Comment les escroqueries deepfake sophistiquées visent à soutirer des millions aux entreprises de construction

Les patrons de la société d'ingénierie Arup à Hong Kong ont certainement eu cette idée. En février, ils ont déclaré que des criminels avaient utilisé cette technologie dans le cadre d'une escroquerie sophistiquée, persuadant un employé malchanceux de verser des millions de dollars sur de faux comptes.

Les criminels auraient réussi à se faire passer pour plusieurs hauts responsables de l'entreprise lors d'un appel en ligne. Bien que les détails exacts du fonctionnement de l'escroquerie n'aient pas été confirmés, on pense que les voix des dirigeants de l'entreprise ont été « clonées », ce qui a permis aux criminels de sembler familiers à l'employé. On ne pense pas qu'une vidéo - qui nécessite une technologie plus sophistiquée - ait été utilisée.

Les voix clonées – si c’est effectivement de cette manière que les criminels présumés ont réussi leur escroquerie – sont un exemple de technologie deepfake, qui, de concert avec l’intelligence artificielle (IA), se développe à un rythme effréné.

Définies comme des médias synthétiques qui ont été manipulés numériquement pour remplacer de manière convaincante l'image d'une personne par celle d'une autre (qu'il s'agisse de sa voix, de son apparence ou des deux), la technologie derrière les deepfakes est complexe.

Nouvelles technologies, vieilles astuces

Mais comme l'expliquent les experts en sécurité en ligne Richard Hughes et Hodei Lopez du cabinet mondial de services informatiques A&O IT Group , bien que les escroqueries deepfake soient quelque chose de relativement nouveau, elles reposent sur une formule éprouvée impliquant l'ingénierie sociale.

Le phishing par courrier électronique, que la plupart des gens connaissent désormais bien, suit le même format. De la même manière qu’un courrier électronique qui semble provenir d’une entreprise ou d’un contact de confiance demande au destinataire de cliquer sur un lien douteux ou de remplir un formulaire, le deepfake renforce ce sentiment de familiarité en créant une imitation plausible d’une personne réelle connue de la victime avant de profiter de sa confiance et de sa bonne volonté pour obtenir ce que les criminels veulent.

« Nous avons progressivement développé la capacité de ne pas faire confiance au phishing, car il est tellement omniprésent de nos jours », explique Lopez. « La dernière approche va donc encore plus loin. »

Si l’idée que des criminels puissent déterminer l’apparence et la voix de certaines personnes au sein d’une entreprise, puis créer des images convaincantes de ces personnes, semble farfelue ou difficile à réaliser, alors considérez la quantité d’informations sur les individus désormais disponibles en ligne.

« De nos jours, nos profils sont très publics, surtout si vous êtes aux échelons supérieurs de la haute direction », explique Hughes. « Vous avez probablement fait des présentations ou des conférences en vidéo. Votre voix aura été entendue. Plus vous pouvez obtenir d’images d’une personne, meilleure sera la qualité vidéo. Plus il y a d’échantillons de son discours, meilleure sera la qualité audio. Je pourrais avoir une conversation avec vous et enregistrer votre voix. Ce n’est pas trop difficile. »

Bien que les escroqueries deepfake ne soient pas forcément très complexes, elles doivent être bien organisées, explique-t-il. « De nombreux ransomwares sont envoyés à un million de personnes et une ou deux peuvent répondre – ce n’est pas du tout ciblé. Avec les deepfakes, les criminels doivent avoir un plan qu’ils mettent en œuvre et il est certainement ciblé. C’est la différence. »

Les entreprises de construction sont une cible

S’il faut une preuve supplémentaire en plus de l’attaque dont Arup a été victime, les entreprises de construction sont au moins aussi susceptibles d’être une cible pour les escrocs deepfake que les entreprises de tout autre secteur.

Les criminels ne se préoccupent en réalité que de la probabilité de réussite de leur plan et recherchent les maillons faibles, explique Lopez.

« Ils cibleront des environnements qui pourraient être moins avancés sur le plan technologique, comme le secteur de la construction par exemple », explique-t-il. « Dans ce contexte, ils essaieront de trouver des personnes qui sont peut-être plus âgées ou moins au fait des nouvelles technologies, ou ils cibleront peut-être des régions moins enclines à la technologie. »

Et dans une analogie appropriée pour ce secteur, il ajoute : « Si la sécurité est un mur de briques, notre travail consiste à maintenir l'intégralité du mur. C'est difficile car il y a beaucoup de briques - s'ils trouvent une seule brique desserrée, ils la retirent tout simplement.

« Ils peuvent cibler une personne proche d’un poste de pouvoir – une secrétaire qui pourrait être un peu moins au fait des nouvelles technologies et disposée à répondre à une demande quelconque. Ensuite, ils utilisent cette empathie pour écraser la personne. »

Comment être sur ses gardes

Lorsqu’il s’agit de protéger votre entreprise contre les attaques deepfake, Hughes affirme qu’il vaut mieux prévenir que guérir.

Lopez souligne : « Le problème majeur avec toutes ces tentatives d’ingénierie sociale, c’est qu’elles vous mettent dans une situation de pression : « J’ai besoin que cela soit fait immédiatement, sinon nous allons perdre des affaires. » Se faire dire « Nous avons besoin que cela soit fait immédiatement » vous fait perdre toutes les capacités de réflexion critique que vous avez développées. »

Les employés doivent être encouragés à remettre en question ce qu’on leur demande de faire. Parallèlement, la direction doit s’assurer que le système est suffisamment accessible pour que les employés se sentent en mesure de remettre en question ces demandes.

Image : weerapat1003 via AdobeStock - stock.adobe.com

En ce qui concerne les vidéos, les deepfakes peuvent encore offrir des signes révélateurs qu'elles ne sont pas réelles, du moins pour l'instant. Comme une vidéo deepfake consiste à superposer un faux visage sur une vraie personne devant une caméra, des flous ou des artefacts apparaîtront lorsque le sujet touchera sa tête ou son visage.

« Mais pour les personnes moins techniques, elles voient une personne qu’elles reconnaissent et tout cela disparaît », explique Hughes.

Quoi qu'il en soit, le clonage vocal (que ce soit par conversion de texte en voix ou de voix en direct) étant plus mature et moins gourmand en technologie, les escroqueries sont plus susceptibles d'impliquer la voix que la vidéo en direct, ce qui est plus compliqué à réaliser avec succès. Et il est beaucoup plus difficile à repérer, en particulier lors d'un appel téléphonique où la qualité audio est généralement inférieure ou où un bruit de fond a été ajouté.

Hughes recommande de suivre régulièrement des formations sur les éléments à surveiller. « Nous avons tendance à penser que six mois est le maximum que l’on peut attendre sans avoir besoin de renforcement », dit-il. Au-delà, les gens ont tendance à oublier les risques, prévient-il.

Il recommande également des affiches autour des cantines et des cuisines pour renforcer le message, et même des messages sur les arrière-plans des ordinateurs de bureau de l'entreprise, changeant toutes les quelques semaines, si l'entreprise est suffisamment grande pour les gérer de manière centralisée.

Lopez recommande également de renforcer les processus de l’entreprise en gardant à l’esprit la sécurité. « Par exemple, si vous effectuez une transaction financière importante, il pourrait être nécessaire de prévoir un mécanisme supplémentaire qui obligerait plusieurs personnes à la vérifier. Ou peut-être faudrait-il prévoir une étape supplémentaire qu’une personne occupant un poste de direction devrait franchir, comme une confirmation par SMS, avant que la transaction ne soit validée. »

Dans le cas des criminels qui demandent à leurs victimes de faire des paiements, une fois que l'argent est sur leur compte, il est presque certainement trop tard, explique Hughes. « Ces types sont plutôt organisés. Si vous versez de l'argent sur un compte bancaire, il disparaîtra probablement en quelques secondes après avoir été déposé sur ce compte. »

« Il s’agit donc d’abord d’éduquer les gens pour qu’ils puissent repérer la menace, puis de revoir vos processus pour vous assurer que si vous êtes encouragé à effectuer une forme de transaction que vous pensez être un peu douteuse, il est alors plus difficile de la réaliser immédiatement. »

Il conclut : « La situation ne fera qu’empirer à mesure que la technologie s’améliorera. N’importe qui disposant d’une machine de jeu raisonnable peut exécuter un deepfake. Nous avons constaté une tendance à la hausse massive de l’ingénierie sociale dans son ensemble pendant la pandémie de Covid-19, mais elle ne s’est pas vraiment stabilisée. C’est une activité commerciale en fin de compte, avec un retour sur investissement massif. »

Un employé d'Arup victime d'une arnaque par appel vidéo deepfake de 25 millions de dollars américains La société d'ingénierie Arup a confirmé qu'un de ses employés à Hong Kong a été victime d'un appel vidéo deepfake qui les a conduits à transférer 200 millions de dollars de Hong Kong (25,6 millions de dollars américains) de l'argent de l'entreprise à des criminels