Secu
Des cybercriminels ont utilisé une IA d’imitation pour dérober 200 000€ à une entreprise.
Par Laurent Delattre, publié le 06 septembre 2019
L’IA peut aujourd’hui faire dire n’importe quoi, à n’importe qui, au travers de flux audio ou vidéos trafiqués. Une technique que les cybercriminels n’ont pas tardé à s’approprier.
Les « AI DeepFakes » sont des technologies qui utilisent la puissance du Deep Learning pour créer de fausses images, de fausses signatures ou des imitations vocales.
Typiquement, une technologie chinoise dénommée ZAO a mis en émoi la twittosphère début septembre en permettant de recréer des séquences cinématographiques d’un hallucinant réalisme en plaçant son propre visage en lieu et place de celui d’un acteur ou d’une actrice, le tour de force étant que l’algorithme se contente pour cela d’une simple photo comme celle que l’on utilise pour un profil LinkedIn par exemple. Le résultat est vraiment bluffant. Et la simplicité avec laquelle tout un chacun peut la mettre en œuvre l’est encore plus.
ZAO n’est que la concrétisation dans l’univers du grand public, de recherches sur le DeepFake qui permettent de faire faire n’importe quoi à n’importe qui. Ainsi, des petits malins se sont amusés à créer un clip de campagne électorale « Cruise 2020 » dans lequel Tom Cruise prétend briguer la présidence des USA, le tout fabriqué à partir d’images des films Mission : Impossible.
Plus impressionnant encore, l’humoriste Jordan Peele a, par des technologies IA avancées, créé un faux discours de Barack Obama où on le voit dire des choses invraisemblables : Jordan Peele s’exprime en temps réel, mais les gens voient et entendent sur leur téléviseur le visage et la voix de l’ancien président américain.
Aujourd’hui, on peut faire dire n’importe quoi à n’importe qui par le truchement du son et de l’image informatique. Et il n’a pas fallu attendre bien longtemps pour que les cybercriminels exploitent ces technologies pour duper les entreprises.
Le DeepFake devient ainsi une version plus élaborée d’une ancienne pratique, le BEC (Business Email Compromise), où les attaquants utilisent l’email d’un haut responsable d’une entreprise pour tromper des employés détenant des informations confidentielles ou ayant la capacité à réaliser des virements. Avec le DeepFake, plus besoin de passer par l’email. On peut jouer une interaction bien plus temps-réel et donc convaincante via un appel téléphonique ou une discussion Skype.
Ainsi, selon le Wall Street Journal, la compagnie française d’assurance Euler Hermes a dévoilé qu’en mars dernier des cybercriminels avaient utilisé un logiciel d’imitation vocale pour imiter la voix du patron d’une entreprise anglaise et inciter son directeur financier à réaliser un virement en Hongrie. Plus de 200.000 euros ont ainsi été dérobés. La requête avait bien étonné le responsable mais la voix et les intonations étaient si réelles qu’il n’a pas imaginé un instant avoir quelqu’un d’autre que son PDG au bout du fil.
L’éditeur de solution de sécurité Symantec a de son côté reconnu étudier trois autres affaires de détournements d’argent réalisés à l’aide d’outils d’imitation temps réel.
La mise à disposition d’outils IA de DeepFakes et de services comme Google Duplex devient un phénomène que les entreprises ne peuvent plus ignorer. Comme pour le BEC, la meilleure protection face à ces menaces demeure la sensibilisation des collaborateurs à ces pratiques frauduleuses.