Les attaques Deepfake constituent-elles une menace immédiate ou une préoccupation future pour les organisations ?

Le monde est remonté contre les « deepfakes » (ou hypertrucage). Plus précisément, il s'agit de savoir qui a accès à cette technologie et comment nous pouvons identifier ce qui est réel et ce qui ne l'est pas. Mais ces tentatives de fraude ne se limitent pas à de fausses vidéos de célébrités vendant des produits illégitimes ou de politiciens tenant des propos peu recommandables. Les deepfakes sont de plus en plus utilisés pour attaquer des intérêts commerciaux dans le monde entier.

Lors d'une récente discussion avec Bogdan Botezatu, Director of threat research and reporting chez Bitdefender, il a fourni des conseils pour aider à naviguer dans ce battage médiatique afin de déterminer exactement comment les deepfakes et autres outils d'intelligence artificielle générative (GenAI) constituent une menace pour la posture de cybersécurité des organisations. Plus important encore, il aide à déterminer si ces attaques sont quelque chose dont les organisations doivent s'inquiéter aujourd'hui.

Pourquoi les deepfakes sont-ils si dangereux ou perturbateurs ? 

Bogdan Botezatu : Les deepfakes sont la dernière technologie d'une longue série d'outils utilisés pour perpétuer des arnaques. Depuis des millénaires, les escrocs commettent des fraudes en faisant croire aux gens qu'ils sont quelque chose ou quelqu'un qu'ils ne sont pas. Des parents disparus depuis longtemps se manifestent lors de la distribution d'un héritage, un médecin à l'expertise douteuse propose un remède miracle, un prince nigérian a besoin de votre aide pour rapatrier des millions de dollars… la liste est encore longue. 

Mais ce qui rend les deepfakes si dangereux, c'est qu'ils permettent aux cybercriminels de cibler de nombreux individus à un niveau extrêmement personnel et de manière de plus en plus sophistiquée. Ces escroqueries à la fausse identité étaient auparavant réalisées en personne, une victime à la fois, mais les deepfakes diffusés par des canaux de communication électroniques tels que les emails, les textos, les chatbots, les messages in-app et les vidéoconférences peuvent être personnalisés et mis à l'échelle assez facilement. Les attaques les plus réussies amènent les victimes à remettre en question la réalité elle-même, ce qui peut être une stratégie très efficace et diabolique.

Comment les cybercriminels utilisent-ils actuellement les deepfakes dans leurs attaques ?

Bogdan Botezatu : Les deepfakes ont fait passer les escroqueries par phishing (hameçonnage) au niveau supérieur. Les attaquants peuvent compiler une énorme quantité d'informations très spécifiques et personnelles sur les personnes et les organisations et les introduire dans les outils de GenAI pour imiter une figure d'autorité. Cela va au-delà de la voix et de l'apparence et inclut un comportement, une syntaxe, des préférences et des tendances spécifiques. Associées à des campagnes d'ingénierie sociale qui identifient les logiciels financiers utilisés par l'organisation, les banques où elle possède des comptes, ainsi que les processus et politiques internes, les deepfakes peuvent être incroyablement précises, personnelles et difficiles à détecter. 

Les outils de clonage vocal permettent aux attaquants de demander verbalement à des employés d'initier une transaction frauduleuse par téléphone. Les chatbots accessibles au public et alimentés par la GenAI leur permettent d'entretenir une conversation de type humain par le biais d'applications de messagerie textuelle ou in-app. Enfin, les services de création vidéo de la GenAI leur permettent d'organiser des réunions par le biais d'applications de vidéoconférence afin de donner des ordres frauduleux à un groupe de personnes en même temps. 

Il est vrai que les gens sont devenus plus habiles à reconnaître les photos truquées (il suffit de regarder les figures à six doigts dans certaines images générées par l'IA), mais le taux de reconnaissance est encore relativement faible. Par curiosité, j'ai mené une étude non scientifique dans laquelle j'ai demandé à des photographes professionnels d'identifier des photos truquées parmi des images légitimes. Même parmi ces experts, des personnes qui prennent des photos pour gagner leur vie et qui utilisent Photoshop pour les retoucher, le taux de reconnaissance était inférieur à 50 %. Le taux de reconnaissance des vidéos truquées est encore plus faible, car les images sont en mouvement et il est difficile de détecter des inexactitudes subtiles.

Y a-t-il des exemples récents que l’on peut citer ?

Bogdan Botezatu : Le premier exemple dont je me souviens remonte à 2016, lorsqu'un groupe de pirates informatiques a réussi à escroquer 40 millions d'euros à une entreprise manufacturière allemande en convainquant le directeur financier de son usine en Roumanie qu'un cadre du siège avait demandé la transaction. Alors que la demande initiale a été transmise par courrier électronique, un appel téléphonique de suivi utilisant une technologie de clonage vocal a permis de sceller l'affaire et de convaincre la victime que la demande était légitime.

Plus récemment, nous avons entendu parler d'une attaque contre une grande entreprise automobile où le directeur financier a été amené à virer une grosse somme d'argent sur un compte frauduleux. On nous a également rapporté le cas d'un cadre d'une autre société du Fortune 500 qui a assisté à un faux appel Zoom avec des cadres supérieurs, dont la capacité à poursuivre l'escroquerie pendant une période aussi longue fait froid dans le dos. La technologie du deepfake ayant évolué au point que n'importe qui peut produire un contenu de qualité hollywoodienne, nous allons entendre parler de plus en plus souvent d'attaques réussies de deepfake qui vont nous amener à nous interroger sur ce qui est réel et ce qui ne l'est pas.

Que peuvent faire les organisations pour se protéger des deepfakes ?

Bogdan Botezatu : Malheureusement, il n'existe aucun outil capable d'identifier avec une certitude absolue les attaques de type deepfake. Les filigranes et autres technologies de marquage ne sont pas non plus susceptibles de stopper les attaques. Les organisations vont devoir élaborer et appliquer des politiques qui empêchent les transactions frauduleuses de passer sans être contestées, former leurs employés à mieux repérer les comportements anormaux et maintenir une bonne « cyber hygiène » dans l'ensemble de leurs environnements informatiques afin d'empêcher la faille initiale.

La protection des organisations contre les deepfakes dépend de l'établissement et du maintien de la confiance à tout moment. Des mesures de protection doivent être créées et appliquées lorsqu'il s'agit d'effectuer des transactions et d'autres actions à risque. Par exemple, exiger plusieurs signatures pour les transactions importantes, limiter le montant des fonds pouvant être déplacés, n'autoriser l'envoi de transactions qu'à des comptes vérifiés, ou prévoir une période d'attente ou un intermédiaire pour vous donner le temps d'authentifier la demande.

Rendre obligatoire la formation à la détection des deepfakes et des fraudes est également une bonne idée. Vous ne pouvez pas compter sur les utilisateurs pour reconnaître chaque tentative de fraude, mais faire pencher le taux d'identification en votre faveur de quelques points n'est jamais une mauvaise idée. Le simple fait de donner aux gens le pouvoir de contester un comportement anormal sans stigmatisation ni répercussions peut contribuer grandement à l'instauration d'une solide culture de lutte contre la fraude.

Enfin, le maintien d'une bonne hygiène cybernétique peut empêcher ces attaques de se produire. Les attaques les plus sophistiquées ont besoin d'un canal de communication légitime pour délivrer le deepfake, ce qui nécessite le vol d'informations d'identification d'un courrier électronique, d'un appareil ou d'une application. Le maintien d'une posture de sécurité robuste qui protège ces terminaux et empêche la propagation latérale vers d'autres systèmes de l'entreprise est un bon moyen de prévenir de manière proactive la violation initiale et d'atténuer l'impact d'une attaque réussie. 

À quoi peut-on s'attendre à l'avenir avec l'évolution de la technologie deepfake ?

Bogdan Botezatu : Il ne fait aucun doute que les deepfakes sont de plus en plus sophistiqués et de plus en plus courants. Je ne serais pas surpris de voir une attaque majeure par deepfake en 2024, en particulier avec l'élection présidentielle américaine qui aura lieu à l'automne. Mais je crois fermement qu'il faut combattre le feu par le feu. Les outils de cybersécurité alimentés par l'IA et l'apprentissage automatique (Machine Learning) seront essentiels pour protéger les organisations contre ce type d'attaques. Plus important encore, ils vont apprendre à distinguer les comportements légitimes des comportements frauduleux en observant constamment les actions des utilisateurs et des dirigeants en temps réel. Quelqu'un essaie-t-il d'accéder à des données qu'il ne devrait pas avoir ? Une entité inconnue accède-t-elle à un compte ? Ces types d'analyses comportementales effectuées au niveau de l'informatique et de l'authentification aideront les organisations à identifier ces tentatives de fraude de plus en plus sophistiquées.

Pour résumer

Les deepfakes et autres technologies d'intelligence artificielle vont changer le monde, en bien comme en mal. Les organisations vont devoir être très vigilantes face à ces attaques très sophistiquées qui ont la capacité d'amener les gens à remettre en question la réalité elle-même. La mise en place de politiques et de mesures de protection pour prévenir les comportements anormaux, une meilleure formation des utilisateurs pour détecter les tentatives de fraude et le maintien d'une bonne cyber hygiène dans l'ensemble de l'organisation sont les meilleurs moyens d'empêcher les deepfakes de pénétrer dans votre organisation aujourd'hui et à l'avenir.

Découvrez comment les experts en cybersécurité de Bitdefender peuvent aider à protéger les organisations grâce à ses services gérés.