Tout n’est pas toujours tel qu’il apparaît. Au fur et à mesure que la technologie des systèmes experts (IA) a progressé, les gens l’ont exploitée pour déformer la réalité. Ils ont produit des images artificielles et des vidéos de tout le monde, de Tom Cruise et Mark Zuckerberg au président Obama. Alors que beaucoup de ces cas d’utilisation sont inoffensifs, d’autres applications, comme le deepfake phishing, sont beaucoup plus malveillantes.
Une vague d’acteurs du hasard utilise l’IA pour créer du matériel audio, image et vidéo synthétique créé pour se faire passer pour des personnes de confiance, telles que des PDG et d’autres cadres, afin de tromper les membres du personnel pour qu’ils transmettent des informations.
Pourtant, la plupart des organisations ne sont tout simplement pas préparées à résoudre ces types de dangers. En 2021, l’analyste de Gartner, Darin Stewart, a rédigé un article de blog alertant que « alors que les entreprises se démènent pour résister aux attaques de ransomwares, elles ne font rien pour se préparer à une attaque imminente de médias artificiels ».
Avec l’IA qui progresse rapidement et des fournisseurs comme OpenAI démocratisant l’accès à l’IA et à l’apprentissage automatique grâce à de nouveaux outils comme ChatGPT, les entreprises ne parviennent pas à ignorer le risque d’ingénierie sociale posé par les deepfakes. S’ils le font, ils s’exposeront à des violations d’informations.
L’état du deepfake phishing en 2022 et au-delà
Bien que l’innovation du deepfake n’en soit qu’à ses balbutiements, il est de plus en plus attrayant. Les cybercriminels commencent déjà à l’essayer pour lancer des attaques contre des utilisateurs et des organisations sans méfiance.
Selon le Forum économique mondial (WEF), le nombre de vidéos deepfake en ligne augmente à un taux annuel de 900 %. Au même moment, VMware découvre que deux défenseurs sur trois déclarent avoir vu des deepfakes nuisibles utilisés dans le cadre d’une attaque, soit une augmentation de 13 % par rapport à 2015.
Ces attaques peuvent être d’une efficacité dévastatrice. Par exemple, en 2021, des cybercriminels ont utilisé le clonage de voix par intelligence artificielle pour se faire passer pour le PDG d’une grande entreprise et ont amené le directeur de la banque de l’entreprise à transférer 35 millions de dollars vers un autre compte pour finaliser une « acquisition ».
Un événement similaire s’est produit en 2019. Un escroc a appelé le PDG d’une société d’énergie britannique utilisant l’IA pour se faire passer pour le directeur général de l’entreprise allemande de mamans et papas de l’entreprise. Il a demandé un transfert urgent de 243 000 dollars à un fournisseur hongrois.
De nombreux experts prévoient que la hausse du deepfake phishing ne fera que se poursuivre, et que le faux contenu produit par les stars du danger ne fera que devenir plus sophistiqué et convaincant.
« A mesure que l’innovation deepfake se développe, [les attaques utilisant des deepfakes] devraient finir par être plus courantes et s’étendre à de nouvelles fraudes », a déclaré l’analyste de KPMG Akhilesh Tuteja.
« Ils deviennent progressivement identiques à la vérité. Il était facile d’informer les vidéos deepfake 2 ans plus tôt, car elles avaient une qualité [de mouvement] encombrante et … l’individu truqué ne semblait jamais cligner des yeux. Mais c’est devient de plus en plus difficile de le distinguer maintenant », a déclaré Tuteja.
Tuteja recommande aux responsables de la sécurité de se préparer aux escrocs utilisant des images et des vidéos synthétiques pour contourner les systèmes d’authentification, tels que les connexions biométriques.
Comment les deepfakes simulent des personnes et peuvent contourner l’authentification biométrique
Pour exécuter une attaque de phishing deepfake, les pirates utilisent l’IA et l’intelligence artificielle pour traiter une série de contenus, y compris des images, des vidéos et des clips audio. Avec ces données, ils produisent une réplique numérique d’un individu.
« Les mauvais acteurs peuvent facilement fabriquer des encodeurs automatiques – une sorte de réseau neuronal avancé – pour profiter de vidéos, rechercher des images d’étude et écouter des enregistrements d’individus afin d’imiter les attributs physiques de cette personne », a déclaré David Mahdi, consultant CSO et RSSI chez Sectigo.
L’un des meilleurs exemples de cette méthode a eu lieu cette année. Les pirates ont généré un hologramme deepfake de Patrick Hillmann, le responsable de l’interaction chez Binance, en prenant le contenu d’interviews passées et de regards médiatiques.
Avec cette technique, les acteurs du danger peuvent non seulement simuler les attributs physiques d’une personne pour tromper les utilisateurs humains via l’ingénierie sociale, ils peuvent également bafouer les services d’authentification biométrique.
Pour cette raison, l’analyste de Gartner Avivah Litan conseille aux organisations « de ne pas compter sur l’accréditation biométrique pour les applications d’authentification des utilisateurs à moins qu’elles n’utilisent une détection efficace des contrefaçons qui garantit la vivacité et l’authenticité des utilisateurs. »
Litan note également que la détection de ces types d’attaques est plus susceptible de se terminer devenir plus difficile au fur et à mesure que l’IA qu’ils utilisent progresse pour pouvoir produire des sons et des graphiques plus convaincants.
« La détection des deepfakes est une proposition perdante, car les deepfakes développés par le réseau génératif sont évalués par un réseau discriminatif », a déclaré Litan. Litan décrit que le générateur a l’intention de créer un contenu qui trompe le discriminateur, tandis que le discriminateur améliore continuellement pour repérer le matériel synthétique.
Le problème est qu’à mesure que la précision du discriminateur augmente, les cybercriminels peuvent en appliquer les informations au générateur pour produire un contenu plus difficile à repérer.
La fonction de la formation de sensibilisation à la sécurité
L’un des moyens les plus élémentaires dont disposent les entreprises pour résoudre le deepfake phishing est l’utilisation d’une formation de sensibilisation à la sécurité. Bien qu’aucune quantité de formation n’empêche tous les employés d’être victimes d’un effort de phishing très avancé, cela peut réduire la probabilité d’occurrences et de failles de sécurité.
« La meilleure méthode pour faire face au deepfake phishing est d’intégrer ce danger dans la formation de sensibilisation à la sécurité. Tout comme les utilisateurs apprennent à éviter de cliquer sur des liens Web, ils devraient suivre une formation comparable sur le deepfake phishing », a déclaré John Oltsik, analyste mondial ESG.
Une partie de cette formation devrait inclure une procédure pour signaler les tentatives d’hameçonnage à l’équipe de sécurité.
En termes de contenu de formation, le FBI recommande aux utilisateurs de découvrir comment déterminer les attaques de deepfake spear phishing et d’ingénierie sociale en recherchant des indicateurs visuels tels que la distorsion, la déformation ou les disparités dans les images et la vidéo.
Enseigner aux utilisateurs comment déterminer les signaux d’alarme typiques, tels que plusieurs images, y compris un espacement et un positionnement constants des yeux, ou des problèmes de synchronisation entre le mouvement des lèvres et l’audio, peut les aider à éviter d’être victimes d’un ennemi qualifié.
Lutter contre l’IA adverse avec l’IA défensive
Les organisations peuvent également tenter de lutter contre le deepfake phishing en utilisant l’IA. Les réseaux antagonistes génératifs (GAN), une sorte de modèle de connaissance approfondie, peuvent produire des ensembles de données artificiels et créer de fausses attaques d’ingénierie sociale.
« Un CISO fort peut compter sur des outils d’IA, par exemple, pour identifier les phonies. Les organisations peuvent également utiliser les GAN pour créer des types possibles de cyberattaques que les méchants n’ont pas encore déployées, et développer des méthodes pour les neutraliser avant qu’ils n’aient lieu », a déclaré Liz Grennan, partenaire associée qualifiée chez McKinsey.
Les organisations qui suivent ces cours doivent être prêtes à y consacrer du temps, car les cybercriminels peuvent également utiliser ces capacités pour innover de nouveaux types d’attaques.
« Bien sûr, les escrocs peuvent utiliser les GAN pour créer de nouvelles attaques, il dépend donc des entreprises de garder une longueur d’avance », a déclaré Grennan.
Avant tout, les affaires demandent d’être préparées. Les organisations qui ne prennent pas au sérieux la menace du deepfake phishing s’exposent à un vecteur de risque qui a la possibilité de décoller en appel alors que l’IA finit par être égalisée et plus disponible pour les entités destructrices.
L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies commerciales transformatrices et de négocier. Découvrez nos Rundowns.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
