Escroquerie aux dirigeants, usurpation d’identité et « deepfakes » : comment s’en protéger ?

Les cybercriminels tentent constamment de contourner les efforts de lutte contre la fraude et de vérification des identités par des méthodes créatives qui contournent les étapes de validation que seul un « humain » devrait être en mesure d’accomplir. On pense souvent aux premières versions des captchas qui exigeaient que la saisie de combinaisons de chiffres et de lettres, avant d’évoluer vers des puzzles et des diagrammes plus complexes. Un captcha saisi seul est souvent insuffisant pour protéger certains processus sensibles, tels que les transactions financières et les échanges de crypto-monnaies.

Une contribution de Melissa Bischoping, Director, Endpoint Security Research chez Tanium

Alors que les applications de deepfake sont capables de construire des images de pièces d’identité en apparence légitime ou même des vidéos de personnes qui n’existent pas, les plateformes qui s’appuient sur la vérification d’identité tentent de garder une longueur d’avance, en exigeant des « preuves de vie » plus complexes pour vérifier que vous êtes bien une personne réelle. Récemment, lors de l’utilisation d’une plateforme financière, j’ai dû enregistrer une vidéo de moi en train de tourner la tête selon un schéma spécifique, tout en tenant ma carte d’identité. Ce genre d’exercice m’a semblé un peu farfelu, jusqu’à ce que je réalise qu’il serait beaucoup plus difficile pour une personne générée par une application de simuler, avec précision, le même mouvement de tête que celui que j’étais capable de produire. Le risque, cependant, est que les méthodes et les données que j’utilise pour « prouver » mon existence en tant qu’être humain puissent servir à former de meilleurs modèles pour détecter ou imiter les humains à l’avenir.

Le terme inquiétant de « deepfake » évoque généralement des opérations criminelles, mais il existe un marché légal pour cette technologie. De nombreux éditeurs de logiciels ont vu le jour et présenté des possibilités d’utilisation des capacités de « deepfake » dans l’industrie du divertissement, généralement avec le consentement du « modèle » sur lequel elles se sont basées. Vous pouvez même archiver votre empreinte vocale pour qu’elle soit utilisée si vous êtes atteint d’une maladie qui vous empêche de parler tout seul. Les technologies utilisées pour créer des « deepfakes » sont également essentielles pour détecter les abus. Comme pour toute technologie puissante, la légalité réside dans l’intention, le consentement et la transparence.

Les menaces que représentent les « deepfakes » sont réelles. Au-delà d’une simple fausse identité pour une transaction frauduleuse, ces « deepfakes » peuvent entraîner des traumatismes psychologiques et nuire à la réputation d’un individu. Au cours du mois dernier, nous avons assisté à une campagne d’ingérence électorale aux Etats-Unis par le biais de deepfakes, ainsi qu’à l’exploitation largement médiatisée des images de Taylor Swift. Ces abus de deepfakes ont été très médiatisés, mais ils ne sont pas nouveaux. De plus, les victimes de ces crimes sont de plus en plus nombreuses. Lorsque l’on sait que les « deepfakes » sont capables d’escroquer nos proches, d’infliger des traumatismes psychologiques, de ruiner des carrières ou d’influencer le cours de la démocratie, il est évident que l’éducation, la réglementation et une détection tout aussi sophistiquée joueront un rôle dans la protection de la société.

Aujourd’hui, la plupart des employés ont reçu une formation sur la manière de repérer les tentatives d’escroquerie telles que l’arnaque au président ou bien un faux appel téléphonique d’un membre de la famille qui aurait subi un accident et demanderait de l’argent. Nous devons élever le niveau de nos campagnes d’éducation et de sensibilisation afin de faire comprendre que les « deepfakes » existent, tout en employant des couches de vérification supplémentaires pour les processus et les opérations sensibles – il ne suffit plus de faire confiance à un SMS, un appel téléphonique ou même un appel vidéo pour vérifier une identité. Si quelqu’un vous contacte pour effectuer une transaction à titre personnel ou professionnel, il est toujours préférable de demander une vérification supplémentaire lorsque vous n’êtes pas en mesure de vérifier physiquement l’identité de la personne au téléphone.

Souvent, le simple fait de raccrocher et d’appeler un numéro de contact connu et fiable de la personne qui vous a supposément contacté permet de démasquer l’escroquerie. Dans les entreprises, il est nécessaire de mettre en place des processus qui reposent sur des formes d’authentification plus robustes, limitant la possibilité d’une usurpation par une IA – les clés de sécurité FIDO2, les approbations et vérifications par plusieurs personnes sont un bon point de départ.

À lire également : Les 5 commandements pour se protéger des attaques de « phishing »