Les deepfakes sont en train de devenir l’une des menaces numériques les plus dangereuses de notre époque. Les voix et les vidéos sont aujourd’hui si convaincantes que même les spécialistes formés ont du mal à faire la différence entre le vrai et l’artificiel. Cela devient particulièrement risqué là où les identités sont vérifiées ou les décisions financières prises. Les entreprises doivent donc connaître leurs processus les plus vulnérables, utiliser des méthodes de contrôle modernes et sensibiliser leurs collaborateurs. Ce n’est qu’ainsi que la confiance restera un facteur stable dans un monde de plus en plus manipulé.
Les escroqueries ont toujours évolué parallèlement au développement technologique. Avec l’apparition de l’imprimerie, les faux documents ont fait leur apparition. Le téléphone a ouvert la porte aux arnaques par téléphone. L’Internet a conduit à l’apparition du phishing – et nous connaissons tous ces faux courriels « intrusifs » de quelqu’un qui se fait passer pour votre PDG. Nous sommes maintenant confrontés à quelque chose de bien plus sophistiqué : les deepfakes.
Les voix et vidéos générées par l’IA donnent aux escroqueries un nouveau degré de réalisme inquiétant. Elles font croire aux gens ce qu’ils voient et entendent – et c’est ce qui les rend siefficaces. De nombreuses organisations continuent de sous-estimer la gravité de cette menace.
Alors que se déroule le Mois de la cybersécurité sensibilisation, c’est le moment idéal pour parler des deepfakes – pourquoi ils sont différents, pourquoi ils sont importants et ce que nous pouvons faire pour les combattre.
Pourquoi les deepfakes sont différents des autres cybermenaces
On pourrait être tenté de considérer les deepfakes comme un « phishing 2.0″. Mais ils sont bien plus que cela. Les escroqueries de phishing traditionnelles jouent sur nos émotions – urgence, peur, curiosité.
Les deepfakes vont encore plus loin. Ils visent nos sens et notre confiance instinctive dans ce que nous voyons et entendons. Prenons le cas désormais célèbre de Hong Kong de l’année dernière : un employé des finances a transféré 25 millions de dollars américains après avoir participé à un appel vidéo avec son directeur financier – et six autres « collègues ». Chacun d’entre eux était un « deepfake ». Et il ne s’agissait pas de vidéos préenregistrées ; les attaquants agissaient en temps réel.
Ce qui est encore plus inquiétant, c’est qu’il ne s’agissait pas d’une opération complexe. N’importe qui avec un ordinateur digne de ce nom ou même un smartphone haurait pu le faire. La même technologie qui permet des filtres amusants dans les médias sociaux peut désormais être utilisée pour imiter de vraies personnes. Aujourd’hui, il suffit de trois secondes d’une voix pour la cloner de manière convaincante. Pour les vidéos, une seule bonne photo suffit.
Avec les agents d’IA intégrés dans les interactions avec les clients et les employés, la frontière entre l’homme et la machine devient de plus en plus floue. Cela conduit à de nouveaux cas d’abus.
Le jeu du chat et de la souris dans la lutte contre les deepfakes
Il y a un an ou deux, la plupart des deepfakes étaient facilement reconnaissables. La synchronisation des lèvres n’était pas bonne ou les yeux ne clignaient pas tout à fait correctement. Cette époque est révolue. Aujourd’hui, même les professionnels les plus expérimentés se laissent tromper par un deepfake bien fait.
C’est le défi auquel nous sommes confrontés : le jeu classique du chat et de la souris de la cybersécurité. Au fur et à mesure que les mesures de défense s’améliorent, les attaquants évoluent également. La technologie de détection des deepfakes s’améliore, mais la technologie pour les créer aussi. Il n’y aura probablement pas de détection technologique capable de reconnaître un deepfake à 100 %. Mais les entreprises peuvent tout de même faire beaucoup pour se protéger contre ces escroqueries.
C’est là que les entreprises devraient agir :
Détecter les processus les plus vulnérables
Déterminez d’abord quels sont les secteurs les plus vulnérables de votre entreprise. Il s’agit généralement de :
- Onboarding des utilisateurs
- Récupération de compte
- Interactions avec le service d’assistance
En bref : partout où des personnes sont invitées à confirmer leur identité – qu’il s’agisse d’employés, de clients ou de partenaires.
Déployer les bonnes technologies
Aucune solution uniquene peut éliminer complètement le risque, mais les bonnes technologies peuvent faire une grande différence. Les entreprises devraient rechercher des outils de vérification d’identité spécifiquement conçus pour les deepfakes. Des organisations comme le NIST évaluent et classifient ces outils, aidant ainsi les entreprises à comprendre lesquels fournissent réellement les services promis.
Thales utilise par exemple une « détection de la vivacité » basée sur l’IA pour analyser les mouvements minuscules et involontairesque même les meilleurs deepfakes ne peuvent pas reproduire. Les entreprises ont ainsi protégé leurs sessions d’authentification et d’embarquement contre ces menaces.
Former et habiliter les employés
Les gens ne peuvent pas toujours reconnaître les deepfakes au premier coup d’œil, c’est pourquoi la sensibilisation est importante. Les employés doivent savoir que ce qu’ils voient et entendent peut être manipulé.
La promotion d’une culture de scepticisme sain – en particulier en ce qui concerne les demandes financières sensibles ou les contrôles d’identité– est très utile à cet égard. La confiance c’est bien, le contrôle c’est mieux.
Conclusion : les deepfakes resteront – mais la confiance aussi
.
Les deepfakes ne disparaîtront plus. Ils deviendront seulement plus rapides, moins chers et plus réalistes. C’est pourquoi il est temps d’agir maintenant – pour rendre les processus plus résistants, pour tester des mesures de défense et pour créer une culture dans laquelle la confiance n’est pas supposée, mais méritée.
La confiance est l’un des biens les plus précieux d’une entreprise. Et à l’ère des deepfakes, il est plus important que jamais de défendre cette confiance. Pour en savoir plus sur la façon dont les solutions d’identité numérique et de vérification de Thales aident les entreprises à détecter et à prévenir les deepfakes, lisez ce billet de blog ici.
Auteur : Danny De Vreeze, VP Identity and Access Management chez Thales.
