Le FBI met en garde les demandeurs d'emploi concernant les « deepfakes »

L'Internet Crime Complaint Center (IC3) du Federal Bureau of Investigations (FBI) des États-Unis met en garde contre une hausse du nombre de plaintes impliquant l'utilisation de deepfakes et d'informations personnelles identifiables (IPI) volées pour postuler à divers emplois à distance et à domicile.

Les deepfakes utilisent des algorithmes d'apprentissage avancé ainsi qu'une vidéo, une image ou un enregistrement qui a été modifié et manipulé pour faire croire que quelqu'un fait ou dit quelque chose alors que ce n'est pas le cas.

Dans les cas recensés par le FBI, le spoofing de la voix est utilisée lors d'entretiens en ligne et concerne un large éventail d'emplois informatiques. Le FBI a constaté que les gestes et le mouvement des lèvres de la personne qui se présente devant la caméra ne sont pas en parfaite synchronisation avec la voix de la personne qui parle. De même, certaines actions telles que le fait de tousser, d'éternuer ou d'autres actions auditives ne sont pas en adéquation avec ce qui se passe visuellement.

Les deepfakes conçus en se basant sur des célébrités sont désormais assez répandus sur Internet. La pornographie impliquant l'utilisation de cette technologie pour créer des images est également en passe de devenir un problème suffisamment grave pour que la Commission juridique d'Angleterre et du Pays de Galles demande l'adoption d'une nouvelle législation qui érige en crime le fait de créer des images en utilisant des deepfakes sans l'autorisation expresse de la personne représentée. Les deepfakes sont également utilisés lors d'attaques de Social Engineering qui, par exemple, ont abouti au vol de 35 millions de dollars après l'utilisation de technologies d'imitation vocale permettant d'imiter la voix d'un directeur d'entreprise demandant à une banque de transférer des fonds pour une acquisition qui n'a jamais eu lieu. Ce n'est plus qu'une question de temps avant que ces technologies ne soient plus largement employées dans le cadre d'attaques par compromission d'une boîte de messagerie professionnelle (BEC), par exemple.

Luttez contre les deepfakes grâce à l'authentification multifacteur

Comme les technologies de deepfake sont de plus en plus utilisées lors des attaques BEC, il devient de plus en plus évident que des systèmes d'authentification multifacteur (MFA) plus fiables doivent être mis en place. Le problème, bien sûr, est que la MFA a toujours été quelque peu difficile à implémenter, et qu'il est ensuite difficile de convaincre les utilisateurs de l'adopter. Elle ajoute des étapes à un processus que de nombreux utilisateurs finaux se sont montrés réticents à adopter, en dépit de la fréquence à laquelle les informations d'identification telles que les noms d'utilisateur et les mots de passe sont volées.

Heureusement, Google, Apple et Microsoft, par l'intermédiaire de l'Alliance FIDO, se sont tous engagés à inclure des fonctions de connexion sans mot de passe pour leurs plateformes basées sur la MFA. Ainsi, il devrait, espérons-le, devenir bientôt plus facile pour les entreprises d'adopter la MFA grâce à une alternative aux mots de passe basée sur un second facteur universel (FIDO U2F), le cadre d'authentification universelle FIDO (FIDO UAF) et FIDO2, un ensemble de spécifications associées. L'objectif ultime étant de simplifier l'authentification des demandes d'accès en temps réel plutôt que de s'appuyer sur la correspondance entre un mot de passe et une base de données confidentielle gérée par une équipe informatique interne.

Malheureusement, il faudra encore quelques années avant que cet objectif ne se concrétise. En attendant, les attaques de Social Engineering vont devenir de plus en plus sophistiquées à mesure que la qualité des deepfakes ne cesse de croître. Bien entendu, il sera difficile pour un deepfake d'imiter fidèlement des individus pendant une période de temps prolongée. Toutefois, la plupart des professionnels de la cybersécurité ne le savent que trop bien, il suffit déjà de peu pour que des utilisateurs finaux crédules soient victimes d'attaques de Social Engineering relativement sommaires, qui sont sur le point de devenir de plus en plus convaincantes lorsqu'elles incluent des deepfakes.