Les écoles adorent les belles photos, qu'il s'agisse d'une sortie au château, d'une remise de prix scientifique ou d'une journée sportive immortalisée sous trois angles différents. Depuis vingt ans, ces images festives sont directement publiées sur les sites web des écoles, accompagnées d'une légende indiquant le nom et la classe de l'élève. Mais cette époque est révolue, car nous sommes en 2026 et Internet a tout chamboulé.
Comme l'a rapporté en premier le Guardian, des experts exhortent désormais les écoles à retirer ces photos. Selon l'Agence nationale contre la criminalité (NCA) du Royaume-Uni, l'Internet Watch Foundation et un groupe consultatif appelé Early Warning Working Group (EWWG), des maîtres chanteurs récupèrent des photos scolaires ordinaires, les traitent à l'aide deepfake d'IA deepfake pour fabriquer du matériel pédopornographique (CSAM), puis exigent une rançon pour ne pas diffuser ces images sur Internet.
Une école, 150 images
À la fin de l'année dernière, des cybercriminels ont contacté un établissement secondaire britannique dont le nom n'a pas été divulgué pour lui adresser cette demande. L'IWF a classé 150 des images ainsi obtenues comme relevant de la législation britannique sur la pornographie infantile (CSAM) et a généré des empreintes numériques pour chacune d'entre elles afin que les principales plateformes puissent bloquer toute nouvelle mise en ligne.
L'IWF ne cite pas le nom de l'établissement ni celui des forces de police, et estime qu'il ne s'agit pas d'un cas isolé. L'EWWG affirme que ce n'est « qu'une question de temps » avant que d'autres établissements ne soient confrontés à des demandes similaires.
Jess Phillips, ministre britannique chargée de la protection de l'enfance, a qualifié ce phénomène de « menace émergente extrêmement préoccupante ». En février 2025, le Royaume-Uni est devenu le premier pays à interdire les outils d'IA spécialement conçus pour générer du matériel pédopornographique.
Comment nous en sommes arrivés là
Cette menace n'est pas apparue du jour au lendemain, et elle ne se limite pas au Royaume-Uni. Il s'agit de l'évolution d'un phénomène qui existe depuis longtemps : la sextorsion, c'est-à-dire le fait d'utiliser des images intimes pour vous faire chanter. Auparavant, la sextorsion reposait sur des images intimes réelles qui avaient été volées ou partagées, mais deepfake a tout changé.
Le Centre de signalement des crimes sur Internet (IC3) du FBI a enregistré plus de 16 000 plaintes pour sextorsion au cours du premier semestre 2021, pour un montant total de pertes dépassant les 8 millions de dollars. En juin 2023, le Bureau a averti que les méthodes avaient évolué : les agresseurs utilisaient désormais des photos ordinaires publiées sur les réseaux sociaux pour créer de fausses images à caractère sexuel et faire chanter des mineurs.
Childline, la ligne d'assistance téléphonique britannique dédiée aux enfants, a constaté des changements similaires à mesure que deepfake deviennent plus accessibles. Elle recense déjà chaque année de nombreux cas de sextorsion, dont beaucoup concernent des enfants qui ont été manipulés pour qu'ils partagent des images intimes d'eux-mêmes. Aujourd'hui, l'organisation reçoit des appels d'enfants qui se voient envoyer des images deepfake les représentant, sans qu'il y ait eu de contact préalable.
Une jeune fille de 15 ans, par exemple, a reçu un faux nu « très réaliste » créé à partir de ses Instagram .
En novembre 2025, le nombre de signalements à l'IWF concernant du matériel pédopornographique généré par l'IA avait plus que doublé par rapport à l'année précédente, passant de 199 à 426. Les filles représentaient 94 % des victimes. Selon l'organisation, les cas signalés concernaient des enfants âgés de quelques jours à deux ans.
L'écosystème qui entoure ces outils est de nature industrielle. En avril 2025, un chercheur a découvert un compartiment AWS S3 accessible à tous appartenant à l'application sud-coréenne « nudify » GenNomis, contenant 93 485 images générées par l'IA ainsi que les instructions qui les avaient produites.
Ce qu'on dit aux écoles
L'EWWG recommande de remplacer les photos prises de près et permettant d'identifier les personnes par des images prises de loin, des images floues ou des photos prises de dos. Il conseille également aux établissements scolaires de supprimer les noms complets des légendes, de passer en revue les images existantes et de demander aux parents de signer à nouveau les formulaires de consentement.
En réalité, il recommande aux établissements scolaires de se demander s'il est vraiment nécessaire de publier des photos d'enfants sur Internet.
Certaines écoles ont déjà pris des mesures. Selon le Guardian, la Loughborough Schools Foundation, un regroupement de trois écoles privées partageant un site web, a supprimé l'année dernière toutes les photos d'élèves reconnaissables.
Le Bureau du commissaire à l'information du Royaume-Uni (ICO) précise qu'il « s'attendrait toujours, en règle générale, à ce que vous proposiez aux parents une option de refus » lors de la publication d'une photo permettant d'identifier un enfant, mais souligne que cela n'équivaut pas juridiquement à un consentement, dont les critères sont plus stricts.
La situation est plus floue aux États-Unis, où les États disposent souvent de leurs propres lois sur la protection de la vie privée des élèves. D'une manière générale, cependant, en vertu de la Privacy les droits à l'éducation et Privacy familiales (FERPA), les établissements scolaires classent généralement les photos permettant d'identifier les élèves dans la catégorie des « informations d'annuaire ». Cette catégorie comprend également le nom, l'adresse, le numéro de téléphone, la date et le lieu de naissance, la participation à des activités et à des sports officiellement reconnus, ainsi que les dates de présence.
En vertu de la loi FERPA, les établissements scolaires peuvent publier ce type d'informations, sauf si le tuteur légal de l'enfant s'y oppose expressément. Ils sont tenus d'en informer le tuteur légal lorsqu'ils souhaitent les publier, mais cette obligation ne s'applique pas nécessairement indéfiniment après le départ de l'élève de l'établissement.
Cela signifie que les photos et les informations concernant les élèves peuvent rester en ligne bien après que les familles aient pensé qu'elles avaient disparu.
Et ensuite ?
Au Royaume-Uni, le service « Report Remove » de Childline permet aux enfants de signaler des images ou des vidéos explicites les représentant qui ont été publiées en ligne. L'année dernière, ce service a reçu 394 signalements de chantage de la part de mineurs, soit une augmentation d'un tiers par rapport à 2024.
Par ailleurs, le gouvernement britannique est en train de modifier le projet de loi sur la criminalité et la police, obligeant les plateformes à retirer les images à caractère intime signalées dans un délai de 48 heures, sous peine d'amendes pouvant atteindre 10 % de leur chiffre d'affaires mondial.
Nous nous attendons à une course entre les autorités de régulation et les cybercriminels utilisant l'IA. Pour l'instant, les pirates doivent encore rechercher eux-mêmes les photos manuellement. Le risque est que ce processus soit bientôt automatisé, ce qui permettrait aux criminels d'extraire à grande échelle des noms et des photos des sites web des établissements scolaires et des réseaux sociaux.
Pour les parents, la mesure de protection la plus simple consiste peut-être à limiter le nombre de photos permettant d'identifier leurs enfants disponibles en ligne. Cela implique de faire preuve de vigilance non seulement vis-à-vis de l'école de leur enfant, mais aussi de ses clubs sportifs, de ses activités extrascolaires et de ses comptes sur les réseaux sociaux.
