Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Deepfakes : comment les entreprises peuvent-elles se protéger ?

février 2024 par Melissa Bischoping, Directrice de la recherche sur la sécurité des endpoints chez Tanium

Fin janvier, un employé d’une multinationale basée à Hong Kong a
été la victime d’une arnaque dont le préjudice est estimé à plus
de 25 millions de dollars [2]. Participant à une visioconférence avec
son supérieur et plusieurs de ses collègues, il a effectué plusieurs
versements sur les comptes bancaires des escrocs sans se douter que les
personnes présentes lors de la réunion étaient en réalité des
deepfakes générés par l’IA. Les commentaires de Melissa Bischoping,
Directrice, Endpoint Security Research chez Tanium :

« Dans le paysage de l’usurpation d’identité et des escroqueries, les
"deepfakes" sont à la pointe de l’innovation.

Les cybercriminels tentent constamment de contourner les efforts de
lutte contre la fraude et de vérification des identités par des
méthodes créatives qui contournent les étapes de validation que seul
un "humain" devrait être en mesure d’accomplir. On pense souvent aux
premières versions des captchas qui exigeaient que la saisie de
combinaisons de chiffres et de lettres, avant d’évoluer vers des
puzzles et des diagrammes plus complexes. Un captcha saisi seul est
souvent insuffisant pour protéger certains processus sensibles, tels
que les transactions financières et les échanges de crypto-monnaies.

Alors que les applications de deepfake sont capables de construire des
images de pièces d’identité en apparence légitime ou même des
vidéos de personnes qui n’existent pas, les plateformes qui s’appuient
sur la vérification d’identité tentent de garder une longueur
d’avance, en exigeant des "preuves de vie" plus complexes pour vérifier
que vous êtes bien une personne réelle. Récemment, lors de
l’utilisation d’une plateforme financière, j’ai dû enregistrer une
vidéo de moi en train de tourner la tête selon un schéma spécifique,
tout en tenant ma carte d’identité. Ce genre d’exercice m’a semblé un
peu farfelu, jusqu’à ce que je réalise qu’il serait beaucoup plus
difficile pour une personne générée par une application de simuler,
avec précision, le même mouvement de tête que celui que j’étais
capable de produire. Le risque, cependant, est que les méthodes et les
données que j’utilise pour "prouver" mon existence en tant qu’être
humain puissent servir à former de meilleurs modèles pour détecter ou
imiter les humains à l’avenir.

Le terme inquiétant de "deepfake" évoque généralement des
opérations criminelles, mais il existe un marché légal pour cette
technologie. De nombreux éditeurs de logiciels ont vu le jour et
présenté des possibilités d’utilisation des capacités de "deepfake"
dans l’industrie du divertissement, généralement avec le consentement
du "modèle" sur lequel elles se sont basées. Vous pouvez même
archiver votre empreinte vocale pour qu’elle soit utilisée si vous
êtes atteint d’une maladie qui vous empêche de parler tout seul. Les
technologies utilisées pour créer des "deepfakes" sont également
essentielles pour détecter les abus. Comme pour toute technologie
puissante, la légalité réside dans l’intention, le consentement et la
transparence.

Les menaces que représentent les "deepfakes" sont réelles. Au-delà
d’une simple fausse identité pour une transaction frauduleuse, ces
"deepfakes" peuvent entraîner des traumatismes psychologiques et nuire
à la réputation d’un individu. Au cours du mois dernier, nous avons
assisté à une campagne d’ingérence électorale aux Etats-Unis par le
biais de deepfakes, ainsi qu’à l’exploitation largement médiatisée
des images de Taylor Swift. Ces abus de deepfakes ont été très
médiatisés, mais ils ne sont pas nouveaux. De plus, les victimes de
ces crimes sont de plus en plus nombreuses. Lorsque l’on sait que les
"deepfakes" sont capables d’escroquer nos proches, d’infliger des
traumatismes psychologiques, de ruiner des carrières ou d’influencer le
cours de la démocratie, il est évident que l’éducation, la
réglementation et une détection tout aussi sophistiquée joueront un
rôle dans la protection de la société.

Aujourd’hui, la plupart des employés ont reçu une formation sur la
manière de repérer les tentatives d’escroquerie telles que l’arnaque
au président ou bien un faux appel téléphonique d’un membre de la
famille qui aurait subi un accident et demanderait de l’argent. Nous
devons élever le niveau de nos campagnes d’éducation et de
sensibilisation afin de faire comprendre que les "deepfakes" existent,
tout en employant des couches de vérification supplémentaires pour les
processus et les opérations sensibles - il ne suffit plus de faire
confiance à un SMS, un appel téléphonique ou même un appel vidéo
pour vérifier une identité. Si quelqu’un vous contacte pour effectuer
une transaction à titre personnel ou professionnel, il est toujours
préférable de demander une vérification supplémentaire lorsque vous
n’êtes pas en mesure de vérifier physiquement l’identité de la
personne au téléphone.

Souvent, le simple fait de raccrocher et d’appeler un numéro de
contact connu et fiable de la personne qui vous a supposément contacté
permet de démasquer l’escroquerie. Dans les entreprises, il est
nécessaire de mettre en place des processus qui reposent sur des formes
d’authentification plus robustes, limitant la possibilité d’une
usurpation par une IA - les clés de sécurité FIDO2, les approbations
et vérifications par plusieurs personnes sont un bon point de départ.
 »


Voir les articles précédents

    

Voir les articles suivants