Un coup de téléphone, et c’est votre supérieur à l’autre bout du fil. Vous le reconnaissez bien, avec ce ton de voix singulier, et même ses petites intonations bien à lui. Visiblement pressé, il vous demande d’effectuer un virement unique vers un nouveau compte, ceci afin de régler une transaction urgente et confidentielle. Confiant, vous vous exécutez aussitôt. Erreur : vous ne parliez pas à votre supérieur, mais en réalité à une intelligence artificielle utilisée par un fraudeur, capable d’imiter la voix et/ou le visage d’une personne afin de réaliser une escroquerie. Décryptons cette nouvelle technologie des deepfake (deep face et deep voice) aussi fascinante qu’inquiétante – une aubaine pour les fraudeurs, un cauchemar pour les entreprises – et voyons comment s’en protéger.
Qu’est-ce qu’un deepfake ?
On croirait nager en pleine science-fiction, et pourtant. Cette technologie, basée sur l’intelligence artificielle, parvient à reproduire la voix (deep voice) et / ou le visage (deep face) d’une personne ciblée. Pour ce faire, l’IA nécessite certaines données, comme des enregistrements vocaux et vidéo, mais le résultat est tout simplement bluffant. Et ce, d’autant plus quand on le met en parallèle avec la grande accessibilité de cette technologie. Andrew B. Gardner, Directeur Technique Senior chez Symantec, indique ainsi qu’il s’agit d’attaques « peu coûteuses » et dont « la qualité du faux contenu est si crédible » qu’il est bien difficile de démasquer les imposteurs.
Ainsi, les fraudeurs y voient là une formidable opportunité.
Deepfake, Deep Face, Deep Voice : des technologies idéales pour l’usurpation d’identité ?
A ce jour, les deep fake constituent sans aucun doute l’apogée de l’ingénierie sociale (social engineering, soit la manipulation psychologique à des fins de fraude). Elle est donc forcément en plein boom. Le cabinet de consulting McKinsey affirme ainsi qu’il s’agit du type de crime financier avec la plus forte croissance aux Etats-Unis. Et, continue-t-il, les deep fake sont également appelés à se propager en Europe, si ce n’est pas déjà le cas.
Le cabinet a semble-t-il vu juste, puisqu’en 2019, le CEO d’une société britannique dans le secteur de l’énergie est devenu la victime d’une escroquerie d’un montant de 220 000 euros environ. Le processus est le même que celui de la fraude au président, consistant à usurper l’identité d’un dirigeant afin de diminuer la vigilance de la personne contactée, et ainsi obtenir qu’elle s’exécute. Croyant recevoir un appel du directeur de la maison-mère de son entreprise, le CEO transfère à sa demande la somme en question. Quand il se rend compte de la supercherie, il n’en revient tout simplement pas. Il était pourtant persuadé d’avoir entendu l’accent allemand de son supérieur, et même jusqu’à la mélodie de sa voix. La raison est simple : le fraudeur utilisait l’IA pour reproduire la voix de la personne en question.
Arrivé sur un compte bancaire hongrois, le virement frauduleux est ensuite transféré et scindé entre plusieurs comptes bancaires hors Union Européenne, notamment au Mexique. Dans un tel cas, récupérer les fonds détournés constitue une mission quasi impossible. Il est dès lors nécessaire d’agir en amont, en développant des bonnes pratiques au sein de l’entreprise.
Quelles bonnes pratiques pour se protéger des Deepfake ?
Ondrej Vlcek, le Président Directeur Général d’Avast (antivirus) déclare en 2019 que « près de 90% des attaques en entreprise sont imputables aux hommes, aux ouvertures d’e-mails et de pièces-jointes inconnues ». Afin de lutter contre les deep face et les deep voice, l’accent doit donc être mis en priorité sur la sensibilisation et la formation du personnel. Nous vous listons ci-dessous certaines étapes à suivre.
1. Informez votre équipe et communiquez en interne
Les deepfakes demeurent une technologie récente et l’information n’est donc pas connue de tous.
- Présentez à votre équipe l’existence de cette menace et de sa dangerosité ;
- Incitez vos collaborateurs à limiter la divulgation d’informations personnelles sur Internet, comme les réseaux sociaux. Effectivement, les deep fakes reposent sur l’analyse et le traitement des données personnelles ;
- Indiquez-leur, enfin, qu’il est essentiel de communiquer en interne en cas de fraudes avérées, et même de simples soupçons.
2. Élaborez une cartographie des risques
C’est certainement le meilleur moyen pour synthétiser toutes les informations relatives à cette fraude, de sa détection aux actions à entreprendre.
- Identifiez à quelles étapes de la chaîne d’achat (Purchase-to-Pay) les deep fakes sont les plus susceptibles de surgir. Les collaborateurs devront alors faire preuve d’une vigilance accrue ;
- Apprenez à vos employés à discerner les signaux faibles. Par exemple, les escrocs jouent souvent sur le mental, en mettant la pression. Le paiement est alors « urgent » et doit être réalisé « dans la plus grande confidentialité » ;
- Détaillez les réactions à avoir en cas de soupçon ou de fraude avérée ; notamment, précisez qu’il ne faut jamais payer dans l’urgence.
3. Mettez en place des mesures de vérification
Afin de contrôler les dires de l’interlocuteur, plusieurs procédures sont utiles. Vous pouvez ainsi :
- Décider d’une question secrète ou d’un mot de passe si une telle situation vient à se produire, ou ;
- Procéder à une double vérification. Il s’agit alors de contacter la personne potentiellement usurpée par un autre moyen, comme le mail ou les messageries instantanées.
4. Protégez-vous de la fraude grâce à un logiciel de contrôle des coordonnées bancaires
Malgré ces actions, l’humain n’est pas infaillible, et les méthodes sans cesse plus rusées des fraudeurs mettent la vigilance des collaborateurs à rude épreuve. En cas de demande anormale de paiements de la part d’un sois-disant fournisseur ou dirigeant, ceux-ci doivent pouvoir procéder rapidement au contrôle des RIB qui leurs sont transmis. Un logiciel anti fraude comme Trustpair est en mesure de répondre à cette demande. A chaque fois qu’un collaborateur entre de nouvelles coordonnées bancaires dans le référentiel client, celles-ci sont systématiquement vérifiées, en temps réel. Notre plateforme de protection contre la fraude au virement permet ainsi de détecter le paiement s’apparaître à être viré sur un compte frauduleux.
