Deepfakes - C'est pas moi, c'est le robot!

Les infâmes deepfake d'êtres chers prétendant être kidnappés donnent une image sinistre de ce que les futurs deepfakes - des vidéos spécialement construites à partir de données réelles – laissent présager en matière de technologie. Une fois que l'apprentissage automatique a ingéré les innombrables images créées chaque jour à la manière des selfies d'Instagram, il peut reproduire une voix, une image et une vidéo très claires d'une personne en question, mais avec une fausse communication spécialement conçue pour faire croire que cette personne a de gros problèmes.

La technologie n'était pas censée faire cela - elle était censée aider.

En commençant par de faux appels téléphoniques, synthétisés en traitant des clips audio de votre patron qui vous demande de transférer de grosses sommes d'argent, la prochaine génération de deepfakes promet des voix trop claires et convaincantes pour être contestées.

Alimentez suffisamment de données dans un système d'apprentissage automatique et cette voix devient effroyablement proche de la réalité, comme on l'a vu en 2019 dans une audacieuse attaque en temps réel basée sur l'audio contre une société d'énergie basée au Royaume-Uni, la dupant de 243 000 dollars américains.

Lors d'une présentation sur le sujet à Black Hat USA 2021, le Dr Matthew Canham, professeur de recherche en cybersécurité à l'Institut de simulation et de formation de l'Université de Floride centrale, a déclaré qu'il y avait eu une augmentation de 820 % des attaques de robots de cartes-cadeaux électroniques depuis le début du verrouillage de COVID-19, souvent en se faisant passer pour le patron qui demande à un employé de commander les cartes. L'attaque commence par une phrase d'introduction générique, « Es-tu occupé? », et lorsque la victime répond, l'auteur déplace la discussion vers un autre canal, comme le courriel, et l'éloigne de l'automatisation du robot.

L'exemple des cartes-cadeaux et des messages textuels et électroniques représente une attaque d'ingénierie sociale de base. Combinée à la technologie du deepfake, elle permet à l'acteur de la menace d'usurper la vidéo et l'audio pour se faire passer pour un patron ou un collègue, la demande d'action peut causer un problème plus important. La perspective d'une attaque de phishing prenant la forme d'une conversation vidéo avec une personne que l'on croit réelle devient très réelle. Il en va de même pour une vidéo deepfake d'un être cher prétendument enlevé.

Dr Canham a également souligné que la technologie deepfake peut également être utilisée pour accuser des personnes de quelque chose qu'elles n'ont jamais fait. Une vidéo montrant une personne se comportant de manière inappropriée pourrait avoir des conséquences pour cette personne, même si elle est falsifiée. Imaginez un scénario dans lequel un collègue porte une accusation et l'étaye par une preuve vidéo ou vocale qui semble irréfutable. Il peut être difficile de prouver que ce n'est pas réel.

Cela peut sembler hors de portée de la personne normale et aujourd'hui, il peut être difficile de créer. En 2019, le journaliste Timothy B. Lee, d'Ars Technica, a dépensé 552 $ US pour créer une vidéo deepfake raisonnable à partir de séquences de Mark Zuckerberg témoignant devant le Congrès, en remplaçant son visage par celui du lieutenant commandant Data de Star Trek : The Next Generation.

Pouvez-vous faire confiance à vos yeux et vos oreilles?

Dr Canham a suggéré quelques mesures proactives très utiles que nous pouvons tous prendre pour éviter de telles escroqueries :

• Créez un mot secret partagé avec les personnes en qui vous pourriez avoir besoin de faire confiance : par exemple, un patron qui pourrait demander à ses employés de transférer de l'argent pourrait avoir un mot communiqué verbalement et connu seulement entre eux et le département des finances. Il en va de même pour les personnes susceptibles d'être enlevées... un mot ou une phrase de preuve de vie qui signale que la vidéo est réelle.
• Convenez avec les employés des actions que vous ne leur demanderez jamais de faire; si la commande de cartes-cadeaux est une action à ne jamais faire, assurez-vous que tout le monde le sait et que toute demande de ce type est une fraude.
• Utilisez des canaux d'authentification multifactorielle pour vérifier toute demande. Si la communication commence par un texte, validez en contactant la personne à l'aide d'un numéro ou d'une adresse électronique que vous savez qu'elle possède et qui n'a pas été demandé lors du contact initial.

L'utilisation de la technologie pour créer des vidéos ou des fichiers audio malveillants est une opportunité que les cybercriminels ne manqueront pas de saisir et, comme le montre l'exemple de la société d'énergie britannique, elle peut être très rentable. Les actions proactives suggérées ci-dessus sont un point de départ. Comme toujours en matière de cybersécurité, il est important que nous restions tous vigilants et que nous commencions par nous méfier lorsque nous recevons des instructions, jusqu'à ce que nous les validions.