Quel est le point commun entre le rappeur Eminem, le général de Gaulle et le PDG anonyme d’une entreprise britannique du secteur de l’énergie ? À première vue, aucun. Pourtant, tous les trois ont vu leur voix être recréées par l’intelligence artificielle (IA). Si cette technologie peut être utilisée à bon escient, des inquiétudes apparaissent quant à l’exploitation du deepfake pour tromper un public encore peu méfiant.

Trois exemples et un problème majeur

Dans le cas d’Eminem, c’est le célèbre DJ David Guetta qui a récemment, lors d’un concert, recréé la voix du rappeur avec un logiciel. Cette utilisation a semé la confusion parmi les fans et a interrogé quant aux droits d’auteur et au consentement de l’artiste américain, amenant sur le devant de la scène le sujet de l’utilisation deepfake de la voix grâce à l’IA, notamment dans l’univers de la musique.

On pourrait également citer le général de Gaulle et son célèbre appel du 18 juin 1940, dont il ne reste plus aucune trace audio aujourd’hui, et qui a récemment été reconstitué par le biais de l’intelligence artificielle par Le Monde et l’IRCAM (Institut de recherche et coordination acoustique / musique). Pour ce faire, les chercheurs ont enregistré la voix du comédien français François Morel citant le célèbre discours, pour ensuite superposer celle du général par-dessus.

Loin de ses utilisations intrigantes de la technologie deepfake, dans le cas de notre PDG anonyme, l’utilisation de cette technique était en revanche bien plus malveillante puisque les arnaqueurs ont utilisé la technologie deepfake de l’IA pour falsifier la voix du dirigeant dans le but d’usurper 240 000 dollars par le biais de demandes faites par téléphone.

La technique du phishing, qui consiste à utiliser des techniques d’ingénierie sociale pour inciter les victimes à révéler des informations ou à effectuer des transactions, n’est pas nouvelle. Cependant, l’utilisation du Deep Learning (DL) et de l’IA pour usurper des identités avec un réalisme bluffant est une forme de deepfake phishing d’un nouveau genre. Le phishing vocal ou « vishing » (pour l’utilisation de la voix à des fins de phishing) a été ajouté à l’arsenal des tactiques de plus en plus sophistiquées employées par les cybercriminels pour atteindre leurs objectifs. Les recherches montrent que deux tiers des cyber-défenseurs déclarent avoir observé des deepfakes malveillants utilisés dans le cadre d’une attaque, ce qui représente une augmentation de 13 % en un an.

Quand les cybercriminels sont plus forts que la loi

Outre l’utilisation de l’IA pour imiter une voix de confiance, de faux courriels sont aussi envoyés au nom d’avocats ou de conseillers bancaires, démontrant l’approche à plusieurs niveaux adoptée par les escrocs pour gagner la confiance de leurs victimes. Cela démontre également que les cybercriminels ne reculent plus devant rien. Si auparavant ils s’attaquaient aux personnes considérées comme plus vulnérables, désormais, les représentants de la loi n’y échappent plus. Dans ces cas précis, ce n’est pas l’avocat qui est visé par une arnaque, mais l’utilisation de son identité prouve que la loi est impuissante face à ce phénomène.

Si ces techniques sont en plein essor, c’est qu’elles se calquent sur la manière dont communiquent aujourd’hui les personnes entre elles. Rien que sur WhatsApp, en moyenne 7 milliards de messages vocaux sont envoyés par jour. La messagerie vocale et vidéo se normalisant, cela représente une aubaine supplémentaire pour les cybercriminels d’entrer en contact avec les victimes. Si l’on ajoute à cela les techniques de vishing et de deepfake vidéo basées sur l’IA, les victimes sont de plus en plus à la merci de ces approches qu’ils n’arrivent plus à « décoder ». Dès lors, comment se prémunir face à ces attaques ? Eh bien la réponse n’est pas si simple. Du côté législatif, rien n’est réellement précisé, hormis la lutte contre la désinformation voire la pornographie. Néanmoins, le sujet est si récent et mouvant qu’il semble compliqué de s’y atteler avec un dénouement efficace.

Le dark web, véritable bibliothèque à technologies Deepfake

Les cybercriminels ont désormais accès à une panoplie de services deepfake disponibles à l’achat sur le dark web. Si visiter le dark web ne consiste pas un délit face à la loi, utiliser des outils ou vendre des biens illicites, l’est. Et il existe en effet de véritables marketplaces illicites proposant des outils qui viendront recréer numériquement la voix des victimes, parmi d’autres fonctionnalités. Il s’agit d’un véritable eldorado pour les cybercriminels !

Face à un tel arsenal de méthodes toujours plus sophistiquées, force est de constater que la technologie ne suffira pas pour gagner la guerre contre la cybercriminalité, notamment contre les deepfakes. Concernant l’arsenal législatif contre les deepfakes, on constate qu’il n’existe pour l’instant pas de règles limitant explicitement son usage en France. Pour l’instant, il faut se contenter des dispositions de droit commun telles que le droit à l’image, la protection de la vie privée et des données personnelles. Néanmoins, des pistes sont en cours. Le Sénat a adopté le 4 juillet dernier deux amendements du gouvernement (porté par Jean-Noël Barrot, Ministre délégué de la transition numérique et des télécommunications) ciblant les deepfakes. L’objectif est de proposer d’inclure les deepfakes dans le Code pénal (1 an d’emprisonnement et 15 000 euros d’amende), et d’introduire également une circonstance aggravante lorsque l’infraction a été commise au moyen d’un réseau de communication électronique.

Et en attendant, que peuvent faire les entreprises ?

On ne le répètera jamais assez mais pour que cela fonctionne, il convient de miser sur l’éducation des employés, et du grand public. C’est un critère décisif et crucial. Un bon point de départ est de vérifier l’identité de chaque personne ayant accès à des informations sensibles. Les entreprises ont un rôle essentiel à jouer pour accroître la formation et la sensibilisation du personnel afin de repérer les demandes suspectes et « inhabituelles » de collègues, de clients et autres, que ce soit par mail, par téléphone ou sur les réseaux sociaux. Une forte sensibilisation aux cyberattaques de type deepfake doit être vue comme une priorité, sans oublier une éducation continue sur les nombreuses façons dont les employés peuvent atténuer ou déjouer ces cyberattaques pour se protéger eux-mêmes, ainsi que leur entreprise.

Cependant, malgré toutes ces mesures, l’erreur humaine reste inévitable. Et dans la bataille contre une criminalité toujours plus professionnalisée, les cyber-défenseurs doivent combattre le feu par le feu en faisant appel aux mécanismes de défense basés sur l’IA pour répondre à ces menaces croissantes.

De plus, au niveau de l’entreprise, les technologies novatrices comme la sécurité de l’identité basée sur l’IA réduisent le risque de cyberattaques et d’atteintes à la protection des données en repérant les comportements irréguliers des utilisateurs.
Plus de 84 % de tous les incidents de sécurité informatique sont attribuables à des identités compromises. Pourtant, près de la moitié des entreprises (45 %) commencent uniquement à se préparer aux attaques basées sur l’identité. L’IA, qui est la base sur laquelle s’appuie un processus d’identité, donne aux organisations une meilleure visibilité ainsi qu’un meilleur aperçu des risques spécifiques encourus par la gestion des accès et des identités.
En automatisant et en rationalisant les processus et les décisions en matière d’identité grâce à l’IA, les experts en cybersécurité peuvent se concentrer sur des stratégies de défense plus poussées. L’intelligence artificielle ne pourra jamais remplacer la précieuse expertise humaine, mais elle peut la renforcer en utilisant des algorithmes qui viendront l’amplifier pour soutenir les experts de la sécurité, les professionnels de la gestion de l’identité et les intervenants en cas d’incident.
Que ce soit contre les fraudeurs utilisant le phishing ou encore le deepfake, si elle est utilisée à bon escient, l’IA peut soutenir l’ingéniosité humaine dans la lutte contre la cybercriminalité et combler les lacunes que l’on observe surtout en première ligne de défense.