Développement des deepfakes : une haute vigilance s'impose pour les entreprises

La frontière entre fiction et réalité est floue et les contenus hypertruqués, facilités par l'IA, ne cessent d'augmenter sur internet.

Dans la dernière édition de son rapport annuel, la CNIL a déclaré : « Depuis quelques mois, la quantité et la qualité des vidéos hypertruquées visibles sur internet ne cessent de faire des bonds en avant. Ces manipulations vidéo prennent la forme d’échanges de visages (face swapping), d’animations de portraits ou encore de modifications de discours. » À mesure que l’IA progresse, la désinformation sur internet floute les frontières entre la fiction et la réalité. Cela a été constaté à plusieurs reprises en 2024, notamment lors de diverses campagnes électorales dans le monde.

Les cybercriminels adoptent en masse des stratégies de deepfake depuis que les outils basés sur l’IA sont devenus moins chers et plus accessibles. Cela a récemment poussé le FBI à lancer une alerte : « les cybercriminels exploitent l’IA pour commettre des délits à plus grande échelle, ce qui augmente la crédibilité de leurs pratiques. » Ces attaques deepfake deviennent aussi plus audacieuses. Par exemple, en septembre dernier, un cybercriminel a tenu une vidéoconférence avec un sénateur américain posant comme un fonctionnaire ukrainien. Heureusement, le deepfake a rapidement été supprimé avant qu’il n’y ait de conséquences. Néanmoins, l’incident démontre à quel point une telle attaque peut être convaincante et préjudiciable. Pour une entreprise, les deepfakes représentent des risques conséquents de perte financière, de réputation endommagée ou d’espionnage interne.

Des arnaques financières crédibles grâce au « vishing »

Des tests de deepfakes générés par l’IA ont été effectués visant à démontrer un phishing basé sur le clonage de voix, appelé « vishing ». Leur réalisation a pris moins de cinq minutes. Aujourd’hui, c’est encore plus simple pour les cybercriminels de créer des audios, vidéos ou images de qualité. Des outils d’IA générative, bon marché ou même gratuits, sont disponibles et permettent d’imiter des tics de langage, des expressions faciales avec une précision stupéfiante. Il devient très difficile de discerner la fiction de la réalité.

En utilisant diverses techniques, les cybercriminels se déguisent en dirigeant de grandes entreprises pour piéger les employés dans des activités frauduleuses, comme des transferts de fonds. À la suite d’un récent cas, les cybercriminels ont réuni près de 25 millions de dollars en ayant arnaqué un employé par appel vidéo. C’est un cas extrême, mais ce genre d’incidents est pourtant régulier. En effet, 33 % des commerces aux Etats Unis et au Royaume-Uni ont été la cible d’arnaques financières par deepfakes l’année dernière, selon une étude de Medius – société de logiciels créditeurs.

Les attaques par deepfakes peuvent impacter les finances des organisations par d’autres biais. À titre d’exemple, l’année dernière, une image deepfake montrant de la fumée s’échapper d’un bâtiment d’entreprise a créé une vague de panique ayant secoué le marché et déclenché une liquidation boursière. 

Les deepfakes comme outil pour entacher gravement une réputation

Certaines attaques deepfake vont plus loin que la fraude financière. Par exemple, un discours ou une interview fabriquée de toutes pièces mettant en scène un chef d’entreprise divulguant des informations sensibles ou fausses pourrait détruire la réputation et la crédibilité de ce dernier.

En mai, le PDG d’un des plus gros groupes de publicité au monde était la cible d’une escroquerie complexe impliquant un clonage de voix par IA. D’après certaines informations, le cybercriminel a créé un compte WhatsApp appartenant au PDG affichant sa photo publiquement et s’en est servi pour monter des vidéoconférences avec d’autres dirigeants d’entreprise.

Dans un autre cas, la carrière d’un principal d’une école à Baltimore a presque été détruite à la suite de la diffusion d’un faux clip audio, créé grâce à l’IA, dans lequel il tient des propos désobligeants. D’après la BBC, une version du clip a accumulé presque 2 millions de vues en quelques heures après avoir été publiée. Le principal visé a commencé à recevoir des messages violents, voire même des menaces de morts, avant qu’il ne soit confirmé que la vidéo était complètement fausse et créée par un employé mécontent.  Dans les faits, une étude du MIT démontre que le mensonge se répand « plus loin, plus vite, plus profondément et plus largement que la vérité. » En effet, les informations mensongères ont 70 % plus de chance d’être retweetés que les faits réels vérifiés, et se répandent six fois plus vite.   

Espionnage interne : les services de ressources humaines en première ligne

Le service des ressources humaines est particulièrement vulnérable face aux attaques du fait de son accès aux bases données de la société et du personnel. Les RH représentent une passerelle au sein de l’organisation pour les cybercriminels qui cherchent des informations confidentielles et des secrets industriels.

Cet été, des rapports sur des deepfakes ahurissants ont émergé. Une société de sensibilisation à la sécurité a réalisé 4 interviews vidéo avec des demandeurs d’emploi qui correspondent à la photo figurant sur leur candidature. La vérification des antécédents et d’autres démarches de pré-embauche ont été faites sans encombre, cependant il s’est avéré que le candidat utilisait une photo volée créée par l’IA. Après l’onboarding, la nouvelle recrue a délibérément installé un malware sur les appareils de la société, ce que l’organisation a rapidement détecté.

Au-delà du partage de l’activité suspecte aux autorités, il a été confirmé que le candidat recruté était un agent de la Corée du Nord. Heureusement, l’entreprise n’a souffert d’aucun dommage ou perte à la suite de cet incident et a intelligemment transformé cette mauvaise expérience en une opportunité pour tous d’en apprendre plus sur ces attaques.

Face à ces attaques deepfakes, quelles sont les bonnes pratiques pour se protéger ?

Puisqu’il n’y a pas de technique infaillible pour déjouer un deepfake, les organisations doivent adopter une défense multidimensionnelle.  Tout d’abord, réfléchir de manière critique et être alerte sur les potentielles attaques sont les réflexes à adopter. N’importe quel employé peut être la cible d’un cybercriminel opportuniste, peu importe qu’ils utilisent les deepfakes ou une autre méthode. Former les employés à être vigilants leur permettra d’être plus à même, individuellement, de reconnaitre des techniques comme les deepfakes ou d’autres signes de manipulation. Il est impératif que chacun dans l’entreprise soit éveillé, ait un avis critique et soit sceptique face à n’importe quelle requête « urgent » paraissant insistante.

Ensuite, surveiller continuellement et protéger les accès aux données sensibles au sein de l’entreprise est nécessaire car les conséquences peuvent être catastrophiques si les données d’un employé sont volées ou contrefaites. Surveiller sans cesse et protéger les accès sont des étapes importantes pour limiter tout risque d’exposition des données.

La totalité des contenus doit être vérifiée : les outils d’investigation informatique analysent les contenus vidéos et permettent d’identifier les signes de manipulation, ce qui aide à valider leur authenticité. Valider la source et croiser les sources fiables peuvent être bénéfique pour garantir l’authenticité du contenu. 

Pour finir, une transparence doit être garantie au sein des échanges internes. Les incidents cités précédemment soulignent l’importance de partager activement en interne les diverses informations. Le partage permet une meilleure connaissance des pratiques utilisées, ce qui permettra de lutter plus efficacement contre ces campagnes de désinformations auxquelles les entreprises font face. 

Les deepfakes représentent une menace considérable et en plein essor pour les entreprises. C’est à chacun de s’intéresser plus en profondeur au sujet et d’observer minutieusement chaque détail pour déceler les potentielles cyberattaques deepfakes.