Téléchargez la documentation technique !
Recevez gratuitement dans votre boîte mail la documentation technique d’Axilta’2 et découvrez son fonctionnement dans le détail !
Deepfakes & Cybersécurité : quelles menaces pour votre société ?
En utilisant les deepfakes, les cybercriminels ont perfectionné leurs arnaques, mettant ainsi en danger votre cybersécurité. Alors, ne tombez pas dans leurs filets ! Nous vous donnons toutes les clés pour comprendre ce que sont ces nouvelles menaces boostées à l’IA et surtout vous en protéger efficacement.
Sommaire
Les deepfakes : qu’est-ce que c’est ?
Les deepfakes ce sont des contenus (vidéos, enregistrements audio, photos) falsifiés à l’aide de l’intelligence artificielle.
En effet, en exploitant le « deep learning » et l’IA générative, il est désormais possible de substituer le visage, la voix, ou les mouvements d’une personne dans un contenu par ceux de quelqu’un d’autre. Ceci grâce à un mode de fonctionnement reposant sur des algorithmes qui analysent d’immenses quantités de données (image, vidéo, audio…) pour apprendre à imiter le style et les caractéristiques d’un individu. Les contenus alors produits sont souvent tellement réalistes qu’il en devient difficile de distinguer le vrai du faux. D’où le nom de « deepfakes » pour les désigner ; contraction entre « deep learning » et « fake » pour « faux » en anglais.
Initialement l’usage de ces contenus était plutôt bon enfant et se restreignait à du divertissement sur les réseaux sociaux. Mais son potentiel a rapidement été détourné à des fins malveillantes (désinformation, propagande, cyberharcèlement, atteinte à la réputation d’une personne ou d’une entreprise…).
Les risques cybersécurité liés aux deepfakes
Pour mener leurs campagnes de phishing et dérivés, les cybercriminels recueillent souvent en amont d’énorme quantités d’informations personnelles sur les collaborateurs d’une organisation (comportements, syntaxe, préférences…), grâce à l’ingénierie sociale. Maintenant, grâce à l’IA, ils peuvent utiliser toutes ces données pour créer des deepfakes (photos, audios, vidéos) particulièrement convaincants. Leur objectif étant d’usurper l’identité d’un membre clé de la société visée par leur prochaine attaque.
Par exemple, dans le cadre d’une « Arnaque au Président », les pirates peuvent produire un enregistrement vocal imitant à la perfection la voix du directeur et demander par téléphone à l’un de ses collaborateurs de réaliser un virement frauduleux. Ils peuvent également communiquer uniquement par écrit (email, application de messagerie, SMS…) en reproduisant la syntaxe et les expressions de la personne pour laquelle ils se font passer. Ou encore utiliser la vidéo, qui leur permet de participer à des visioconférences et ainsi de dissiper de manière inconsciente les doutes potentiels chez leurs victimes. Comme ce fut le cas pour ce salarié d’une entreprise de Hong Kong, piégé par un deepfake en 2024 et qui a réalisé un virement de près de 26 millions de dollars à des escrocs.
Enfin, les cybercriminels peuvent se servir des deepfakes pour diffuser de fausses informations portant atteinte à la réputation d’une entreprise. Par exemple, ils peuvent mettre en scène un dirigeant et/ou ses collaborateurs dans des situations compromettantes. Ou encore leur faire dire des choses inappropriées dans une vidéo falsifiée. Le but étant par la suite de réclamer une somme d’argent importante en échange de sa non-diffusion. Voire de la diffuser quand même pour détériorer l’image de la société.
Comment repérer l’arnaque derrière les deepfakes ?
Pour être franc, aujourd’hui, il est devenu impossible de repérer un deepfake de qualité à l’œil nu ou à l’oreille. Les indices visuels d’autrefois (mauvaise synchronisation des lèvres, voix robotique…) ont été gommés par les progrès de l’IA. Une visio ou un message audio falsifié peuvent désormais être d’un réalisme absolu.
Alors pour repérer l’arnaque, ne cherchez plus le défaut technique, mais concentrez-vous plutôt sur des indices contextuels et comportementaux :
- une incohérence dans le scénario : comme par exemple un ton pressant, une insistance sur la confidentialité. Voire une demande formulée en décalage total avec les habitudes de la personne. Ou encore qui implique de contourner vos process habituels…
- des formulations suspectes : expressions, tics de langage ou tournures de phrases… Méfiez vous de tout ce qui ne colle pas avec la façon de s’exprimer habituelle de votre interlocuteur. Comme par exemple une syntaxe trop soutenue, des anglicismes inhabituels. Ou encore des phrases qui semblent traduite de manière grossière depuis une langue étrangère.
- l’environnement sonore : bruits de fond étranges ou trop génériques qui ne correspondent pas à la situation réelle de la personne. Comme par exemple des bruits de transport alors que votre interlocuteur est censé être en télétravail chez lui.
Mais gardez aussi à l’esprit que vos sens ne sont pas infaillibles. Ainsi, si une demande vous semble inhabituellement urgente, considérez la comme suspecte par défaut. Car désormais la parade n’est plus technologique, elle est humaine et procédurale.
Les bonnes pratiques cybersécurité pour vous protéger des deepfakes
Nos conseils pour faire face à une cyberattaque s’appuyant sur les deepfakes
Comme les deepfakes créent de nouveaux défis en matière de cybersécurité, voici quelques bons réflexes qui limiteront les dégâts au moment où vous y êtes confronté :
- lors d’une visio ou d’un appel téléphonique qui vous semble suspect souvenez vous que vous n’êtes pas obligé d’obéir sur l’instant : même si votre interlocuteur insiste, temporisez sa demande.
- faîtes confiance à votre bon sens : si la situation vous paraît louche posez des questions à votre contact pour obtenir plus de détails sur sa demande, son contexte et vous assurer de son identité
- n’hésitez pas à recontacter votre interlocuteur via un autre moyen de communication (fiable) : assurez-vous ainsi qu’il est bien à l’origine de la demande qui vous est faîte
- posez une question piège (contextuelle) : improvisez une question dont seuls vous et votre vrai collaborateur connaissez la réponse, pour démasquer un potentiel imposteur. Comme par exemple : « Au fait, rappelle moi, c’est pour quand la deadline du projet X ? »
- respectez toujours les procédures encadrant les transferts d’argent ou de données dans votre société
Vous prémunir des cyberattaques utilisant les deepfakes : outils & comportements à adopter
Bien entendu, ces conseils pratiques sont à appliquer « sur le moment » vous devez les compléter avec une stratégie de cybersécurité qui s’étend sur le long terme :
- instaurez des « codes secrets internes » (un mot ou une phrase définie à l’avance) que votre interlocuteur doit être capable de fournir pour prouver son identité
- sensibilisez l’ensemble de vos collaborateurs sur cette menace
- soyez vigilant à propos des informations que vous et vos collaborateurs partagez à propos de votre société, sur le web et les réseaux sociaux
- utilisez un antispam efficace pour rediriger toutes les tentatives de phishing et les spams directement dans votre corbeille
- configurez des protocoles de messagerie sécurisés (SPF, DKIM, DMARC) pour éviter de recevoir des emails qui usurpent l’identité d’autres organisations
- gardez votre système informatique à jour et protégé
- activez l’authentification à double facteur sur tous les comptes en ligne où vous le pouvez faire
- si un email/appel vous semble suspect ou inhabituel, contactez nous pour avoir un avis de professionnel sur la situation
Face aux deepfakes ce sont toutes les entreprises qui doivent redoubler de vigilance et adopter de bons réflexes en matière de cybersécurité. Alors pour limiter les risques de tomber dans un piège tendu par des cybercriminels : faîtes de votre système informatique une forteresse imprenable. Nos équipes techniques vous proposent une gamme complète de services (supervision et protection robuste de vos réseaux et machines, sensibilisation de vos utilisateurs aux cyberattaques…) pour sécuriser votre matériel et protéger vos données.
.Pour compléter votre lecture, découvrez aussi :
Si vous n'avez pas déjà adopté la double authentification pour sécuriser vos comptes en ligne, il n'est pas trop tard Lire la suite
Si vous l'ignoriez il existe bel et bien une différence entre un antivirus et un pare-feu. Découvrez le rôle respectif Lire la suite
Pour savoir comment réagir de manière adaptée face à une cyberattaque de type "arnaque au président", le mieux c'est encore Lire la suite
