L’été est une période propice aux tentatives d’escroqueries et arnaques pour les entreprises. En effet les escrocs parient sur l’absence d’une partie du personnel pour tenter de soutirer des fonds ou des données à des employés moins bien formés sur les risques de cybersécurité.
Nous allons aujourd’hui, parler des deepfakes qui peuvent représenter un risque certain pour l’entreprise et sa réputation mais aussi évoquer l’arnaque ou faux virement ou au président.
Qu’est ce qu’une deepfake et quels sont les risques et avantages pour l’entreprise?
Avant de parler des problématiques liées aux deepfake, tentons de définir cette technologie et d’en lister les principales techniques.
Définition et origine de la deepfake
Cette récente technologie a vu le jour en 2014 grâce à un chercheur appelé Ian Goodfellow.
Appelé Generative Adverarial Networks, ce procédé s’appuie sur deux algorithmes qui travaillent en symbiose : le premier doit créer la meilleure vidéo possible et le second doit détecter d’éventuelles failles ou incohérences, le tout en s’appuyant sur des exemples de vidéos déjà existantes.
Les deepfakes ne sont pas forcément un montage vidéo classique il peut s’agir d’un visage généré par l’ordinateur qui s’appuie sur les millions de visages qu’il a intégré dans sa base de données.
C’est en 2017 que les premières vidéos arrivent sur plusieurs sites et c’est en 2018 que le grand public prend connaissance de cette technologie avec une deepfake de Barack Obama devenu célèbre. Depuis, plusieurs dizaines de milliers de vidéos ont fait leur apparition sur le web avec notamment sur Tik Tok le fameux compte Tom Cruise DeepFake
Il existe plusieurs types de deepfakes
La plus connue et la plus facile à repérer est celle du simple remplacement de visage : popularisée sur les réseaux sociaux, elle permet à n’importe quel utilisateur de mettre son visage à la place d’une star dans une ou plusieurs scènes de film. Cette méthode connue sous le nom de face swap ne représente pas en théorie un véritable danger en matière de cybersécurité.
La seconde méthode s’appuie sur une synthèse intégrale : ici, la machine recrée totalement un visage qui n’existe pas ou s’empare d’un visage connu ce qui permet de générer un discours et des expressions que la personne réelle ou créée n’a jamais tenu.
Il est de plus en plus difficile de repérer des marqueurs ou indices indiquant l’usage de la technologie deepfake, mais quelques éléments techniques peuvent vous aider à reconnaitre ces vidéos truquées : l’intelligence artificielle a parfois du mal avec le mouvement des yeux et notamment le clignement des paupières, il peut exister une différence de luminosité entre le visage recréé et le reste du corps et de l’environnement.
Enfin, il existe maintenant des plugins ou logiciels pour vous permettre de décomposer les images une à une pour se rendre compte d’une supercherie.
Il existe aussi la méthode de synchronisation labiale qui s’appuie sur une vidéo originale du sujet en modifiant le mouvement de ses lèvres pour le synchroniser avec un nouveau discours.
Quels sont les risques et les avantages du deepfake pour les entreprises ?
Les risques pour les entreprises en matière de deepfake concernent l’atteinte à la réputation et l’usurpation d’identité.
À l’heure des réseaux sociaux, une vidéo peut très vite nuire à la réputation d’une entreprise : en effet en utilisant le visage du dirigeant, du représentant de la marque ou bien encore d’un anonyme racontant un scénario négatif pour l’image de l’entreprise, une ou plusieurs personnes mal intentionnées peuvent entacher la réputation et l’image d’une entreprise.
Comme nous allons l’aborder avec l’arnaque au président, la technologie deepfake peut aussi servir pour usurper l’identité d’un personnage public pour demander des fonds ou des données à une entreprise.
Etonnamment, cette technologie a aussi des avantages non-négligeables.
En effet, utilisée dans le domaine du jeu vidéo, elle permet de donner vie aux différents personnages afin de rendre leurs expressions les plus fidèles possibles.
Elle peut permettre aussi un travail sur la voix et proposer dans des situations d’échanges professionnels par exemple d’entendre et de faire entendre une voix plus douce ou plus convaincante… Mais là aussi la limite entre bien-être et manipulation peut être ténue.
L’arnaque au président est simplifiée par la technologie deepfake
S’appuyant sur la technologie deepfake ou sur du maquillage comme ce fut le cas pour l’affaire du faux Ledrian (du nom de l’ancien ministre de la défense) l’arnaque au président ou à la personnalité est aussi simple qu’efficace.
Profitant d’une période creuse (temps du déjeuner, période estivale,) une personne se faisant passer soit pour le président de l’entreprise soit pour un homme politique connu, appelle en visio le service comptable ou le dirigeant dans le cas de l’homme politique connu, pour demander en urgence un virement soit pour réaliser une transaction vitale pour le bon développement de la société, soit pour mobiliser des fonds en matière de lutte contre le terrorisme.
L’opportunité est telle que l’entreprise ciblée ne dispose que d’un créneau de quelques minutes pour effectuer le virement. Vallourec, sous traitant automobile réputé, a ainsi viré plus de 23 millions d’euros, et la justice estime que l’arnaque au faux ministre de la défense aurait rapporté plus de 60 millions d’euros aux malfaiteurs l’ayant mis en place.
Attention aux arnaques traditionnelles comme l’arnaque au virement
La période estivale est particulièrement propice pour cette (tentative) d’escroquerie.
Basée sur la récupération de données et notamment celles concernant les différents fournisseurs, elle repose sur un envoi d’un mail ou appel téléphonique.
L’objet de celui-ci est la modification des coordonnées bancaires d’un fournisseur avec envoi d’un faux RIB. Cette tentative d’escroquerie peut être rendue encore plus crédible avec le piratage de la boite mail du fournisseur.
Une fois la modification effectuée, un faux ordre de virement bancaire est transmis (celui-ci peut être doublé d’une fausse facture).
Cet ordre de virement peut aussi être envoyé à des particuliers ou TPE auprès desquels les escrocs se font alors passer pour un cabinet de recouvrement, la personne référente du dossier étant en congés, les entreprises ou particuliers peuvent être tentés de payer rapidement leurs supposées dettes.
Bon sens et double vérification sont les meilleurs outils contre les arnaques en ligne
Ces tentatives d’escroquerie basées sur de nouvelles technologies comme la deepfake utilisent les mêmes ressorts que des méthodes plus anciennes à savoir la récupération de données, l’exploitation de failles dans la cybersécurité de votre entreprise, une période d’activité plus calme pour exploiter un possible manque de sensibilisation de vos employés.
En cas de demande de changement de coordonnées bancaires, prenez le temps de recontacter sur un numéro connu votre fournisseur, soyez vigilant sur le nom de l’entreprise, sur le nouveau RIB ainsi que sur l’adresse mail d’envoi.
Enfin, aucun ministre ne vous demandera de participer financièrement à la lutte contre le terrorisme et en cas d’appel du dirigeant de votre société pour un virement minute prenez le temps d’échanger sur cette demande singulière avec vos collègues ou mieux de recontacter en direct votre responsable pour établir l’authenticité de cette demande.
Plus globalement, la cybersécurité est devenu un enjeu majeur et pour se prémunir d’attaques ou de tentatives d’escroqueries sur votre environnement numérique, il est vivement conseillé de réaliser un audit par des experts puis de mettre en place les mesures adéquates pour ériger un bouclier de protection qui vous évitera de nombreuses déconvenues. En tant qu’experts WordPress, nous sommes en capacité de déployer ce dôme de protection autour de vos infrastructures sites et de vous assurer une sérénité d’esprit quand au bon fonctionnement de votre site, notamment via la réalisation de backups réguliers, d’un monitoring constant et de l’intégration d’un firewall doublé d’un scanner de malwares et virus.
Nous sommes à votre écoute pour, ensemble, vous assurer la meilleure protection web possible.