Dans 91 % des cas, l’IA peut déterminer votre localisation à partir d’une seule photo

Comment l’IA utilise de simples détails dans vos photos pour déterminer où vous vous trouvez, et pourquoi il s’agit là d’une véritable mine d’or pour les escrocs

Rapport de McAfee Labs pour des voyages plus sûrs en été | Été 2026 

Une photo vaut mille données 

Vous venez de rentrer d’une semaine en Amérique centrale. Vous avez publié quelques photos : les rues colorées de Tulum, une photo des ruines antiques de Tikal, un gros plan de vos tacos aux crevettes. Aucune balise de localisation. Aucune légende mentionnant le nom de la ville. Ce sont juste de belles photos.

Quelques jours plus tard, vous recevez un message mentionnant votre banque et faisant état d’activités suspectes « lors d’un voyage à l’étranger ». Il est étonnamment précis, avec des détails sur l’endroit où vous vous trouviez et à quel moment. Il semble parfaitement authentique.

Les messages frauduleux personnalisés de ce type constituent une tactique de plus en plus répandue. Et vos propres photos pourraient avoir contribué à sa rédaction.

McAfee Labs a entrepris de déterminer quelle quantité d’informations de localisation contient précisément une photo de voyage ordinaire, et ce que cela implique pour les quelque 244 millions d’Américains qui voyagent chaque année.

Ce que nous avons découvert devrait vous amener à revoir ce que vous partagez en ligne : avec un taux de précision supérieur à 90 %, certains modèles d’IA parviennent à déterminer le lieu où une photo a été prise en se basant uniquement sur les éléments visuels qu’elle contient. Et surtout, ce niveau de précision est désormais possible grâce à des outils gratuits et largement accessibles.

C’est pourquoi nous avons développé des outils tels que McAfee+ avec protection anti-fraude, conçus pour vous aider à repérer ces messages très ciblés et convaincants avant qu’ils ne vous conduisent à commettre des erreurs coûteuses. 

Découvrez McAfee+

Protection contre le vol d’identité et de votre vie privée en ligne

Ce que nous avons testé et pourquoi 

La question à laquelle McAfee Labs souhaitait répondre était d’une simplicité trompeuse : l’IA est-elle capable, à partir d’une photo de voyage, de déterminer où celle-ci a été prise, même en l’absence de données GPS ou de balises de localisation ?

On ne parle pas ici de métadonnées ou de coordonnées intégrées. Mais juste de la photo en elle-même : l’arrière-plan, l’architecture, la signalétique, la lumière — en bref, le contexte visuel que toute photo saisit naturellement.

Pour le savoir, nous avons mis en place un pipeline de test automatisé et l’avons appliqué à un ensemble de données constitué de 21 236 photos de voyage issues de collections accessibles au public. Nous avons également procédé à une analyse distincte et plus rigoureuse de 102 images supplémentaires afin de valider nos conclusions.

Nous avons testé deux modèles de vision par IA à grande échelle, tous deux accessibles gratuitement au grand public. Leur exécution ne nécessitait ni accès particulier, ni données exclusives, ni compétences techniques avancées. Nous avons utilisé les mêmes outils que ceux auxquels un escroc pourrait avoir accès aujourd’hui.

Chaque image a été analysée à l’aide d’une invite automatisée standard demandant au modèle d’identifier le lieu représenté (ville, pays ou région) en se basant uniquement sur le contenu visuel. Les résultats ont ensuite été examinés par des analystes humains afin de vérifier l’exactitude des identifications et de signaler les cas limites.

Ce que nous avons constaté : l’IA affiche un taux de précision impressionnant de 91 % 

Nous avons été stupéfaits par les résultats.

Le modèle Gemma3 27B a correctement identifié la ville et le pays des photos de voyage dans 87 % des cas. Le modèle Qwen3 VL 30B a obtenu des résultats encore meilleurs, avec un taux de précision de 91 % pour le même ensemble de données.

Cela signifie que dans environ 9 cas sur 10, un modèle d’IA auquel tout le monde a accès gratuitement peut, à partir d’une simple photo de voyage, identifier correctement le lieu où celle-ci a été prise. C’est également grâce à ce type d’analyse que les outils d’IA interprètent les photos de manière plus générale, ce qui influe non seulement sur la manière dont les escroqueries sont montées, mais aussi sur la manière dont les informations apparaissent dans les réponses générées par l’IA.

Et lorsque la ville exacte ne pouvait pas être identifiée, le pays était presque toujours correct. Pour un escroc, c’est largement suffisant. Cela suffit également à transformer une escroquerie vague et générique en une arnaque ciblée, opportune et crédible. 

Qu’est-ce qui rend l’identification du lieu de prise d’une photo si facile ? 

Pour certains types de photos, le niveau de précision de l’identification est encore plus élevé : 

  • Photos représentant des monuments célèbres ou des horizons reconnaissables 
  • Photos prises dans des lieux touristiques populaires et présentant des signatures visuelles caractéristiques 
  • Photos sur lesquelles apparaissent des panneaux de signalisation, des marquages au sol originaux ou des éléments de l’architecture locale 
  • Photos qui reflètent le contexte culturel : moyens de transport, devantures de magasins, stands de restauration 

Les décors moins reconnaissables, comme une plage quelconque, une route de campagne ou une chambre d’hôtel, ont réduit la précision. Mais même dans ces cas-là, le taux d’identification du pays est resté élevé. 

Nous avons testé par nous-mêmes. Et les résultats font froid dans le dos. 

Pour démontrer à quel point il est facile de reproduire cette situation, nous sommes sortis des laboratoires de McAfee et avons demandé à des collègues moins versés dans les technologies de faire le test. Aucune expérience en recherche n’était requise. Aucun outil particulier ne devait être utilisé.

Les employés ont chargé dans ChatGPT, Claude et Copilot leurs propres photos de voyage, des images provenant directement de leur galerie et qu’ils n’avaient jamais publiées, puis ont demandé à chacun de ces outils d’identifier le lieu où la photo avait été prise.

Les résultats ont créé un sentiment de malaise.

Certes, la précision a diminué par rapport à nos tests en laboratoire réalisés dans des conditions contrôlées. Mais pas de beaucoup. Les modèles ont continué à identifier correctement le pays, avec un taux de réussite largement suffisant pour permettre à un escroc de rédiger un message convaincant et ciblé.

Ce qu’il faut retenir, ce n’est pas que l’IA a déjà « vu » vos photos quelque part auparavant. C’est qu’une photographie contient par nature une quantité considérable d’informations — architecture, lumière, signalétique ou encore paysage — qui permettent de la situer, du simple fait qu’elle existe quelque part dans le monde. Il n’est pas nécessaire d’ajouter une balise géographique à une photo pour qu’elle révèle l’endroit où vous vous êtes rendu. 

Voyez par vous-même 

La section suivante présente des exemples concrets de géolocalisation par l’IA, à partir de photos de voyage personnelles fournies par notre équipe de recherche. Aucune balise de localisation. Aucune métadonnée. Uniquement la photo et ce que l’IA a détecté dans celle-ci.

Nous avons commencé par des structures plus ou moins reconnaissables en arrière-plan, puis nous avons testé des arrière-plans de plus en plus abstraits, en essayant de limiter les visages et les arrière-plans à du feuillage uniquement. Voici ce qui s’est passé :

Exemple 1 

Photo de la lune de miel de Brooke : cet exemple comporte un monument emblématique, ce qui a permis à l’IA de déterminer le lieu avec précision. Dès lors qu’un élément reconnaissable est présent, l’IA le reconnaît sans peine, au point de vous indiquer l’emplacement exact où vous vous trouvez sur la carte et de vous fournir l’histoire du lieu et des informations touristiques.

Capture décran dune conversation sur ChatGPT identifiant le lieu où a été prise une photo
Ici, nous voyons que l’IA indique de façon tout à fait correcte que cette photo a été prise devant le « Temple II, Temple des Masques ».

Exemple 2 

Photo d’un coucher de soleil prise par Sandra : cet exemple pose davantage de difficultés à l’IA, car il ne comporte ni points de repère majeurs ni personnes.  ChatGPT a tout de même réussi à identifier correctement le lieu comme étant Hastings-on-Hudson.  Capture décran montrant que lIA a correctement identifié le lieu

Exemple 3 

Photo en gros plan de fleurs prise par Rob : le gros plan de ces tulipes a suffi à Claude pour déterminer avec précision que cette photo avait été prise dans les jardins de Keukenhof, aux Pays-Bas.

LIA a réussi à identifier la localisation de ces fleurs sur un gros plan.
L’IA a réussi à identifier la localisation de ces fleurs sur un gros plan.

Comment une photo peut conduire à une escroquerie 

Savoir où quelqu’un se trouve ou s’est rendu récemment est l’une des astuces les plus anciennes du répertoire des escrocs. Mais jusqu’à récemment, pour obtenir ces informations, il fallait soit connaître la personne, soit avoir de la chance.

L’IA élimine les conjectures, permettant ainsi aux cybercriminels de mettre au point des escroqueries de grande envergure très ciblées et adaptées au contexte.

Compte tenu de la précision de la localisation géographique, les escrocs n’ont plus besoin de ratisser large en espérant qu’un message de phishing générique fasse mouche. À la place, ils peuvent utiliser des photos partagées publiquement pour créer un contexte crédible autour d’une attaque : 

  • « Nous avons détecté une activité inhabituelle sur votre compte alors que vous étiez en voyage à [ville]. » 
  • « Votre carte a fait l’objet d’un signalement à la suite d’une transaction effectuée en [pays] — veuillez vérifier immédiatement. » 
  • « Bonjour, nous vous contactons au sujet de votre récent séjour dans un hôtel à [destination]. » 
  • « Bonjour, c’est [votre nom], je suis au Mexique et toutes mes cartes sont refusées. » « Pourrais-tu m’envoyer $$ ? » (message destiné à vos amis ou à vos proches) 
  • « Nous avons détecté une tentative de connexion depuis votre emplacement à [destination] — veuillez confirmer votre identité. » 
  • « Votre réservation à [ville] doit être reconfirmée — cliquez ici pour valider votre réservation. » 
Voici un exemple de SMS frauduleux détecté par notre équipe de recherche. Imaginez maintenant que les escrocs disposent de plus dinformations, comme le nom exact de lexcursion à laquelle vous participiez, lendroit où vous vous trouviez ou les magasins dans lesquels vous avez effectué des achats. Ces détails pourraient rendre des messages comme celui-ci encore plus convaincants et personnalisés.
Voici un exemple de SMS frauduleux détecté par notre équipe de recherche. Imaginez maintenant que les escrocs disposent de plus d’informations, comme le nom exact de l’excursion à laquelle vous participiez, l’endroit où vous vous trouviez ou les magasins dans lesquels vous avez effectué des achats. Ces détails pourraient rendre des messages comme celui-ci encore plus convaincants et personnalisés.

Ces messages n’ont pas besoin d’être d’une précision absolue. Il suffit qu’ils semblent plausibles et suffisamment proches de la réalité. Telle est la stratégie. Le sentiment de familiarité affecte votre esprit critique. Or, c’est votre esprit critique qui vous protège.

C’est ce type de tactique qui transforme le phishing de masse en phishing hyperpersonnalisé à grande échelle, et c’est la raison pour laquelle même les voyageurs prudents et qui maîtrisent le numérique se font piéger. 

Le nouveau mode opératoire des escrocs 

Le processus mis en place est très simple : 

  1. Récupération de photos de voyage partagées publiquement sur Instagram, Facebook ou X, sans avoir besoin de pirater un compte 
  2. Traitement de ces photos à l’aide d’un modèle de vision par IA disponible gratuitement 
  3. Identification de la destination probable, de la période concernée et du contexte 
  4. Rédaction d’un message ciblé faisant référence à ce lieu 
  5. Envoi du message pendant ou peu après le voyage, au moment où la victime est la plus susceptible d’y croire 

Les étapes 1 à 5 peuvent être automatisées. L’ensemble du processus peut facilement être adapté. Et les messages créés revêtent une dimension personnelle, ce que les arnaques génériques ne parviennent jamais à faire. 

Le paysage plus large des escroqueries auquel sont confrontés les voyageurs 

L’identification de la géolocalisation ne se fait pas en vase clos. Il s’agit d’un outil parmi d’autres dans l’arsenal de plus en plus vaste que les escrocs utilisent pour cibler spécifiquement les voyageurs.

Les voyageurs sortent de leur routine habituelle, utilisent des réseaux qui ne leur sont pas familiers et doivent prendre des décisions financières rapides sous la pression du temps. Ce sont précisément ces comportements qui permettent aux escrocs d’exploiter la localisation au moyen de photos.

Une nouvelle étude de McAfee a révélé que plus d’un Français sur trois a été confronté à une cybermenace liée à un voyage, et que 50 % des personnes concernées ont perdu de l’argent, souvent plus de 500 euros. Dans le même temps, l’augmentation du coût des voyages et la pression du temps poussent les gens à prendre des décisions plus rapides et plus risquées. Ce sont précisément des situations de ce type que les escrocs exploitent.

Ces données montrent à quel point les voyageurs s’exposent sans s’en rendre compte. Près de la moitié des Français se connectent à un réseau Wi-Fi public lorsqu’ils voyagent (47 %), et un pourcentage plus élevé encore scanne des codes QR sans vérifier où ceux-ci mènent (68 %). Plus d’un tiers des Français utilisent spécifiquement les réseaux Wi-Fi des aéroports (37 %), et 28 % reconnaissent faire confiance aux messages liés aux voyages sans vérifier l’identité de l’expéditeur. Près d’un Français sur cinq se connecte à des applications financières depuis des réseaux publics, et un pourcentage similaire partage des projets de voyage en temps réel sur les réseaux sociaux. Vingt-deux pour cent des internautes cliquent sur des liens liés à des voyages sans vérifier la source au préalable. Enfin, environ une personne sur cinq (17 %) admet partager ses projets de voyage en temps réel.

Ce dernier comportement mérite que l’on s’y attarde. C’est précisément le fait de partager ses projets de voyage en temps réel, sur des comptes de réseaux sociaux publics ou semi-publics, qui génère les signaux de localisation basés sur des photos examinés dans le cadre de cette étude. Ces comportements et la divulgation de données de géolocalisation ne constituent pas des problèmes distincts. Au contraire, ils se renforcent mutuellement.

La détermination de la localisation facilite en fait l’exploitation de toutes ces vulnérabilités existantes. Un escroc qui a une vague idée de l’endroit où vous vous trouvez ne dispose pas seulement d’une donnée. Il dispose d’un scénario. 

Méthodologie suivie dans le cadre de cette étude 

Parce que la transparence est essentielle, voici comment cette étude a été menée.

Ensemble de données : 21 236 photos de voyage accessibles au public à des fins de recherche, ainsi qu’un ensemble contrôlé distinct de 102 photos fournies par des volontaires internes de McAfee (qui n’ont jamais été publiées auparavant)

Modèles testés : 

  • Gemma3 27B — un modèle multimodal et de vision-langage développé par Google DeepMind 
  • Qwen3 VL 30B — un modèle multimodal et de vision-langage développé par l’équipe Qwen d’Alibaba 

Il est important de noter que nous avons réalisé nos tests à l’aide de grands modèles de langage exécutés en local sur nos propres ordinateurs, plutôt que par le biais de services publics tels que ChatGPT.

Cette approche correspond davantage à la manière dont un pirate pourrait agir à grande échelle. L’exécution de modèles en local permet de générer de manière automatisée et sans restriction de grands volumes de contenus malveillants, sans devoir faire appel à un fournisseur tiers.

En revanche, les services d’IA basés sur le cloud surveillent généralement les abus et peuvent imposer des limites de débit, suspendre des comptes ou bloquer des requêtes lorsqu’ils détectent une activité associée à du phishing ou à d’autres comportements malveillants.

Procédure : un script Python automatisé a soumis chaque photo aux deux modèles à l’aide d’une invite standardisée demandant d’identifier le lieu en se basant uniquement sur le contenu visuel. Aucune métadonnée, aucune donnée EXIF ni aucune convention de nommage des fichiers n’a été utilisée en guise d’entrée. Les résultats ont été enregistrés par programmation.

Validation : des étiquettes ont été attribuées préalablement aux photos, avant l’analyse. Dans les cas où les noms géographiques ou les points de repère pouvaient raisonnablement faire l’objet de plusieurs interprétations, un évaluateur humain a comparé les lieux préétiquetés et les résultats des modèles afin de garantir une catégorisation cohérente.

Par exemple, l’évaluateur a déterminé s’il fallait regrouper la Cité du Vatican avec Rome et si « Washington D.C. » et « Washington, D.C. » devaient être considérés comme un même lieu. Il n’a modifié ni les étiquettes d’origine ni les résultats des modèles, mais a plutôt fait appel à son jugement pour harmoniser les conventions de dénomination ambiguës et traiter les cas limites.

Définition de la précision : un résultat était considéré comme correct lorsque le modèle identifiait correctement la ville et le pays. Les identifications se limitant au pays ont fait l’objet d’un suivi distinct. Les deux indicateurs sont rapportés.

Ce que cette étude ne prétend pas faire : cette étude ne signifie nullement que toutes les photos de voyage seront correctement identifiées, ni que tous les outils d’IA accessibles au public atteignent ce niveau de performance. Les résultats variaient selon le type de photo, la densité des points de repère et la région géographique. L’important n’est pas que l’identification soit parfaite, mais que la précision soit suffisamment élevée et accessible pour permettre de monter des escroqueries ciblées à grande échelle.

À propos de l’étude auprès des consommateurs : McAfee a commandé une enquête auprès des consommateurs, réalisée en mars 2026, sur les intentions de voyage, sur les expériences et les perceptions en matière d’escroqueries liées aux voyages, ainsi que sur les comportements numériques pendant les voyages. Les résultats mentionnés ici portent sur un échantillon de 1 000 Français âgés de plus de 18 ans. L’étude complète comprenait les réponses de 6 000 participants issus d’Allemagne, d’Australie, des États-Unis, de France, du Japon et du Royaume-Uni. 

Comment vous protéger ? 

Prendre conscience de l’existence de ce risque est la première étape. Les mesures suivantes vous permettront de l’éviter :

Réfléchissez avant de publier, en particulier en temps réel. C’est pendant le voyage que le risque est le plus élevé. Le fait de publier depuis un lieu précis donne aux escrocs une indication en temps réel de votre localisation. Dans la mesure du possible, publiez vos messages et photos une fois rentré chez vous ou attendez quelques jours avant de partager des contenus permettant de vous localiser.

Vérifiez vos paramètres de confidentialité sur les réseaux sociaux. Les photos partagées publiquement sont les cibles les plus faciles. En limitant vos publications aux personnes que vous connaissez, vous réduisez considérablement le nombre de photos susceptibles d’être extraites et analysées.

Méfiez-vous des messages à caractère urgent liés à votre localisation. Si un message fait référence à un endroit où vous vous êtes rendu, même si c’est exact, considérez cela comme un signal d’alerte, et non comme un gage de crédibilité. Les escrocs exploitent précisément le fait que vous connaissez le lieu, car cela a une dimension rassurante.

Allez directement à la source. Si, pendant votre voyage, vous recevez un message prétendant provenir de votre banque, de votre compagnie aérienne, de votre hôtel ou de la société émettrice de votre carte bancaire, ne cliquez sur aucun lien figurant dans ce message. Ouvrez un nouvel onglet dans votre navigateur et rendez-vous directement sur le site officiel de l’entreprise ou appelez le numéro figurant au dos de votre carte.

Utilisez une adresse e-mail ou un alias dédié à vos voyages. Certains voyageurs utilisent une adresse e-mail distincte pour les réservations et les applications de voyage. Cela limite les recoupements que les escrocs peuvent effectuer entre votre présence sur les réseaux sociaux et vos comptes bancaires.

Faites confiance à votre esprit critique, pas à ce qui vous est familier. Les escroqueries modernes sont conçues pour paraître familières avant d’éveiller la méfiance. Si, pendant votre voyage, une situation vous donne l’impression qu’il y a urgence concernant vos comptes bancaires, prenez le temps de réfléchir. Ce sentiment de pression constitue un signal d’alerte. 

Comment McAfee vous protège avant, pendant et après votre voyage 

Avec la hausse des prix et les décisions prises en temps réel, il est facile de privilégier la commodité au détriment de la prudence. Mais c’est précisément à ce moment-là que les petites vérifications ont le plus d’importance. 

Étape du voyage  Ce qui se passe  Aide apportée par McAfee 
Avant de réserver  Comparaison des offres, clic sur des promotions, réservation de vols et d’hôtels sous la pression du temps McAfee+ avec protection anti-fraude vérifie les liens, les messages et les sites de réservation avant que vous ne cliquiez, vous aidant ainsi à éviter les fausses offres et les annonces frauduleuses. 
Pendant votre voyage  Connexion à des réseaux Wi-Fi publics, scan de codes QR, réception d’informations et d’alertes sur le voyage  Le VPN permet de sécuriser votre connexion sur les réseaux Wi-Fi publics, tandis que McAfee+ avec protection anti-fraude signale en temps réel les messages suspects et les liens dangereux. 
Après votre voyage  Les comptes restent actifs et les données relatives au voyage sont stockées sur différentes plateformes, ce qui engendre un risque d’exposition en cas de violation.  La surveillance de l’identité vous alerte si vos informations personnelles apparaissent en ligne, ce qui vous permet d’agir rapidement avant que les dommages ne s’étendent. 

Avec McAfee+ Advanced, plusieurs couches travaillent de concert pour que vous n’ayez pas à vous en occuper une fois que le mal est fait.

Vous pouvez ainsi vous concentrer sur votre voyage, sans vous demander si la notification que vous venez de recevoir est une arnaque. 

Conclusion 

Une photo de voyage constitue un souvenir. Mais elle est aussi, de plus en plus, un élément de données.

Cela ne signifie pas pour autant que vous deviez cesser de partager vos expériences. Cela signifie seulement que vous devez comprendre que cette même richesse visuelle qui fait la qualité d’une photo est précisément ce que les systèmes d’IA sont entraînés à décoder.

Les escrocs le savent. Et maintenant, vous savez comment vous protéger.

Ce rapport a été rédigé par McAfee Labs. L’étude a été menée en 2025-2026 dans le cadre du suivi continu par McAfee des vecteurs d’escroquerie basés sur l’IA. 

FacebookLinkedInTwitterEmailCopy Link

Restez informé

Suivez-nous pour rester au courant des actualités de McAfee et des dernières menaces pour la sécurité mobile et grand public.

FacebookTwitterInstagramLinkedINYouTubeRSS

More from Sécurité Internet

Back to top