Les DSI, RSSI et autres dirigeants d'entreprise doivent se préparer à des attaques assistées par l'IA qui utilisent des appels vocaux, des vidéos et des visioconférences réalistes, mais truqués, explique Michael Hasse, consultant de longue date en cybersécurité et en IT. Certes, les deepfakes impliquant des appels vocaux n'ont rien de nouveau. Michael Hasse se souvient d'avoir fait une présentation sur le sujet à des sociétés de gestion d'actifs dès 2015, après que certaines entreprises du secteur ont été victimes d'escroqueries basées sur cette approche.
Cependant, depuis 2015, les technologies d'IA utilisées pour créer les deepfakes se sont non seulement améliorées de façon considérable, mais elles sont également devenues largement disponibles, note le consultant. Selon lui, le principal obstacle à l'utilisation généralisée des deepfakes par les cybercriminels reste l'absence d'un outil complet et facile à utiliser pour créer des sons et des vidéos truqués.
Les deepfakes, un risque pour le crédit
Mais une telle usine à deepfakes ne devrait pas tarder à voir le jour, prédit-il. Et il est probable qu'elle commencera à circuler dans le milieu criminel avant les élections américaines de novembre, les campagnes politiques étant les premières visées par ce type d'attaques. « Toutes les pièces du puzzle sont déjà là, affirme Michael Hasse. La seule chose qui nous a empêchés de voir ce phénomène inonder tout le monde, c'est qu'il faut du temps aux malfaiteurs pour intégrer tous ces composants. »
Les experts en cybersécurité ne sont pas les seuls à mettre en garde contre le risque que représentent les deepfakes pour les entreprises. En mai, l'agence de notation Moody's a lancé un avertissement à ce sujet, affirmant que les deepfake créaient de nouveaux risques de crédit. Le rapport de Moody's détaille une poignée de tentatives d'escroquerie exploitant cette technique, y compris de faux appels vidéo ciblant le secteur financier au cours des deux dernières années.
« Les pertes financières attribuées aux fraudes de type deepfake sont en train de devenir une menace importante, indique le rapport. Les deepfakes peuvent être utilisés pour créer des vidéos frauduleuses de responsables de banques, de dirigeants d'entreprises ou de fonctionnaires afin de susciter des transactions financières ou des paiements frauduleux. »
« Nous n'avons pas d'outils de détection efficaces et nous n'en aurons pas »
Les escroqueries de type deepfake existent déjà, mais l'ampleur du problème est difficile à évaluer, explique Jake Williams, membre de l'université d'IANS Research, une société de recherche et de conseil en cybersécurité. Dans certains cas, les escroqueries ne sont pas signalées afin de préserver la réputation de la victime, et dans d'autres cas, les victimes d'autres types d'escroqueries peuvent blâmer les deepfakes qui deviennent une couverture pratique pour leurs erreurs, dit-il. En même temps, toute défense contre les deepfakes via la technologie s'annonce inévitablement fastidieuse - imaginez un outil de détection écoutant tous les appels téléphoniques des employés - et elle pourrait avoir une durée de vie limitée, les technologies d'IA progressant rapidement. « Le phénomène est difficile à mesurer parce que nous n'avons pas d'outils de détection efficaces et que nous n'en aurons pas », juge Jake Williams, un ancien hacker de la NSA américaine. « Suivre l'évolution de la situation s'annonce donc difficile », pronostique-t-il.
Si certains pirates n'ont peut-être pas encore accès à une technologie de deepfake de haute qualité, simuler des voix et des images lors d'appels vidéo à faible bande passante est devenu trivial, observe Jake Williams. À moins que votre réunion Zoom ne soit de qualité HD ou supérieure, un échange de visages peut suffire à tromper la plupart des gens.
Fausse campagne de phishing et vrai deepfake
Kevin Surace, président de Token, spécialisée dans l'authentification multifactorielle, peut apporter un témoignage de première main sur le potentiel des imitations vocales. Il a récemment reçu un courriel de l'assistante de l'un des investisseurs de Token, mais il a immédiatement identifié le courriel comme étant une escroquerie par hameçonnage. Kevin Surace a alors appelé l'assistante pour l'avertir que des courriels de phishing étaient envoyés à partir de son compte, et la voix à l'autre bout du fil ressemblait exactement à celle de l'employée, dit-il. Lorsque la voix à l'autre bout du fil a commencé à répondre bizarrement au cours de la conversation, il lui a demandé de lui parler de ses collègues, et la voix n'a pas reconnu leurs noms.
Il s'est avéré que le numéro de téléphone figurant dans l'e-mail de phishing était différent d'un chiffre du véritable numéro de l'assistante. Le faux numéro de téléphone a cessé de fonctionner quelques heures après que le dirigeant de Token a détecté le problème.
Les criminels qui veulent simuler une voix n'ont désormais besoin que de quelques secondes d'enregistrement, et la technologie permettant de créer des simulations vidéo réalistes en direct s'améliore de plus en plus, souligne Kevin Surace, connu comme le père de l'assistant virtuel pour son travail sur Portico chez General Magic dans les années 1990. Les gens vont dire : « Ce n'est pas possible, dit-il. Pourtant, c'est arrivé à quelques personnes, et si c'est arrivé à trois personnes, ce sera bientôt 300, puis 3 000, et ainsi de suite. »
Extension du domaine du faux
Jusqu'à présent, les deepfakes visant le monde de l'entreprise se sont concentrés sur l'incitation à transférer de l'argent aux criminels. Mais Kevin Surace pense qu'ils peuvent également être utilisés à des fins de chantage ou de manipulation d'actions. Si le montant du chantage est suffisamment bas, les PDG ou d'autres personnes ciblées peuvent décider de payer au lieu de tenter d'expliquer que la personne sur la vidéo compromettante n'est pas vraiment eux.
Comme Michael Hasse, Kevin Surace prévoit pour bientôt une vague de deepfakes. Et s'attend à ce que de nombreuses tentatives d'escroquerie, comme celle dont il a été la cible, soient déjà en cours. « Les gens ne veulent parler à personne de ce qui se passe, explique-t-il. Ils payent 10 000 dollars et passent l'éponge en se disant : 'c'est la dernière chose dont je veux parler à la presse' ».
Exploiter les informations des réseaux sociaux
L'utilisation généralisée des deepfakes est peut-être proche, mais il reste quelques obstacles. L'absence d'un logiciel facile à utiliser pour en créer, donc. Mais aussi, une puissance de calcul que certains cybercriminels ne possèdent pas. En outre, les escroqueries à base de deepfakes ont tendance à fonctionner comme des attaques ciblées, comme le « whale phishing » (technique d'hameçonnage ciblant des décideurs ou reposant sur leur poids dans l'organisation), et il faut du temps pour rechercher la ou les proies.
Les victimes potentielles aident toutefois les cybercriminels en fournissant une multitude d'informations sur les réseaux sociaux. « Les malfaiteurs ne disposent pas encore d'un moyen hyper rationalisé de collecter les données des victimes et de générer des fausses informations de manière suffisamment automatisée, mais cela ne saurait tarder », affirme Michael Hasse.
Retour aux techniques anciennes
Avec l'arrivée probable de nouvelles escroqueries basées sur les deepfakes dans le monde de l'entreprise, la question qui se pose est de savoir comment faire face à cette menace croissante. Et la technologie permettant de générer ces illusions ne cessant de s'améliorer, il n'existe pas de réponse évidente à cette question.
Michael Hasse estime que la sensibilisation et la formation des employés seront importantes. Les employés et les cadres doivent être conscients des escroqueries potentielles, et lorsqu'un membre de l'entreprise leur demande de faire quelque chose de suspect, même s'il s'agit d'un appel vidéo, il faut qu'ils aient le réflexe de vérifier sa demande directement auprès de lui. Passer un autre appel téléphonique ou vérifier la demande par une conversation en face à face est une forme d'authentification multifactorielle à l'ancienne, mais elle fonctionne, souligne le consultant.
Lorsque le secteur de la gestion d'actifs a commencé à être victime d'escroqueries vocales il y a près de dix ans, les conseillers ont approfondi leur approche de la connaissance du client. Les conversations avec les clients ont alors débuté par des échanges sur leur famille, leurs loisirs et d'autres informations personnelles permettant de vérifier leur identité.
Dirigeants, mentez sur les réseaux sociaux
Un autre moyen de défense pour les dirigeants d'entreprise et autres employés aux fonctions sensibles consiste à mentir intentionnellement sur les médias sociaux afin de déjouer les attaques. « Je pense qu'à un moment donné, certaines fonctions au sein de l'entreprise nécessiteront une telle démarche », explique Michael Hasse. Selon lui, les entreprises d'une certaine taille doivent intégrer le fait que les comptes de médias sociaux des titulaires de postes sensibles sont surveillés. Les DSI, RSSI et autres dirigeants d'entreprise doivent être conscients de la menace et savoir qu'ils peuvent être ciblés, abonde Kevin Surace.
Son entreprise vend un dispositif d'authentification multifactorielle portable basé sur les empreintes digitales, et il pense que les produits MFA de la prochaine génération peuvent aider à se défendre contre les escroqueries basées sur les deepfakes. « La nouvelle génération de MFA doit être capable de vérifier rapidement et en toute sécurité les identités, par exemple chaque fois que les employés se connectent à une réunion Zoom », ajoute-t-il.
Jake Williams, de l'IANS, n'est pas sûr que les nouvelles technologies ou la formation des employés soient des solutions efficaces. Certaines personnes résisteront à l'utilisation d'un nouveau dispositif d'authentification, et la formation à la cybersécurité existe depuis longtemps, avec un succès limité, note-t-il. Les entreprises doivent plutôt mettre en place des processus, comme l'utilisation d'une application sécurisée lorsque les employés transfèrent de grosses sommes d'argent. L'utilisation d'un courriel ou d'un appel vocal pour demander un transfert d'argent important n'est pas sécurisée, mais certaines organisations continuent d'y recourir, déplore Jake Williams.
Pendant des siècles, les gens ont utilisé des voix et des images pour s'authentifier les uns les autres, mais cette époque est révolue. « La réalité, c'est que l'utilisation de la voix ou de l'image d'une personne pour l'authentifier a toujours été inadéquate du point de vue de la sécurité », juge l'ancien hacker de la NSA. « La technologie est en train de rattraper nos processus inefficaces et nos sous standards ».
Les deepfakes prêts à envahir les entreprises
Les deepfakes, fléau des célébrités et crainte des politiciens, sont sur le point s'attaquer au monde de l'entreprise, car les cybercriminels y voient un nouveau moyen de gagner facilement de l'argent.