Comme chaque année depuis 20 ans, le Clusif a organisé sa conférence annuelle sur la cybercriminalité. Avec l’arrivée des deepfakes dans le paysage de la menace cyber, un nouveau défi est lancé aux entreprises. Que peuvent-elles faire pour contrer ce péril ?
Lorsqu’un chef comptable reçoit un coup de téléphone de son patron lui demandant de virer 10 M$ sur un compte à l’étranger, l’employé s’exécute immédiatement, sans soupçonner qu’il vient d’être manipulé par une deepfake. Après tout c’est le patron au téléphone. Sûr d’avoir reconnu la voix du boss, il ne se doute pas que cette voix synthétique a été recréée de toutes pièces par l’IA et l’apprentissage automatique. Cette histoire rapportée par le Financial Times inaugure une nouvelle ère dans l’histoire bien chargée de la cybercriminalité.
Pire encore, les deepfake peuvent utiliser la vidéo en temps réel aussi. Imaginez les dommages qu’une visioconférence entre un patron et son équipe de direction, et où le patron est modélisé par un escroc utilisant des techniques de rendu en temps réel et de face swapping pour reproduire les mimiques du grand chef.
Une technologie accessible et peu coûteuse
Utilisées jusqu’à présent pour manipuler l’information pour des raisons politiques, de manipulation des médias et même pour influencer les cours de bourse, les deepfake ont vu en 2019 leurs premières applications, connues, dans la cybercriminalité. Elles peuvent être utilisées pour extorquer de l’argent, mais aussi pour exfiltrer des informations (login-mot de passe par exemple), des documents ou même détourner des marchandises au bénéfice des malfaiteurs. Puisque c’est le patron, ou une personne détentrice de l’autorité nécessaire, qui l’ordonne, tout est possible.
Andrew B. Gardner, Senior Technical Director et responsable de l’IA/ML pour le Center for Advanced Machine Learning de Symantec explique qu’il n’y a pas de barrières à l’entrée, « les attaques sont peu coûteuses à mener [et] la qualité du faux contenu est si crédible » qu’il est presque impossible de démasquer la fraude. Alors que faire pour contrer ces attaques insidieuses ?
Le facteur humain et l’ingénierie sociale
Alors que les entreprises de sécurité informatique ont mis leurs chercheurs sur la piste de moyens technologiques pour contrer les deepfake, aucune solution n’est à l’heure actuelle disponible. La blockchain semble offrir les bonnes garanties, mais elle nécessite la collaboration des entreprises éditrices de solutions de sécurité et des entreprises dans un écosystème coordonné.
Il faut se concentrer sur l’humain, conseille l’expert de Symantec. Car le facteur humain reste le maillon le plus faible des mesures de sécurité aussi sophistiquées soient-elles. Et c’est dans une des plus vieilles technologies que les cyberescrocs voient le plus d’efficacité : l’ingénierie sociale. De plus, les deepfakes à but lucratif visent essentiellement les individus, contrairement à celles qui ont des visées de manipulation politique et une diffusion de masse. Il faut donc mettre en place des processus de paiement rigoureux et former lesdits employés.
Les deepfakes s’installent dans le paysage sécuritaire
Une autre solution consiste à surveiller les moyens de diffusion des deepfakes, les réseaux sociaux mais pas seulement, pour les contrer très tôt, avant qu’elles ne fassent des dégâts. Mais cette méthode ne peut contrer les attaques ciblées sur un employé en particulier. De plus, les entreprises ne disposent pas des compétences en interne pour traquer les deepfake. Il leur faut conclure des partenariats avec des entreprises spécialisées.
« Les deepfakes sont là pour de bon, explique Andrew B. Gardner, et elles pourraient un jour cibler votre entreprise. Alors, informez votre personnel à leur sujet, trouvez le bon partenaire pour les détecter et constituez une équipe capable de réagir aux deepfakes lorsqu’elles sont publiées ».
Sources : Clusif et Symantec