L’évolution des fraudes et la menace du deepfake

By Andrew Deichler, Content Manager, Strategic Marketing décembre 8, 2021

La technologie du deepfake (ou « hypertrucage ») a fait les gros titres ces dernières années en raison de sa capacité à duper le public grâce à des fichiers photo, vidéo et audio falsifiés. L’utilisation d’un tel logiciel, qui peut produire des résultats extrêmement convaincants, devient monnaie courant dans les films hollywoodiens. Toutefois, les progrès récents de cette technologie constituent aussi une menace considérable pour les entreprises et les particuliers.

Entre les mains d’escrocs, la technologie du deepfake peut créer l’illusion d’une transaction légitime. Elle peut donner l’impression que c’est le PDG, le directeur financier ou bien l’avocat responsable d’une fusion, qui vous demande un paiement justifié. Et lorsque l’entreprise se rend compte de la supercherie, il est souvent trop tard.

Début 2020, la technologie du deepfake audio a été utilisée au cours du vol de 35 millions de dollars auprès d’une banque à Hong Kong. L’un des gestionnaires des opérations bancaires avait reçu un appel et plusieurs e-mails provenant de ce qui semblait être le directeur d’une entreprise avec lequel il avait déjà été en contact auparavant. Ce dernier prétendait que son entreprise s’apprêtait à réaliser une acquisition et avait besoin de transférer 35 millions de dollars pour terminer le processus. Le gestionnaire, qui avait reconnu la voix de l’homme et croyait que tout était légitime, a obtempéré et envoyé l’argent.

Bien sûr, la personne qui avait téléphoné au gestionnaire et envoyé les e-mails n’était pas celle qu’elle prétendait être, et l’argent fut volé. Ce type de vol concerne les entreprises de toutes tailles. En effet, il représente la dernière étape de l’évolution d’une escroquerie bien connue qui consiste à duper des professionnels de la finance bien intentionnés pour qu’ils transfèrent des millions vers les mauvaises mains.

Deepfakes vidéo et audio

La technologie du deepfake s’appuie sur l’intelligence artificielle (IA) pour combiner des images fixes d’une personne à des séquences vidéo d’une autre personne. Bien que l’échange de visages sur les photographies soit une pratique courante depuis des années grâce à Photoshop, la création de deepfake vidéo est un développement plus récent. Avec le temps, la technologie s’est tellement améliorée qu’il ne faut plus que quelques photos, voire parfois une seule, pour créer un deepfake vidéo qui soit convaincant.

« Tout ce dont les escrocs ont besoin, c’est de quelques images à charger et d’entraîner un algorithme pour créer la sortie deepfake du visage », a rapporté Beatriz Saldivar, Global Payment and Treasury Advisor chez Kyriba. « De plus, les programmes sont faciles à obtenir : il suffit d’avoir un smartphone ou un ordinateur portable. Vous pouvez même engager quelqu’un, qui, contre la somme appropriée, créera un deepfake pour n’importe qui. »

Le deepfake audio, aussi appelé « deep voice », a également été développé récemment. Tout comme avec la technologie vidéo, le logiciel n’a besoin que de cinq secondes d’audio pour réussir à copier la voix d’une personne.

Le deepfake audio est particulièrement préoccupant, en raison de l’environnement rapide et chronométré dans lequel travaillent les services de trésorerie et de finance. Si les processus ne sont pas alignés sur une technologie capable de protéger les organisations contre la fraude, ces services peuvent facilement commettre l’erreur d’envoyer un paiement sur la base d’instructions issues d’un deepfake audio.

Évolution des escroqueries de type BEC (Business Email Compromise, ou compromission de la messagerie en entreprise)

Dans le cas du vol de 35 millions de dollars à la banque et de celui de 243 000 dollars à une société d’énergie britannique en 2019, les fraudeurs ont utilisé la technologie du deepfake audio pour imiter les voix des dirigeants des entreprises qui demandaient des transferts d’argent. Si cette technologie est nouvelle, ce type d’incidents n’est que la dernière forme en date du type d’escroquerie le plus courant et le plus connu, à savoir les escroqueries par adresse e-mail professionnelle (BEC), la fraude classique au PDG.
Les deux tromperies ont été exécutées de manière presque classique, et comportaient les signes classiques d’une escroquerie de type BEC classique, c’est-à-dire des demandes pressantes de transfert d’argent de la part d’un cadre supérieur d’une entreprise. Si l’une ou l’autre de ces demandes avait été effectuée par e-mail, elles auraient probablement fait l’objet d’un signalement.

Mais comme la cible de chacune de ces escroqueries croyait parler à un contact qu’elle connaissait, les deux personnes ont été dupées. C’est pourquoi cette nouvelle forme de type BEC est si dangereuse.

Suite à de nombreuses alertes de la part de l’Internet Crime Complaint Center (IC3) du FBI, et à l’importante couverture médiatique de ces types d’escroqueries, les services de trésorerie et de finance sont devenus très familiers avec les signes caractéristiques des escroqueries de type BEC. Cependant, malgré cette prise de conscience, les escroqueries de type BEC ne se sont pas arrêtées ; l’enquête réalisée par l’AFP sur les fraudes aux paiements en 2021 révèle que les escroqueries de type BEC ont été la première source de fraude en 2020, pour 62 % des personnes interrogées. « Bien que les responsables de trésorerie et de finance sont très au fait de l’ampleur prise par ce type de fraude, ils ne parviennent pas à y faire suffisamment obstacle », explique l’AFP dans ce rapport.

Les experts vous diront de toujours téléphoner à votre contact lorsque vous recevez une demande de transfert d’argent suspecte par e-mail et d’en vérifier la légitimité. Mais si l’escroquerie commence par un coup de fil de la part de votre contact et que vous avez l’impression que c’est lui à l’autre bout du fil, vous êtes beaucoup plus susceptible de tomber dans le panneau.

La fraude évolue constamment. Et cette toute dernière étape de l’évolution des escroqueries de type BEC pourrait changer la donne. Les deux incidents mentionnés ci-dessus, en particulier le dernier, prouvent que la technologie du deepfake peut être utilisée avec succès et permettre aux criminels de gagner beaucoup d’argent.

Brad Deflin, PDG et fondateur de Total Digital Security, estime que cela ne fera qu’inciter davantage de criminels à s’essayer à cette nouvelle technique. « Avec cette immense récompense à la clé pour les criminels et la technologie de plus en plus répandue et abordable, il faut s’attendre à ce que le phénomène s’amplifie », a-t-il déclaré. « Il s’agit d’un élément d’ingénierie social : c’est tout ce qu’il faut pour créer un certain niveau de crédibilité et de confiance. Avant, il suffisait d’un simple e-mail bien écrit qui paraissait légitime, et le tour était joué. Aujourd’hui, la prise de conscience est telle que ce n’est plus le choix le plus simple et efficace pour les criminels.

Mais une plus grande menace reste peut-être à venir. Si les appels audio utilisant la technologie du deepfake audio sont convaincants, est-ce qu’un appel vidéo sur Zoom ne le serait pas encore plus ? La technologie du deepfake vidéo n’a peut-être pas déjà atteint le point où une personne peut réellement se faire passer pour une autre personne lors d’un appel vidéo, mais il est fort probable que cela ne saurait tarder. Les technologies d’appels vidéo actuelles permettent déjà d’appliquer des filtres et des arrière-plans semi-réalistes… Sommes-nous vraiment si loin de pouvoir faire la même chose avec le visage d’une vraie personne ?

De plus, cela ne sera peut-être même pas nécessaire. Beaucoup de gens n’utilisent pas la fonction vidéo lors des appels sur Zoom. Si une personne vous rejoint lors d’un appel sur Zoom, que son adresse e-mail semble légitime, que sa photo de profil LinkedIn apparaît pendant l’appel, et que sa voix vous paraît familière, vous poseriez-vous des questions ? Le vol des 35 millions de dollars n’était que la partie émergée de l’iceberg : il est presque certain que d’autres tentatives de fraude sont à venir.

« L’IA se démocratise, et les cybercriminels sont connus pour être parmi les premiers à adopter les technologies de nouvelle génération », a déclaré Deflin. « Les attaques de type BEC du futur ne ressembleront en rien à celles du passé. L’IA sera capable de mettre au point des piratages que les humains n’auraient jamais pu imaginer eux-mêmes, et ce sera la fin de la partie pour tous ceux qui ne seront pas préparés. »

Repérer un deepfake

Les astuces suivantes peuvent aider les professionnels de la trésorerie et de la finance à identifier les deepfakes audio et vidéo.

  1. Ne jamais se fier à un appel entrant. Une méthode éprouvée, qui permet souvent de déjouer les escroqueries de type BEC, consiste à décrocher le téléphone et appeler votre contact (avec un numéro que vous aviez enregistré dans son dossier au préalable) pour vérifier s’il a bien demandé un transfert d’argent. Dans ce nouveau paradigme de la menace, ces règles continuent de s’appliquer. Si votre contact vous a appelé au téléphone ou vous a invité à rejoindre un appel sur Zoom pour demander un transfert d’argent, c’est toujours une bonne idée de l’appeler plus tard sur un numéro que vous connaissez afin de légitimer et clarifier la demande.
  2. Utiliser une méthode de vérification au cours de la discussion. Un moyen simple, mais efficace de confirmer que vous discutez bien avec votre vrai contact est de vérifier son identité durant l’appel. Demandez à votre interlocuteur de répondre à une série de questions et de vous donner un mot de passe que lui seul peut connaître. Comme l’authentification à deux facteurs sur votre ordinateur, cette pratique ajoute une couche de sécurité supplémentaire.
  3. Utiliser des outils d’authentification. Microsoft a développé un nouvel outil qui analyse les photos et les vidéos et fournit un score de fiabilité permettant de déterminer si le matériel a subi des modifications. Cet outil est capable de détecter des signes infimes indiquant qu’une image a été produite artificiellement, tels que des pixels décolorés ou des niveaux de gris différents sur les bords là où le visage d’une personne a été fusionné avec un autre. Malheureusement, étant donné la vitesse à laquelle la technologie du deepfake évolue, ces outils risquent de devenir rapidement obsolètes.
  4. Rationaliser les processus manuels. Beatriz Saldivar de Kyriba recommande de mettre en place des contrôles des paiements solides associés à une technologie robuste pour prévenir la fraude. Toute vérification manuelle en dehors d’un système ERP ou TMS représente un risque énorme pour toutes les organisations qui peuvent devenir la cible des fraudeurs.

Enfin, le meilleur conseil que les professionnels de la finance puissent suivre est de toujours garder un regard critique. Bien qu’il ne soit pas facile d’être hyperconscient des menaces qui nous entourent, c’est exactement ce que nous devons être dans l’environnement actuel. « Nous devons sensibiliser et stimuler l’esprit critique au niveau individuel », a expliqué Deflin. « Tout ce à quoi nous serons confrontés, comme la technologie du deepfake, sera quelque chose d’inédit pour nous. Nous devons donc armer les gens pour qu’ils puissent voir les choses qu’ils n’ont jamais vues auparavant tout en ayant une certaine capacité à les remettre en question et à y répondre plutôt que de simplement y réagir. »

img
Enterprise Liquidity

Faites évoluer la gestion de vos liquidités pour en faire un vecteur de croissance et de création de valeur.

Découvrir comment