Le 12 juin 2026, Google a porté plainte contre un réseau cybercriminel basé en Chine, baptisé Outsider Enterprise, qui s'est servi de son assistant d'IA Gemini pour fabriquer des arnaques par SMS à grande échelle. L'affaire illustre une bascule inquiétante : les mêmes outils d'IA générative vendus au grand public deviennent des armes entre les mains des fraudeurs.

Un kit d'arnaque clé en main

Au cœur du dossier, un logiciel baptisé Outsider, vendu en abonnement à 88 dollars par semaine ou 200 dollars par mois. Google le décrit comme un outil d'hameçonnage pour les nuls : plus de 290 modèles de faux sites prêts à l'emploi, accompagnés de guides expliquant comment transformer en arme du code généré par IA. Le kit permet à ses clients de créer de faux sites avec l'aide de plateformes d'IA, dont Gemini, sans compétence technique particulière.

Les faux sites imitaient des marques de confiance pour piéger les internautes : Google, YouTube, le service postal américain USPS ou encore le télépéage new-yorkais E-ZPass. La victime recevait un SMS, cliquait sur un lien, puis saisissait ses données personnelles ou bancaires sur une page qui paraissait authentique.

Des chiffres qui donnent le vertige

  • 9 000 faux sites créés ;
  • 1 million de domaines frauduleux ;
  • 2,5 millions de SMS piégés envoyés à des utilisateurs Android en deux semaines ;
  • des centaines de milliers de victimes, pour des pertes estimées en millions de dollars.

Sur cinq mois, entre novembre 2025 et avril 2026, Google dit avoir détecté près de 1,6 million d'adresses web liées à l'opération. Le volume montre à quel point l'IA générative permet d'industrialiser la fraude, en abaissant le coût et le niveau technique nécessaires pour lancer une campagne.

Une riposte coordonnée

Pour démanteler le réseau, Google s'est associé au FBI ainsi qu'aux opérateurs télécoms AT&T, T-Mobile et Verizon, afin de saisir des domaines, des comptes et des boutiques en ligne utilisés par les fraudeurs. DeLaine Prado, directrice juridique de Google, a souligné le caractère inédit de l'action.

C'est notre première action et notre première plainte coordonnées de ce type, ce qui en dit long sur l'ampleur de l'impact de cette arnaque.

En s'attaquant directement au fournisseur du kit plutôt qu'aux fraudeurs individuels, Google cherche à couper le problème à la racine, là où l'outil est conçu et vendu.

Ce que ça change

Cette plainte est un signal envoyé à tout un marché : celui des outils d'arnaque clés en main, qui profitent de l'IA générative pour produire en masse des sites et des messages crédibles. Pour les laboratoires d'IA, la pression monte pour mieux policer l'usage de leurs modèles et détecter les détournements. Pour le grand public, le réflexe reste le même, mais plus que jamais nécessaire : se méfier des SMS contenant un lien, ne jamais saisir ses informations bancaires depuis un message reçu, et vérifier l'adresse réelle d'un site avant d'y entrer quoi que ce soit.