Article en référence: https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html
Un employé du secteur financier a été victime d’une arnaque sophistiquée impliquant l’intelligence artificielle, résultant en un détournement de 25 millions de dollars. L’incident s’est produit chez Arup, une importante firme d’ingénierie mondiale, dans leur bureau de Hong Kong. Le fraudeur a utilisé la technologie de “deepfake” pour créer une fausse vidéoconférence où l’employé croyait interagir avec plusieurs collègues et le directeur financier de l’entreprise.
Un deepfake est une technique utilisant l’intelligence artificielle pour créer des vidéos ou des images falsifiées, mais extrêmement réalistes, d’une personne. Dans ce cas précis, les escrocs ont réussi à reproduire non seulement l’apparence visuelle des collègues, mais également leurs voix et comportements, rendant la supercherie particulièrement convaincante.
L’employé a initialement reçu un courriel suspect mentionnant une transaction confidentielle à effectuer. Malgré ses soupçons initiaux, la vidéoconférence subséquente avec les “collègues” deepfake l’a convaincu de la légitimité de la demande. Ce qui rend cette affaire particulièrement préoccupante est que la victime connaissait personnellement les personnes imitées et n’a pourtant pas détecté la fraude.
Cette arnaque représente une évolution inquiétante des techniques de “phishing”, où les criminels se font passer pour des personnes de confiance afin d’obtenir des informations sensibles ou de l’argent. Avec l’avènement des deepfakes, la simple vérification visuelle n’est plus suffisante pour authentifier l’identité d’un interlocuteur.
Cette affaire met en lumière une réalité incontournable de notre ère numérique : nos méthodes traditionnelles de vérification d’identité deviennent rapidement obsolètes face aux avancées technologiques. Pendant des années, nous avons considéré qu’une vidéoconférence offrait une sécurité raisonnable - après tout, nous pouvions voir et entendre notre interlocuteur. Cette présomption n’est désormais plus valable.
Ce qui est particulièrement frappant dans cette situation n’est pas tant la technologie elle-même que l’absence de protocoles de sécurité adéquats. Un transfert de 25 millions de dollars devrait normalement nécessiter plusieurs niveaux d’approbation et des vérifications indépendantes, quelle que soit la personne qui en fait la demande. La technologie évolue, mais nos processus organisationnels doivent évoluer en parallèle.
Nous assistons à un moment charnière où les entreprises doivent repenser fondamentalement leurs procédures de sécurité. Les solutions ne seront probablement pas purement technologiques, mais impliqueront une combinaison de technologies, de processus et de formation. Les entreprises qui s’adapteront rapidement à cette nouvelle réalité seront mieux protégées, tandis que celles qui tarderont risquent de subir des pertes similaires.
Cette affaire n’est ni le premier ni le dernier exemple d’utilisation malveillante de l’IA. Elle représente simplement l’état actuel d’une course aux armements technologique entre sécurité et fraude, où chaque avancée dans un domaine stimule l’innovation dans l’autre.
Imaginez que vous êtes tranquillement chez vous quand votre téléphone sonne. C’est votre mère qui vous appelle en vidéo. Vous décrochez et la voyez, avec son sourire habituel et sa coiffure reconnaissable. Elle vous parle de la recette de tourtière qu’elle prépare pour Noël, mentionne votre chat par son petit nom, et vous rappelle cette fois embarrassante où vous avez renversé du sirop d’érable sur le sofa lors de votre 12e anniversaire.
Puis, elle vous demande de lui envoyer rapidement 500$ pour aider votre cousin qui est coincé à l’aéroport de Montréal sans argent. Tout semble légitime - c’est bien le visage de votre mère, sa voix, ses expressions, ses références à votre vie commune.
Sauf que… ce n’est pas votre mère. C’est une intelligence artificielle qui a analysé des centaines de photos et vidéos de votre mère sur Facebook, a écouté sa voix dans les vidéos de famille partagées, et a même fouillé dans vos publications communes pour connaître des détails personnels. Le cousin en question est bien réel, et il a effectivement posté récemment qu’il allait à Montréal.
Voilà l’équivalent “familial” de ce qui est arrivé à cet employé d’Arup. Comme lui, vous auriez probablement été convaincu - après tout, qui pourrait douter de sa propre mère? C’est exactement ce niveau de confiance que les fraudeurs ont exploité, mais à l’échelle corporative et pour 25 millions de dollars.
Cette affaire, aussi troublante soit-elle, pourrait être le catalyseur dont nous avions besoin pour révolutionner la sécurité numérique! Les technologies de détection de deepfakes progressent aussi rapidement que celles qui les créent. Des entreprises comme Truepic et Sentinel développent déjà des outils capables d’identifier les manipulations subtiles dans les vidéos générées par IA.
De plus, cet incident va accélérer l’adoption de protocoles d’authentification multi-facteurs innovants. Imaginez des systèmes qui combinent reconnaissance faciale, questions de sécurité dynamiques et codes temporaires, le tout renforcé par des algorithmes d’IA bienveillants qui détectent les comportements inhabituels.
Cette situation pourrait même stimuler l’innovation dans des domaines comme la blockchain pour la vérification d’identité ou les signatures numériques inviolables. Les entreprises québécoises spécialisées en cybersécurité ont une opportunité en or pour développer des solutions de pointe et les exporter mondialement.
Chaque grande menace technologique a historiquement conduit à des avancées encore plus importantes en matière de sécurité. Rappelons-nous que les premiers virus informatiques ont mené à la création d’une industrie antivirus florissante. De même, ces deepfakes frauduleux pourraient catalyser une nouvelle ère de confiance numérique renforcée, créant au passage des milliers d’emplois dans le secteur de la cybersécurité.
Ce que nous voyons ici n’est que la pointe de l’iceberg d’une crise de confiance numérique imminente. Si aujourd’hui les fraudeurs ciblent des transactions financières de grande envergure, demain ils s’attaqueront à des cibles plus modestes mais plus nombreuses, démocratisant en quelque sorte la fraude par deepfake.
Les solutions technologiques proposées seront toujours un pas derrière les techniques de fraude. Chaque nouvelle méthode d’authentification sera éventuellement contournée, créant un cycle sans fin d’innovation et d’exploitation. Les entreprises et les particuliers se retrouveront dans une course aux armements coûteuse et épuisante.
Cette situation pourrait également avoir des conséquences sociales profondes. La méfiance envers les communications numériques pourrait nous ramener à privilégier les interactions en personne pour toute décision importante, remettant en question la viabilité du télétravail et des équipes distribuées géographiquement. Les entreprises pourraient utiliser cette menace comme prétexte pour imposer un retour au bureau, affectant négativement l’équilibre travail-vie personnelle de millions de travailleurs.
Plus inquiétant encore, nous risquons d’entrer dans une ère où la réalité elle-même devient contestable. Si nous ne pouvons plus faire confiance à nos yeux et à nos oreilles, comment maintenir un consensus social sur ce qui est vrai? Cette érosion de la confiance pourrait s’étendre au-delà du monde des affaires pour affecter nos institutions démocratiques, nos relations personnelles et notre capacité collective à distinguer le vrai du faux.
Si vous n'êtes pas redirigé automatiquement, 👉 cliquez ici 👈