Comment protéger les identités à l'ère des deepfakes ?

De la science-fiction aux réseaux sociaux, la technologie deepfake n'est pas un concept nouveau. Comment est-il alors possible de se protéger contre l'usurpation d'identité?

La technologie deepfake n’est pas un concept nouveau. Déjà en 1991, James Cameron mettait en scène dans Terminator 2, pour la première fois, un personnage entièrement généré par ordinateur avec des mouvements humains réalistes. Depuis, de nombreux personnages de fictions ont été créés de façon assez réaliste voire même attachante, et ce, à partir de simples pixels.

Ce processus qui était autrefois incroyablement long et couteux, et réservé à des experts, s’est aujourd’hui largement démocratisé. En 2021, un compte TikTok nommé @deeptomcruise a commencé à publier des vidéos humoristiques de la star hollywoodienne Tom Cruise. Avec plus de 5 millions d’abonnés, ce compte s’est transformé en une entreprise d’IA générative de premier plan, à travers Metaphysic.ai, permettant de générer des vidéos très réalistes, et ce, grâce à l’IA générative. Si cet exemple peut faire sourire, aujourd’hui, d’autres types de vidéos de deepfake se répandent comme une traînée de poudre. L’une des victimes les plus récentes étant la superstar de la pop Taylor Swift. S’il ne fait aucun doute que ces vidéos douteuses ne sont pas réelles, les images générées par l’IA sont trompeuses et rendent les internautes de plus en plus sceptiques sur la véracité de leur origine. Alors que cette année, plusieurs grands événements auront lieu tels que les Jeux Olympiques et Paralympiques 2024 de Paris ou encore des élections nationales majeures au Royaume-Uni, en Europe et aux Etats-Unis, comment est-il possible de se protéger contre les effets négatifs de ces faux contenus qui usurpent nos identités ?

Le réalisme et les risques des deepfakes modernes

Aujourd’hui, la grande majorité des cyberattaques sont liées à l’identité. Cela signifie que peu d’entreprises ont réellement entrepris un parcours précis en matière de sécurité des identités. Cependant, et au vu de la porte d’entrée que cela représente pour les attaques, elles devraient voir cela non comme une dépense mais comme une des principales priorités d’investissement.

L'identité est un élément essentiel de la cybersécurité. Sur le plan commercial, l’identité signifie que l’on sait qui accède à quelle information. Par le passé, il s’agissait généralement d’une personne ou d’un groupe de personnes qui accédaient à une base de données ou une application. Aujourd’hui, les personnes qui accèdent aux informations au sein d’une entreprise ne sont plus seulement les salariés en interne, mais s’étendent aux partenaires et sous-traitants, voire parfois à des solutions technologiques voires d’intelligence artificielle. Quant aux informations disponibles, elles passent par de plus en plus de systèmes, de boites mails et de points d’entrée ; il est donc de plus en plus difficile de filtrer les identités et de sécuriser les données contre les menaces croissantes. Même les mesures de sécurité que l’on pensait auparavant être les plus avancées et étanches possibles, comme la reconnaissance vocale, ne font aujourd’hui plus le poids face aux risques actuel que l’on rencontre avec l’IA.

L'usurpation d’identité va d’ailleurs très loin si l’on regarde le récent exemple de France 24 et de la tentative de désinformation dont le média a été victime, au même titre qu’Emmanuel Macron. Cette fausse information soutenait que le président avait été la cible d’une tentative d’assassinat lors d’une récente visite en Ukraine. Malgré les démentis concernant cette intox, le partage de cette vidéo continue de générer des interrogations et d’être relayée. Et c’est dû au pouvoir de persuasion immédiate de la vidéo permis par cette technologie, bien que cela dépasse l’entendement. D’ailleurs, à mesure que cette technologie continuera de progresser, les cybercriminels seront de plus en plus en mesure d’en abuser, et de mettre à mal les obstacles sécuritaires qui se fixent devant eux.

L'impact plus large et réel de l'IA générative

C’est désormais à l’encontre de l’opinion publique que les dérives du deepfake sont inquiétantes. Depuis une quinzaine d’années, il est évident qu’Internet et les réseaux sociaux ont influencé les événements dans le monde réel, de l’utilisation de Facebook dans les campagnes présidentielles de la fin des années 2000, au scandale d’analyse des données personnelles de Cambridge Analytics en 2018. Mais le plus gros chamboulement réside dans la manière dont les algorithmes au quotidien contrôlent la manière dont nous sommes exposés aux idées et aux informations. Ils façonnent inconsciemment l’opinion que l’on se fait sur des sujets. Dans les années à venir, le risque se porte sur le pouvoir grandissant des deepfakes et ces vidéos dont il est de plus en plus difficile de deviner si elles sont réelles ou pas. Vont-ils encore se perfectionner et influencer la politique, simplement à travers de fausses informations toujours plus difficiles à détecter ? 

Depuis plusieurs mois, les deepfakes de personnalités politiques faisant des déclarations frappantes, choquantes ou déconcertantes se sont accélérées. Volodymyr Zelenskiy, Donald Trump ou encore Joe Biden en sont les exemples les plus notables puisque ces vidéos ont trompé les spectateurs en leur faisant croire qu’elles étaient réelles. Certains peuvent encore douter sur la nature de ces vidéos et le danger est bien là, que cette technologie puisse perturber le sens critique et la confiance du grand public. Elle pourrait changer drastiquement la confiance que l’on a de nos responsables politiques et le crédit que l’on peut leur accorder. Les prochaines élections législatives au Royaume-Uni, les élections européennes et la présidentielle américaine seront des tests sur le sujet. Mais il en est de même pour les prochains JO de Paris 2024.

Ne plus reculer dans l’investissement contre l’ennemi

Finalement, déjouer ne serait-ce qu’une seule cyberattaque peut permettre d’économiser des millions face aux potentielles pertes de revenus, en amendes réglementaires et en atteinte à la réputation. Pourtant, ce qui freine aujourd’hui l’investissement dans la sécurité des identités, ce sont les contraintes budgétaires. Et même si dans le contexte actuel, les économies sont compréhensibles, vouloir sauver quelques milliers euros lorsqu’un danger réel est à notre porte n’est tout simplement plus approprié. Les équipes en sécurité informatique au sein des entreprises doivent disposer d’outils nécessaires pour se défendre convenablement contre ces types d’attaques.

Bien heureusement, même si les technologies d’IA deviennent plus accessibles, il en est de même pour les outils de sécurité. Les plateformes d’identité qui tirent parti de l’automatisation et de l’IA permettent aux entreprises de faire évoluer les capacités liées à l’identité bien plus rapidement que les entreprises qui n’en disposent pas. Aujourd’hui, l’investissement dans des outils de ce type doit être la seule chose que nous pouvons prendre comme argent comptant pour une protection des identités efficace.