Les deepfakes, la nouvelle menace des entreprises

Une récente étude, menée par les Universités d'Oxford, de Brown et de la Royal Society, démontre que 78 % des utilisateurs sont incapables de discerner une video deepfake d'une vidéo authentique.

Alors que des jeunes participent à un challenge sur TikTok, qu’un couple poste un selfie sur les réseaux sociaux, qu’un influenceur en devenir publie sa dernière vidéo sur YouTube, ils fournissent, sans le savoir, des données qui facilitent un nouveau format de fraude inquiétant pour les entreprises et les utilisateurs : les deepfakes. Cette nouvelle menace trompe les internautes par son réalisme lui permettant de les escroquer ingénieusement. En effet, une récente étude, menée par les Universités d’Oxford, de Brown et de la Royal Society, démontre que 78 % des utilisateurs sont incapables de discerner une video deepfake d’une vidéo authentique. Cette menace touche également les entreprises qui sont de plus en plus la cible de telles attaques afin de s’introduire dans les systèmes internes.

Un phénomène produit par des algorithmes

Les deepfakes tiennent leur nom de la technologie qui les façonne : le « Deep learning ». Ces algorithmes apprennent et enregistrent automatiquement un large ensemble de données sans besoin d’une intervention humaine. De plus, plus la base de données est importante, plus le rendu final est confondant  de réalisme.

Les deepfakes utilisent donc l’intelligence artificielle pour créer des fichiers vidéo et audio qui imitent parfaitement les traits d’une personne, en se basant sur des ressources disponibles en ligne, et notamment les réseaux sociaux. Les deepfakes sont créés pour différentes raisons : certaines légitimes, comme pour faire de l’humour ou divertir ; d’autres moins, comme faciliter la fraude, manipuler un auditoire à des fins politiques, ou encore propager des « fake news ».

La capacité de pouvoir mettre des mots dans la bouche de personnes puissantes, influentes ou dignes de confiance - à l’instar d’un PDG - est indéniablement préjudiciable. Ainsi, cette technologie peut être employée contre les entreprises sous diverses formes :

●       Extorsion : menacer de publier une vidéo deepfake compromettante d’un décisionnaire haut placé afin d’avoir accès aux systèmes internes, aux données ou aux ressources financières de l’entreprise ;

●       Fraude : imiter un employé et/ou un client pour s’introduire dans les systèmes internes, les données ou les ressources financières de l’organisation ;

●       Vol d’authentification : manipuler les authentifications qui s’appuient sur des technologies biométriques, comme les modèles vocaux ou la reconnaissance faciale, afin de mettre la main sur des données sensibles ;

●       Réputation : porter atteinte à la réputation d’une entreprise et/ou de ses employés auprès des clients et autres parties prenantes.

Evolution et types de fraude associés

Aujourd’hui, les modèles d’escroquerie traditionnels des entreprises, tels que le phishing ou la prise de contrôle de comptes, connaissent moins de succès ; du fait d’une sophistication des technologies de cyberdéfense, comme l’authentification multifactorielle. La baisse des bénéfices causée par ces nouvelles solutions a favorisé le recours à de nouveaux vecteurs d’attaques, notamment les deepfakes. Cette technologie est d’autre part devenue disponible en tant que service sur le darkweb, démocratisant ainsi leur usage chez les criminels plus novices. En outre, l’adoption massive des réseaux sociaux ces dernières années, poussant leurs utilisateurs à publier toujours plus d’images et de vidéos, ont été une mine d’or pour développer des campagnes deepfakes malveillantes.

Les cybercriminels utilisent les deepfakes pour mener à bien principalement trois types de fraude contre les entreprises :

●       Le vol d’identité : lorsqu’un escroc exploite les données d’une personne décédée afin de créer un deepfake qui peut être utilisé pour accéder à des services en ligne, demander une carte de crédit ou encore un prêt ;

●       L’usurpation d’identité synthétique : lorsque des fraudeurs exploitent les données de nombreux utilisateurs différents afin de créer la nouvelle identité d’une personne qui n’existe pas. Ce profil est alors manipulé pour faire des demandes de cartes de crédit ou effectuer des transactions importantes ;

●       La fraude à la carte bancaire : lorsque des profils volés ou créés sont utilisés pour ouvrir de nouveaux comptes bancaires. Les criminels maximisent alors les demandes de cartes de crédit et de prêts associés.

Une protection à la hauteur de la sophistication des attaques

Compte tenu de l’intensification et de la prévalence croissante de la fraude par les deepfakes, les entreprises doivent protéger leurs données, leur trésorerie et leur réputation par le biais de mesures clés. Ainsi, cette nouvelle menace est à intégrer dans la planification des scénarios  d’urgence et aux exercices de simulations de cyberattaques. Ces mesures devraient inclure la mise en place d’une pyramide des risques, d’une stratégie d’intervention accompagnée des procédures connexes et des mesures d’atténuation adéquates - notamment le processus de communication de crise, surtout si la réputation de la structure est en jeu.

De plus, la formation des employés par l’équipe cybersécurité aux risques spécifiques des deepfakes est indispensable. Comme pour toutes les cybermenaces, les collaborateurs représentent une ligne de défense, et ce, notamment en raison de l’utilisation des deepfakes dans les pratiques d’ingénierie sociale. Par ailleurs, favoriser les validations à deux étapes avec une vérification supplémentaire, les confirmations par appel téléphonique ou les ajouts de filigranes aux fichiers audio et vidéo, permet de limiter les tentatives de compromission des systèmes de sécurité. Enfin, les entreprises doivent souscrire à une assurance avant que la brèche ne soit effective, les assureurs ayant mis à jour leurs offres pour inclure les incidents deepfakes.

Les cybercriminels tirent profit des volumes de données à leur disposition à même de nourrir des algorithmes deepfakes. Alors que les utilisateurs et les organisations s’aventurent dans le monde du métavers et du Web3, les banques de données augmentent et avec elles les ressources pour alimenter encore davantage les deepfakes. Les équipes cybersécurité se doivent donc de rester à jour sur les nouvelles prouesses en matière de détection et autres innovations technologiques de lutte contre cette menace qui pourrait bien remplacer le classique lien de phishing.