Garantir la confiance numérique à l'ère des deepfakes et de l'ingénierie sociale

L'ingénierie sociale et les deepfakes, nouvelles techniques favorisées par les avancées considérables de l'IA, participent à éroder la confiance vis-à-vis de l'écosystème numérique.

Pour y faire face, éduquer les utilisateurs, renforcer les mécanismes d’identification et faciliter la coopération public-privé devient une urgence stratégique.

Le fléau de l’ingénierie sociale pour les particuliers et entreprises

Qui eut cru que la psychologie s’inviterait un jour dans la boîte à outils numérique des cyberpirates ? Car c’est bien par le biais de la manipulation émotionnelle que l’ingénierie sociale atteint ses objectifs : en créant la panique ou la peur pour pousser le consommateur ou le professionnel à agir dans le sens souhaité par le pirate. Faux conseiller bancaire demandant une action urgente sur l’application bancaire sous peine de subir un prélèvement indu, faux messages d’opérateurs alertant sur un prélèvement ou une résiliation en cours... Comme toujours en cas de danger, l’émotion inhibe la réflexion rationnelle et pousse les consommateurs à l’erreur. En 2023, 74 % des cyberattaques dans les PME européennes impliquaient une forme d’ingénierie sociale (1).

Les deepfakes, un marché en pleine croissance

Autre manipulation frauduleuse digne de la science-fiction, les deepfakes. Générés par l’intelligence artificielle, ces vidéos ou ces audios imitent à la perfection voix, visages et gestes, réussissant à leurrer les particuliers et parfois même les professionnels. En février 2024, en usurpant l’apparence du CFO pendant une visio-conférence grâce à un deepfake, un fraudeur a réussi à se faire transférer plus de 25 millions de dollars par une entreprise multinationale située à Hong Kong (2). Ce phénomène est en pleine croissance : le marché mondial des deepfakes à usage malveillant a atteint les 79 millions de dollars fin 2024 (3).

Sensibiliser à la fraude numérique : une étape indispensable

Selon une enquête menée par YouGov, 67 % des Français ne savent pas ce qu’est un deepfake tandis que 61 % d’entre eux ne connaissent pas le terme d’ingénierie sociale (5). Une ignorance qui s’explique par plusieurs facteurs : d’abord, par la complexité des techniques utilisées et ensuite, par la rareté des campagnes de sensibilisation. Le manque de vigilance peut également s’expliquer par le retard culturel français en matière d’usages numériques : le fait de sécuriser ses identifiants en ligne, avec des mots de passe complexes et uniques ou par le biais d’un coffre-fort numérique, n’est pas encore entré dans les mœurs des Français, contrairement au fait de sécuriser son domicile. De plus, grâce aux informations partagées sur les réseaux sociaux, les pirates peuvent profiler précisément leurs cibles, ce qui facilite les attaques psychologiques.

Biométrie et identités numériques : remparts de la lutte contre la fraude

L’une des pistes de solutions consiste à faire de la vérification d’identité une étape systématique pour accéder à toute application ou usage numérique. Celle-ci doit être basée sur des documents réels et s’appuyer sur des technologies biométriques. En effet, la double authentification (ou 2FA) - combinant mot de passe et code unique transmis par téléphone - est susceptible d’être contournée par des techniques de manipulation des émotions, l’individu paniqué donnant lui-même ses identifiants bancaires par exemple. Alors que la biométrie - accès par la reconnaissance du visage, de la main ou de la voix - agit comme un verrou, un deepfake étant incapable de reproduire parfaitement ces éléments propres à chaque individu. De plus, il existe des systèmes d'authentification avancés qui savent détecter les signes d’une injection vidéo ou la présence d’une personne en arrière-plan, des indices qui signalent une potentielle manipulation ou une coercition. Toutes ces solutions permettent de vérifier que l’utilisateur est bien un individu réel, et pas une image synthétique.

Accroître l’éducation numérique pour minimiser les risques

Néanmoins, toutes ces technologies ne sauraient remplacer une bonne sensibilisation du plus grand nombre. Celle-ci permettra à l’utilisateur d'être plus vigilant et de mieux détecter les signaux faibles : des demandes inhabituelles, le sentiment d’urgence excessive ou une pression qui confine au harcèlement. Certaines entreprises utilisent d’ores et déjà des campagnes de phishing en interne pour tester la vigilance de leurs employés, une pratique vertueuse qui doit être généralisée. Pour ce qui concerne nos pratiques en ligne, nous devons prendre l’habitude de gérer nos actifs numériques (outils informatiques, applications ou sites favoris), comme nous gérons nos biens physiques, en développant une culture de la prudence, en maîtrisant nos paramètres de confidentialité et en adoptant une hygiène numérique rigoureuse (utiliser des mots de passe complexes, éviter de partager des informations privées sur les réseaux sociaux, etc…).

La règlementation, pilier de la confiance numérique

Enfin, pour éradiquer ces pratiques, il est indispensable de mettre en place une coopération étroite entre acteurs publics et privés. Comme le fait l’ANSSI en France, plusieurs initiatives européennes militent déjà pour l’utilisation de moyens de vérification certifiés, plus particulièrement pour l’accès à des services sensibles : transferts financiers, données de santé. Ce projet d’identité numérique européenne se décline déjà dans l’hexagone sur France Connect+, avec le recours à des wallets d’identité numérique. Leur objectif est d’assurer un équilibre subtil entre un niveau de sécurité substantiel et une expérience utilisateur fluide et inclusive. En effet, la réglementation doit être rigoureuse, mais ne doit pas alourdir et complexifier l’usage en ligne. Des solutions trop contraignantes nuiraient à la bonne adoption de ces usages. Seule une approche concertée, basée sur la transparence, la flexibilité et l’innovation, est gage d’efficacité et de résilience.

Même si des outils existent pour se prémunir de l'ingénierie sociale et des deepfakes, seules une prise de conscience ainsi qu’une montée en compétences des consommateurs, jointes à une coopération étroite entre les entreprises et les pouvoirs publics, permettront de préserver la confiance dans l’écosystème numérique. Identification, prévention et pédagogie sont les maîtres-mots de cette cyberstratégie offensive.

1. ENISA – Threat Landscape 2024 : https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

2. https://www.capital.fr/economie-politique/deepfake-piege-en-visioconference-il-transfert-25-millions-de-dollars-a-des-escrocs-1491622

3. Spiralytics, Deepfake Statistics, 2024 : https://www.spiralytics.com/blog/deepfake-statistics/

4. Etude YouGov x IDnow – Fraude bancaire : enquête sur la confiance des Français envers leur banque - 2024