Février 2024 : Arup, multinationale britannique victime de fraude via l’utilisation du deepfake perd 25 millions de dollars. Les fraudeurs ont utilisé la technologie deepfake pour créer de toutes pièces une fausse visioconférence et inciter un employé à effectuer des virements frauduleux. Cette attaque sonne comme un réveil brutal pour les entreprises du monde entier. Sophistiquée et combinant intelligence artificielle et usurpation d’identité de haut niveau, elle est l’aboutissement – et la preuve – d’une évolution continue de la fraude
Le constat est sans appel : s’équiper en conséquence n’est plus une option mais une nécessité pour préserver les entreprises des impacts en cascade de la fraude.
Une fraude d’un nouveau genre
Deepfake: une définition
Un deepfake est une technique avancée qui utilise l’intelligence artificielle pour créer ou modifier des vidéos et des images de manière hyper-réaliste. Elle permet de superposer des voix, des visages ou d’autres éléments audiovisuels sur des contenus existants, souvent pour donner l’impression qu’une personne dit ou fait quelque chose qu’elle n’a jamais dit ou fait. Utilisé sur les réseaux sociaux, le deepfake peut rapidement servir à diffuser des informations fausses ou trompeuses.
En France, l’emploi de deepfakes sans consentement ou à des fins malveillantes – en cas d’images pornographiques par exemples – peut constituer une infraction, surtout si cela viole le droit à l’image ou la liberté individuelle. La détection et la régulation de ces contenus restent un défi majeur pour la sécurité numérique, les médias et le public, nécessitant une vigilance constante et des applications techniques pour filtrer les contenus falsifiés.
Deepfake: l’exemple d’Arup
L’entreprise basée à Hong Kong a été la cible d’une arnaque d’un genre inédit, mettant en scène des deepfakes vocaux et vidéos d’employés. Un salarié a été piégé lors d’une visioconférence fictive, réunissant apparemment plusieurs de ses collègues. Méfiant au départ, il a fini par être convaincu par la mise en scène réaliste des deepfakes pré-enregistrés. Les escrocs auraient récupéré des vidéos des employés durant des mois sur YouTube pour créer ces deepfakes ultra-réalistes.
Le salarié a effectué une quinzaine de transactions sur différents comptes, transférant au total l’équivalent de 25 millions de dollars aux arnaqueurs. Une somme faramineuse pour cette entreprise, qui souligne le risque que représentent ces nouvelles techniques d’ingénierie sociale aidées de l’intelligence artificielle.
Quels sont les risques liés au deepfake ?
Les deepfakes présentent plusieurs risques notables – et leurs conséquences dépassent parfois la « simple » perte financière.
Des risques financiers conséquents
Comme on l’a vu avec Arup, les deepfakes représentent un risque financier sérieux dans la mesure ou ils peuvent être utilisés pour commettre des fraudes sophistiquées. Par exemple, un deepfake audio d’une déclaration faussement attribuée à un dirigeant d’entreprise peut influencer rapidement le cours de l’action de cette entreprise, entraînant des perturbations significatives sur les marchés financiers.
Ces techniques peuvent aussi servir à contourner les mesures de sécurité biométriques en utilisant des images ou des voix synthétisées pour accéder illégalement à des comptes bancaires – par exemple via l’arnaque au faux conseiller bancaire – ou d’autres services financiers, augmentant ainsi le risque de vol d’identité et de fraude. La détection précoce et l’application de mesures de sécurité robustes sont essentielles pour minimiser ces risques financiers associés aux deepfakes.
Des risques liés à l’image et la réputation
En manipulant vidéo et audio, ils permettent la création de fausses images ou séquences qui semblent réalistes, posant ainsi un défi majeur pour la sécurité de l’information. Ces contenus peuvent être utilisés pour diffuser de fausses nouvelles, influencer l’opinion publique ou même compromettre la réputation de personnes publiques en affichant leur visage ou en imitant leur voix dans des contextes compromettants.
En France, la propagation de ces fausses informations peut constituer une infraction, surtout si elle viole le droit à l’image et la liberté individuelle. Sur les réseaux sociaux, où la vérification des données est plus complexe, les deepfakes peuvent se répandre rapidement, amplifiant leur impact négatif.
Deepfake : que dit la loi ?
En France, la loi commence à encadrer les deepfakes, notamment via la législation sur le droit à l’image et la protection des données personnelles. L’utilisation de l’image ou de la voix d’une personne sans son consentement peut constituer une infraction, surtout si elle vise à tromper ou à nuire.
Aux États-Unis, plusieurs États ont adopté des lois spécifiques contre les deepfakes, particulièrement dans le contexte des élections et du détournement d’images des candidats. Ces législations visent à punir la création et la diffusion de contenus deepfake malveillants, renforçant ainsi les mesures de sécurité et la responsabilité des plateformes en ligne.
La réglementation cherche à équilibrer la liberté d’expression avec la nécessité de protéger le public contre les contenus numériques trompeurs et les risques associés à leur utilisation sur les réseaux sociaux et autres médias.
Comment détecter un deepfake ?
L’employé d’Arup aurait-il pu détecter le deepfake ? Existe-t-il des signaux spécifiques à repérer ? Explications.
Détecter un deepfake peut être complexe et chronophage. Il existe quelques techniques et indicateurs qui peuvent aider à identifier ces contenus – bien que difficilement. Premièrement, l’analyse des incohérences dans les vidéos ou les images, comme les erreurs de synchronisation des lèvres ou des expressions faciales, peut être révélatrice. Les fluctuations inhabituelles de la voix ou les distorsions audio peuvent également alerter sur la présence d’un hypertrucage. Sur le plan technique, l’utilisation de logiciels spécialisés qui examinent les pixels des images ou les modulations de la voix aide à repérer les anomalies subtiles non perceptibles par l’œil humain.
Enfin, l’emploi d’outils d’analyse basés sur l’intelligence artificielle, capable de comparer les caractéristiques biométriques avec des bases de données authentifiées, peut être efficace. La vigilance et l’éducation numérique restent essentielles pour que le public puisse reconnaître et remettre en question les contenus suspects.
La technologie, bouclier ultime de la lutte contre la cyber fraude
Comment répondre aux défis et se protéger efficacement face à une fraude plus cyber et complexe à détecter ? En s’armant d’une double défense : contre les risques cyber et contre leurs effets financiers.
Bien évidemment, les entreprises doivent continuer à investir dans des pare-feux, des antivirus et des systèmes de détection des intrusions pour protéger leurs réseaux et leurs données contre les cyberattaques. Elles sont d’ailleurs 68% à avoir investi dans ce type d’équipement en 2023. Mais cette première barrière ne suffit pas. Si les cybercriminels la franchissent, ils peuvent facilement détourner des fonds. Il est donc tout aussi crucial d’investir dans des solution de prévention de la fraude comme Trustpair pour empêcher les pertes financières résultant de la cyber fraude.
Trustpair vérifie automatiquement et en temps réel les informations bancaires ( la plateforme vérifie les IBAN, RIB et autres formats) et les transactions avant qu’elles ne soient exécutées. Cette double défense garantit que même si les cybercriminels parviennent à pénétrer les systèmes d’une entreprise, les transactions frauduleuses sont bloquées avant qu’elles n’entraînent de pertes financières.
Dans le cas de la fraude au virement avec recours au deepfake à 25 millions d’euros, un système de prévention aurait automatiquement levé l’alerte face à des tentatives de virements vers des comptes bancaires inconnus. L’attaque aurait échoué malgré la réussite de la tromperie initiale.
Pour conclure : un nécessaire passage à l’action pour les dirigeants financiers
Investir dans des solutions technologiques est aujourd’hui un impératif stratégique pour assurer la pérennité des entreprises. L’automatisation et l’intelligence artificielle offrent des solutions robustes, capables de contrôler en temps réel et avec une précision inégalée, minimisant ainsi les risques d’erreurs et d’intrusions malveillantes.
La fraude à 25 millions de dollars doit servir d’avertissement aux directeurs financiers et informatiques. Les entreprises ne peuvent plus se permettre de rester en retrait. Aux dirigeants financiers de fédérer les équipes dirigeantes et de prendre les devants pour investir dans les technologies adéquates. Que les deepfakes à 25 millions de dollars restent une exception, pas la règle.
Pour bloquer les effets financiers des cyber fraudes, contactez un expert Trustpair !