Deepfakes

Rester vrai : comment les faux peuvent entraîner des problèmes de cybersécurité pour l'entreprise

Version imprimable, PDF et e-mail

Lorsque Tom Cruise est apparu récemment sur TikTok jouant au golf, faisant des tours de magie et mangeant des sucettes, les vidéos sont rapidement devenues virales. Elles ont recueilli plus de 11 millions de vues sur la plateforme sociale avant d'être retirées. Pourtant, comme l'ont rapidement remarqué les visionneurs les plus attentifs, il ne s'agissait pas de l'œuvre de l'acteur de Mission Impossible, mais d'une collaboration entre Christopher Ume, artiste belge spécialisé dans les effets visuels, et Miles Fisher, imitateur de Tom Cruise.

Alors s'agissait-il simplement d'une farce inoffensive ou du présage plus inquiétant d'un futur numériquement modifié, où il ne sera plus possible de croire ce que nous voyons sur Internet ? Christopher Ume a lui-même déclaré qu'il souhaitait attirer l'attention du public sur le réalisme de la technologie deepfake actuelle. Les RSSI doivent en prendre note : la technologie pourrait bien donner l'avantage aux escrocs dans les années à venir.

Comment faire un faux

Les développeurs de deepfakes utilisent le Deep Learning, issu de l'IA, pour développer des vidéos et des audios falsifiés de plus en plus difficiles à distinguer des versions originales. Les deepfakes peuvent être utilisés pour synthétiser le discours, manipuler les expressions faciales et même échanger des visages entiers.

L'« auto-encodeur » est essentiel. Il s'agit d'une technologie de réseau neuronal profond qui peut être entraînée jusqu'à prendre en charge une entrée vidéo, la compresser via un encodeur, puis la reconstruire avec un décodeur. Grâce à cette technique, il est possible d'apprendre à un système à reconstruire un visage à partir de l'« essence » compressée de cette image, décrite ici comme un « visage latent ».

Pour générer un deepfake, le système apprend séparément à encoder et décoder deux visages différents, par exemple celui de Tom Cruise et celui de Miles Fisher. En passant ensuite le « visage latent » de Tom Cruise dans le décodeur utilisé pour reconstruire le visage de Miles Fisher, on obtient ainsi un visage reconstruit, fusion des deux premiers. Ainsi, les expressions faciales de Tom Cruise semblent imiter celles de Miles Fisher. La même technologie peut être utilisée pour superposer un visage sur une tout autre personne.

Il est difficile de dire quelle technique, ou combinaison d'autres technologies de pointe, Christopher Ume a réellement utilisée. Son but était d'exploiter le meilleur de la technologie actuelle pour montrer ce que n'importe qui pourrait bien accomplir demain. « Ce qui demande aujourd'hui des jours de travail, un imitateur inventif et un ordinateur puissant à un professionnel qualifié pourrait être accompli par un simple filtre Snapchat d'ici 2025 », a-t-il confié à The Guardian.

Cette annonce devrait inquiéter toute personne travaillant dans le domaine de la cybersécurité, car cette technologie pourrait bientôt faciliter bon nombre d'escroqueries.

Pour générer un #deepfake, le système apprend séparément à encoder et décoder deux visages différents. En passant ensuite le « visage latent » de Tom Cruise dans le décodeur utilisé pour reconstruire le visage de Miles Fisher, on obtient ainsi un visage reconstruit, fusion des deux premiers.Cliquer pour tweeter

Et ensuite ?

Contrairement au travail de professionnels comme Christopher Ume, la plupart des deepfakes, guère plus que de simples canulars élaborés par de jeunes amateurs, sont d'une qualité relativement médiocre. Décalages, pixellisations et autres erreurs les rendent facilement identifiables. Mais la perspective de faux plus convaincants constitue un sujet d'inquiétude pour les politiciens, qui alertent du développement de vidéos visant à manipuler l'opinion publique en faveur d'un candidat plutôt que d'un autre. Les psychologues considèrent en effet que la première impression donnée par une personne a sur nous un impact durable. Cela signifie que même s'il est prouvé par la suite qu'une vidéo était fausse, elle peut encore influencer inconsciemment notre perception d'un candidat.

Une tactique similaire pourrait être utilisée par des cybercriminels pour manipuler les mots énoncés par un PDG ou pour superposer son visage sur le corps d'une personne faisant quelque chose d'illégal ou de controversé. Ce stratagème pourrait ainsi leur permettre d'extorquer de l'argent à la personne visée voire de manipuler le cours des actions de l'entreprise.

Les deepfakes pourraient également être conçus pour renforcer la légitimité des attaques par usurpation d'identité de type compromission de la messagerie en entreprise (BEC). De faux enregistrements audio ont même déjà été utilisés pour inciter un PDG à virer plus de 240 000 dollars à des cybercriminels sur ordre de son « patron allemand ». À mesure que la technologie se répandra, les cybercriminels les plus audacieux trouveront encore de nouvelles façons de l'utiliser, par exemple en contournant les systèmes de reconnaissance faciale et vocale.

Relever le défi

Alors comment pouvons-nous y faire face ? Le phishing et ses variantes sociales, téléphoniques et sur messagerie seront, dans un avenir proche, le vecteur numéro un de ces escroqueries. Mais la course aux armements est pleine de rebondissements et, avec l'IA, devrait encore s'intensifier, les deux parties s'affrontant pour gagner en supériorité.

Les plateformes de réseaux sociaux ont cherché à supprimer ce type de contenu de leurs pages. Twitter a ainsi promis d'étiqueter tout contenu « manipulé ou falsifié » et partagé dans le but de tromper les utilisateurs, et a déclaré qu'il supprimerait les deepfakes susceptibles de causer un préjudice. Facebook a également annoncé l'année dernière qu'il interdirait purement et simplement les deepfakes, suivant l'exemple de YouTube. Mais les plateformes de réseaux sociaux doivent encore rattraper leur retard en matière de suppression de contenus controversés ou illégaux et, dans tous les cas, leurs actions ne pourront résoudre le problème des vidéos envoyées par e-mail privé.

La meilleure chose que les leaders en cybersécurité des entreprises puissent faire pour l'instant est de mettre à jour leurs politiques de formation et de sensibilisation à la sécurité. En s'assurant que le personnel est en capacité de repérer les indices révélateurs de deepfakes et de comprendre comment ces derniers peuvent être utilisés contre leur employeur, les RSSI peuvent mettre en place une première ligne de défense efficace. Le défi suivant sera de concevoir des outils pour repérer et bloquer ces faux.

Les fournisseurs de solutions de sécurité comme Barracuda Networks utilisent déjà des algorithmes avancés d'IA pour mieux détecter les messages malveillants et développeront avec le temps la technologie nécessaire pour en faire de même avec les deepfakes. Les gros titres sont une source d'inquiétude, mais le secteur a déjà relevé des défis comme celui-ci par le passé. Et il le fera à nouveau.

Get AI-based protection from phishing and account takeover

Remonter en haut de page
Tweeter
Partager
Partager