@GettyImages
L’utilisation de deepfakes, des vidéos ou images manipulées, et plus généralement les techniques d’ingénierie sociale, est en constante augmentation. Entre 2021 et 2022, cette pratique a connu une hausse de 13%. Ces attaques à faible coût de réalisation mais très rentables sont accessibles à tout le monde, notamment grâce aux applications disponibles sur internet. Le but étant de compromettre une organisation ou une personnalité publique afin d’abuser d’un tiers. Les deepfakes peuvent ainsi causer des dégâts considérables dans la sphère privée et publique. Les entreprises peuvent être compromises, les procédures d’authentification et de vérification d’identité peuvent être mises à mal, et même les décisions politiques peuvent être influencées.
Des attaques de plus en plus évoluées et accessibles
Les deepfakes sont générées à l’aide de techniques de Machine Learning, notamment les GAN (Generative Adversarial Networks). Ces derniers sont composés de deux algorithmes : l’un génère une fausse image ou vidéo, tandis que l’autre tente de détecter si l’image est réelle ou fausse. Les deux algorithmes s’entraînent mutuellement via un processus contradictoire pour améliorer la qualité des deepfakes. Les algorithmes qui génèrent des deepfakes s’améliorent aussi vite que les algorithmes d’IA de détection de ces deepfakes. Ces derniers ont déjà beaucoup évolué, passant de simples échanges de visages en temps réel (faceswap) à la création de voix artificielles (deepvoice), de photos et même de cartes satellites. Les caractéristiques biométriques sont désormais également ciblées par les techniques de deepfakes.
L’utilisation de deepfakes, une menace pour les sphères privées et publiques
Les attaques d’entreprises via les deepfakes sont une technique de piratage qui permet aux hackers de se frayer un chemin dans les systèmes des entreprises en utilisant des tiers. Cela peut leur donner accès à des droits d’administration et des droits de connexion, compromettant ainsi la sécurité de l’entreprise. Un exemple réel d’une attaque de ce type est une attaque au président. Dans le cadre d’une attaque BEC (Business Email Compromise), un pirate informatique peut se faire passer pour le dirigeant, ou un manager, et demander un virement via un message audio ou du FaceSwap en temps réel. Cela peut entraîner des pertes financières importantes pour l’entreprise.
De plus, les attaques de social engineering peuvent mettre à mal les procédures de « Know Your Customer » (KYC), qui permettent aux entreprises de vérifier l’identité de leurs clients. Les pirates informatiques peuvent également usurper des identités et compromettre l’authentification, notamment bancaire.
Le chantage, l’intimidation et la corruption sont également des risques liés à l’utilisation de deepfakes. Un exemple récent est l’utilisation croissante d’images pornographiques montées avec des fausses images de personnalités, appelées “sextortion”. Selon une étude néerlandaise, 96 % des deepfakes en circulation sur Internet sont des détournements pornographiques.
Enfin, les attaques de social engineering peuvent également avoir des répercussions dans la sphère politique. Par exemple, une vidéo truquée du Président Ukrainien dans laquelle il appelle son pays à « rendre les armes » a été diffusée sur les réseaux sociaux.
C’est pourquoi un rapport récent d’EUROPOL a classé les deepfakes comme une source de « menace prioritaire » pour les États.
Un cadre juridique mal exploité
La loi française contre la manipulation de l’information, adoptée en 2018, vise à protéger la démocratie contre la diffusion intentionnelle de fausses nouvelles. Cette loi est un exemple de l’effort déployé par l’État français pour protéger les citoyens contre les manipulations de l’information, qui peuvent affecter des élections par exemple ou la démocratie en général. Cependant, son application n’étant pas contraignante pour les plateformes concernées (Google, Twitter, TikTok, etc.), cela n’a pas entraîné de changement significatif, d’autant plus que la portée de cette loi est limitée géographiquement.
La Commission Européenne a également mis en place un code de bonnes pratiques pour lutter contre les fausses informations. Cependant, selon Thierry Breton, le commissaire européen au Marché intérieur, aucun des grands signataires n’a respecté le code dans son intégralité. Il souligne qu’il est important de passer à la vitesse supérieure, d’élargir le code et de le rendre plus contraignant.
Cette déclaration met en évidence le besoin de renforcer les mesures de lutte contre la diffusion de fausses informations, qui peuvent avoir des conséquences graves sur la démocratie et les sociétés. Les gouvernements et les acteurs de l’industrie de l’information, notamment les GAFAM, doivent travailler ensemble pour mettre en place des mesures efficaces et contraignantes pour lutter contre ce phénomène en constante évolution.
Mais il existe des solutions
Il est urgent que les entreprises prennent des mesures concrètes pour lutter contre les deepfakes. Malgré les efforts de certaines organisations pour sensibiliser et former leurs collaborateurs à la sécurité informatique, de nombreuses sociétés n’ont pas encore compris l’importance de la menace. La formation (security awareness) des salariés est primordiale pour sensibiliser aux risques, notamment celui du phishing qui reste l’une des attaques les plus courantes.
Il est également important de réaliser des analyses de risques, en amont, pour évaluer les conséquences potentielles de ces menaces sur les entreprises. L’anticipation permet d’organiser une meilleure défense. Aussi, il est conseillé de faire appel à des équipes de threat intelligence qui traquent les sites proposant des deepfakes et permettent ainsi d’adapter et améliorer son système de protection.
Malgré des campagnes de Bug Bounty telles que le “Deepfake Detection Challenge” lancées par Meta, ces tests sont peu concluants car ils parviennent seulement à détecter 2/3 des deepfakes.
Le référentiel PVID, qui concerne la vérification d’identité à distance, est une autre solution envisageable. Un exemple de projet est l’application française d’identité numérique, qui permet de lire la puce électronique de la carte d’identité lors de l’identification. Pour lutter efficacement contre les deepfakes, l’apposition d’une signature électronique sur chaque image ou vidéo, est une solution. Cependant, il est difficile, voire impossible, d’obliger les plateformes à vérifier cette signature sur les réseaux sociaux.
En revanche, il existe des méthodes efficaces, comme l’authentification multifacteur (MFA) comme le mot de passe à usage unique reçu par SMS. Bien que certains cherchent à se débarrasser de ces méthodes pour préférer la reconnaissance faciale, elles restent extrêmement utiles pour se prémunir des deepfakes.
Pour lutter contre les deepfakes, plusieurs solutions existent. Et, les moyens les plus simples, voire archaïques, sont souvent les plus efficaces pour lutter contre les deepfakes.
Cet article a été écrit par : Benoit Delpierre, Directeur Technique Adjoint chez Eviden
<<< À lire également : Il faut veiller à la sécurité de son matériel informatique et smartphone pendant les vacances ! >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
