aurait généré plus de 1,59 million d’URL frauduleuses en seulement cinq mois, entre le 14 novembre 2025 et le 14 avril 2026. L’échelle est le cœur du dossier. Une arnaque n’a rien de nouveau sur Internet ; ce qui change ici, c’est la capacité à créer, décliner et relancer des milliers de variations de faux sites et de messages avec un coût marginal très faible.
Google affirme avoir travaillé avec le FBI, ainsi qu’avec AT&T, Verizon et T-Mobile, pour perturber la campagne. Le fait que des opérateurs télécoms américains soient cités aux côtés des forces de l’ordre indique que le vecteur principal ne se limitait pas au Web : le SMS, toujours redoutablement efficace, reste au centre de nombreuses attaques de smishing.
L’arnaque industrielle, version IA générative
Des faux sites par centaines de milliers
Le chiffre de 1,59 million d’URL sur cinq mois donne une idée très concrète de ce que l’IA change pour les fraudeurs. Générer un faux site crédible demandait autrefois un minimum de temps, de rédaction et de duplication manuelle. Avec un modèle génératif, il devient possible d’automatiser la création de textes, de variantes visuelles, de pages d’atterrissage et de formulations adaptées à différentes cibles.
Le phishing fonctionne souvent sur un principe simple : créer un sentiment d’urgence, pousser au clic, récupérer des identifiants, des coordonnées bancaires ou des informations personnelles. Là où l’IA devient précieuse pour les attaquants, c’est dans la personnalisation à grande échelle. Un message peut être reformulé selon l’opérateur, l’entreprise imitée, le contexte local ou le type de victime visé, tout en restant suffisamment crédible pour contourner la méfiance ordinaire.
Le SMS reste une arme très rentable
Le dossier est aussi révélateur d’une réalité souvent sous-estimée : le SMS demeure l’un des canaux de fraude les plus efficaces. Contrairement à l’e-mail, il bénéficie encore d’un réflexe de confiance plus élevé chez de nombreux utilisateurs. Un message évoquant un colis, un impayé, un péage ou un problème de compte pousse facilement à l’action immédiate.
L’intérêt de la coopération avec AT&T, Verizon et T-Mobile est là : bloquer ou ralentir la diffusion à la source, identifier des schémas de routage, et empêcher que les victimes n’atterrissent sur les faux sites. Ce type d’opération ne se joue plus uniquement au niveau des moteurs de recherche ou de l’hébergement ; il se joue aussi dans les réseaux télécoms, là où les campagnes de smishing prennent leur élan.
Pourquoi cette plainte compte au-delà de Google
Transformer un problème de modération en affaire judiciaire
Les grandes plateformes communiquent régulièrement sur les contenus supprimés et les comptes suspendus. Une plainte formelle contre un réseau identifié marque un cran supplémentaire. Google cherche ici à déplacer le sujet : il ne s’agit plus seulement de dire que l’entreprise bloque des abus, mais de soutenir qu’un acteur criminel a exploité ses outils pour mener une activité structurée et massive.
Cette approche a plusieurs fonctions. D’abord, elle permet d’obtenir davantage d’informations par la voie judiciaire, notamment sur l’infrastructure, les intermédiaires et les éventuels complices. Ensuite, elle envoie un message politique et commercial : si les modèles d’IA deviennent des auxiliaires de fraude, leurs éditeurs devront démontrer qu’ils ne se contentent pas de filtrer en surface.
Un signal pour tout le secteur de l’IA
Le cas Outsider Enterprise touche un point sensible pour les éditeurs de modèles : la distance entre un usage légitime et un usage malveillant. Les modèles généralistes ne sont pas conçus pour frauder, mais ils peuvent aider à produire des textes persuasifs, des variantes linguistiques, des structures de pages ou des scripts de campagne. Toute la difficulté consiste à limiter ces détournements sans rendre l’outil inutilisable.
Pour les acteurs de l’IA, cette affaire rappelle que la sécurité ne se résume pas à empêcher les réponses explicitement illicites. Les fraudeurs n’ont pas besoin de demander “écris une arnaque”. Ils peuvent fragmenter les requêtes, demander des textes “marketing”, des messages de relance, des formulations de support client, puis assembler le tout dans une chaîne automatisée. Le problème est donc autant celui du modèle que celui de l’orchestration autour du modèle.
Ce que dit l’affaire de l’économie réelle de la fraude
L’enseignement le plus important est peut-être économique. L’IA n’invente pas la fraude, mais elle en abaisse nettement le coût de production. Quand la génération de contenu devient quasi instantanée, le volume compense l’échec de la plupart des tentatives. Même avec un très faible taux de conversion, une campagne alimentée par plus de 1,59 million d’URL peut toucher des centaines de milliers de personnes et produire un rendement considérable.
C’est ce qui rend le dossier particulièrement parlant pour le grand public. L’IA est souvent présentée comme un levier de productivité pour les entreprises ; ici, la productivité concerne des criminels. Plus de pages, plus de variantes, plus de messages, plus de tests, plus de résilience face aux blocages. À chaque fermeture de domaine ou de page, d’autres versions peuvent être recréées presque aussitôt.
L’autre conséquence est défensive : les équipes de sécurité sont contraintes d’opérer au même rythme industriel. Détecter quelques faux sites ne suffit plus. Il faut repérer des grappes d’URL, des modèles de texte, des infrastructures d’hébergement, des schémas de SMS, et agir avec les registrars, les opérateurs et les forces de l’ordre. La lutte anti-phishing devient elle aussi une course à l’automatisation.
Une bataille de crédibilité pour Google
Google a un intérêt évident à montrer qu’il agit vite et en coordination avec des partenaires majeurs. Quand un service comme Gemini est cité dans une plainte liée à des campagnes d’arnaque, la question de la responsabilité remonte immédiatement. Sans être l’auteur des faits, l’éditeur de la technologie doit prouver qu’il détecte les abus, qu’il coopère avec les autorités et qu’il améliore ses garde-fous.
Cette affaire intervient dans un contexte où la sécurité des modèles d’IA est scrutée de près, autant par les régulateurs que par les entreprises clientes. La promesse commerciale ne tient que si les usages les plus toxiques peuvent être limités de manière crédible. Or le phishing est un terrain très concret, beaucoup plus facile à comprendre pour le grand public qu’un débat abstrait sur l’alignement ou les risques existentiels.
Ce qu’il faut surveiller maintenant
Le prochain enjeu sera de savoir si la plainte permet d’identifier plus finement la chaîne opérationnelle d’Outsider Enterprise : noms de domaine, prestataires, canaux de monétisation, méthodes de distribution et éventuels points d’appui hors ligne. Il faudra aussi observer si Google détaille davantage le rôle exact de Gemini et des autres outils IA dans la production des faux contenus.
À court terme, l’indicateur le plus concret reste la perturbation mesurable de la campagne : baisse du volume de SMS frauduleux, fermeture durable de lots de domaines, ralentissement de la recréation de faux sites. À plus long terme, ce dossier pourrait servir de test grandeur nature pour toute l’industrie : si l’IA permet de produire des arnaques à coût réduit, les garde-fous devront être évalués non sur leurs promesses, mais sur un chiffre simple — combien de fraudes empêchées, et à quelle vitesse.
