Utilisées désormais dans les films, les émissions de télé et des applications humoristiques, les deepfakes ont aussi une part plus sombre. Cette année, elles devraient également être détournées pour lancer de nouvelles formes d'arnaques et de fraudes au sein même des entreprises, préviennent les spécialistes en cybersécurité.
Cette technologie repose en effet sur des images truquées par une intelligence artificielle permettant de calquer le visage d'une personne sur celui d'un comédien qui pourrait lui faire dire ce qu'il souhaite. Si ce type de technologie a déjà été utilisé lors de la dernière campagne pour la présidence des Etats-Unis dans le cadre de sketches avec une vigilance accrue sur les réseaux sociaux pour ne pas répandre de fausses informations, en 2021 la crainte se porte à présent vers les entreprises.
Le scénario peut-être simple : Un deepfake du dirigeant d'une société s'adresse à de hauts cadres pour faire une annonce qui donnerait de fausses informations ou des ordres contradictoires pouvant être responsables de pertes significatives.
Une «crédibilité» grandissante
«Les deepfakes ont le potentiel de devenir une caractéristique clé des attaques menées contre les entreprises, amplifiant les techniques d'ingénierie sociale existantes en les rendant encore plus crédibles. Il est déjà possible de se procurer des contenus deepfakes sur le dark web, et il est aisé pour les cybercriminels de récupérer des vidéos et des enregistrements de dirigeants sur les réseaux sociaux de leurs entreprises, les supports marketing ou via les activités en ligne des employés, par exemple», avertit Nir Chako, chef de la cellule de recherche en sécurité chez CyberArk, une société spécialisée en cybersécurité.
Le danger tient surtout à la «crédibilité» grandissante des vidéos deepfakes, car les IA gagnent chaque semaine en efficacité pour imposer un rendu criant de réalisme. Dans les première vidéos deepfakes «les créateurs de celles-ci échangeaient juste la bouche ou les yeux ou au mieux les visages d'un acteur avec un autre et si vous regardiez de près, il était très facile de les repérer. Toutefois, aujourd'hui, il y a de meilleures technologies qui arrivent avec la possibilité de transférer le style et les mimiques d'une personne sur le visage d'une autre personne et les vidéos sont si bien faites que même pour les personnes qui créent ces vidéos, il leur est très difficile de distinguer le deepfake», abonde en ce sens Sadia Afroz, scientifique spécialisée dans l'IA, au sein du laboratoire de recherche d'Avast, autre acteur impliqué dans la cybersécurité.
Un outil clé pour le phishing de demain ?
Alors que les tentatives d'hameçonnage (phishing) et le whaling (phishing qui vise à usurper l'identité d'un haut cadre ou d'un patron d'entreprise) explosent, «les deepfakes ont le potentiel de changer complètement le paysage du phishing», alerte Nir Chako. Et de poursuivre : «Nous prévoyons que les cybercriminels développeront prochainement des deepfakes, dans lesquels ils mettront en avant un collègue en position de confiance – par exemple un membre de l'équipe informatique – pour envoyer à leurs contacts qui ne se méfient de rien, une série d'appels vidéo pour gagner leur confiance. L’objectif est d’obtenir de la part des victimes leurs identifiants, et d’utiliser ces derniers pour accéder aux systèmes». Une tendance qui pourrait d'ailleurs surfer sur le télétravail. «Avec tous les outils liés au travail à distance et la vidéoconférence qui se développe par exemple, il y a plus de possibilités de venir perturber différents métiers avec des deepfakes», souligne Sadia Afroz.
Pour cette chercheuse, les outils nécessaires au deepfakes sont de plus en plus simples à utiliser puisqu'il est même possible de faire des vidéos sur TikTok avec. «Surtout, des logiciels de deepfakes plus sophistiqués circulent sur le dark web avec des outils open source que les cybercriminels peuvent acquérir», ajoute-t-elle. Déjà plusieurs sociétés travaillent sur des logiciels capables de détecter les deepfakes, que se soit chez Facebook ou à l'Université de Berkeley. L'idée étant d'alerter les internautes sur les deepfakes au même titre que les fake news.