Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les deepfakes, nouvelle menace pour les entreprises

janvier 2021 par Nir Chako, Cyber Research Team Leader du CyberArk Labs

Les deepfakes sont des vidéos, des enregistrements audio et des images truqués, qui permettent de manipuler les gestes, les expressions faciales et la voix d’une personne réelle. Du fait des avancées technologiques en la matière, il est désormais extrêmement difficile de savoir si le document est authentique ou non. Les cybercriminels pourraient donc se faire passer pour des personnes haut placées afin d’inciter les clients, salariés, ou partenaires à cliquer sur des liens malveillants ; créant ainsi des attaques de grande envergure.

Nir Chako, Security Research Team Leader chez CyberArk, explique les cybermenaces liées à cette pratique :

« Les deepfakes ont le potentiel de devenir une caractéristique clé des attaques menées contre les entreprises, amplifiant les techniques d’ingénierie sociale existantes en les rendant encore plus crédibles. Il est déjà possible de se procurer des contenus deepfake sur le Dark Web, et il est aisé pour les cybercriminels de récupérer des vidéos et des enregistrements de dirigeants sur les réseaux sociaux de leurs entreprises, les supports marketing ou via les activités en ligne des employés, par exemple. Les documents fallacieux générés ainsi agissent comme une suite stratégique aux tentatives de phishing. Nous avons déjà vu des attaquants s’immiscer dans des plateformes, telles que des applications de discussion instantanée et de collaboration, pour rendre leurs communications plus crédibles, en complément de méthodes traditionnelles, telles que le phishing par e-mail.

Avec la sophistication des deepfakes, les hackers profitent du niveau de confiance naturelle que nous avons envers des formats tels que la vidéo ou les communications verbales. Compte tenu de la fréquence à laquelle les vidéos des PDG, ou d’autres hauts responsables, sont publiées sur internet - et donc accessibles très facilement - il est désormais envisageable d’imaginer une campagne en deux étapes : des e-mails de phishing, suivis d’un message vidéo ou audio urgent du PDG à des employés, pour ajouter de l’authenticité au courriel initial. Finalement, plus il y a de vidéos et d’audios d’une personne en ligne, plus l’identité de cette dernière sera manipulée.

Les deepfakes ont le potentiel de changer complètement le paysage du phishing. Nous prévoyons que les cybercriminels développeront prochainement des deepfakes, dans lesquels ils mettront en avant un collègue en position de confiance – par exemple un membre de l’équipe informatique – pour envoyer à leurs contacts qui ne se méfient de rien, une série d’appels vidéo pour gagner leur confiance. L’objectif est d’obtenir de la part des victimes leurs identifiants, et d’utiliser ces derniers pour accéder aux systèmes.

En ces temps de pandémie, beaucoup d’employés n’ont pas encore pu rencontrer leurs collègues nouvellement arrivés dans l’entreprise, et n’ont pas vu non plus leurs collaborateurs habituels, depuis parfois plusieurs mois. En fait, cette technique est susceptible d’avoir déjà été utilisée dans des attaques, mais sa nature très ciblée induit d’importants efforts pour la dissimuler et donc des difficultés à l’identifier. »




Voir les articles précédents

    

Voir les articles suivants