Votre téléphone sonne, votre patron vous appelle. Vous reconnaissez sa voix qui vous est familière. Avec une intonation propre à lui, il vous fait part qu’il a besoin de vous pour effectuer un virement conséquent vers un autre compte, dans le cadre d’une affaire urgente et confidentielle. Votre âme de professionnel s’exécute, vous sentant utile d’être chargé d’une telle responsabilité. Mais qu’en serait-il si vous découvriez que votre patron n’était en définitive pas à l’autre bout du fil ?
Le 14 octobre 2021, un rapport d’enquêteurs de Dubaï est publié dans le média américain Forbes. L’enquête affirme qu’un directeur de banque des Émirats Arabes Unis s’est fait dérober 35 millions de dollars. Puis le ministère des Affaires étrangères et de la Coopération internationale viendra tout compte fait préciser que la banque en question se trouve à Hong Kong.
L’escroquerie s’est déroulée en janvier 2020, par appel téléphonique, de la manière suivante : le directeur de la banque a effectué les virements demandés par un prétendu directeur d’entreprise qu’il connaissait. Ce dernier lui a fait croire que sa société allait faire une acquisition et qu’il avait urgemment besoin de cet argent. Étant donné que l’acquisition était réellement prévue dans la vraie entreprise et que des mails avaient déjà été échangés à ce sujet, le directeur de la banque n’a pas vu le piège qui lui était tendu. On notera qu’il n’y a même plus besoin d’armes ni de violence pour effectuer un braquage considérable… En effet, pour parvenir à leur fin, les cybercriminels ont utilisé la technologie du deepfake, et plus particulièrement, ici, du deepfake vocal.
Qu’est-ce que le deepfake ?
Faisant son apparition au États-Unis, le deepfake, basé sur l’intelligence artificielle, consiste notamment à créer un montage vidéo, en utilisant l’image d’autrui – le plus souvent des personnalités politiques et importantes – afin de superposer sa propre voix sur l’image. Le montage peut aussi être audio, en simulant la voix d’une autre personne. La contrefaçon audio est d’ailleurs plus simple à créer que la contrefaçon visuelle. L’objectif du deepfake est donc d’émettre des propos et d’influencer autrui, mais avec l’apparence ou la voix de quelqu’un d’autre. En résumé, le deepfake regroupe alors deux techniques : le deepface et le deepvoice.
Avec cette technologie, qui est peu couteuse, on peut alors être qui on veut, dire ce qu’on veut, quand on veut. C’est pour ces raisons que ces images et ces voix de synthèses peuvent se révéler très dangereuses pour les entreprises.
Un cauchemar pour les entreprises
Utilisé notamment pour des publicités ou les doublages de films, le deepfake peut également être utilisé à mauvais escient. En effet, le développement de cette forme d’intelligence artificielle peut ouvrir la porte à tout genre d’escroquerie. Même les grandes entreprises telles que des institutions financières peuvent être trompées. En ce sens, cette pratique pourrait alors être punie sur le terrain de l’usurpation d’identité prévu par l’article 226-4-1 du Code pénal.
Dans le cas de la banque que nous avons évoqué, l’enquête révèle que dix-sept personnes au moins seraient impliquées dans cette fraude. Un prétendu avocat nommé Martin Zelner a lui aussi été embauché pour organiser et rendre les procédures plus professionnelles et crédibles. L’argent escroqué aurait ensuite été disposé sur divers comptes dans le monde entier. Les Émirats Arabes Unis ont, quant à eux, demandé de l’aide aux enquêteurs américains pour tracer 400 000 dollars qui ont été dérobés et versés sur des comptes américains appartenant à la Centennial Bank.
Les hackers ont donc, en définitive, organisé leur braquage de manière très rigoureuse et plus que crédible en se servant – seulement – des nouvelles technologies. Cette affaire est la plus impressionnante à ce jour en termes d’arnaque due à un deepfake.
Cependant, cette affaire n’est pas la seule qui vient impliquer cette nouvelle technologie. En 2019, le Wall Street Journal avait également affirmé que des cybercriminels avaient réussi à escroquer 240 000 dollars à une entreprise énergétique au Royaume-Uni. Dans cette affaire, un salarié avait transféré l’argent à un cybercriminel en pensant que c’était son patron.
Par ailleurs, le deepfake peut également être exploité dans un tout autre domaine : celui du monde politique. En effet, ce type de phénomène peut intervenir dans le cadre de campagnes électorales afin d’influencer les élections. En guise d’illustration, le journaliste Craig Silverman fit une présentation dans l’Université de Columbia, en 2018, où il diffusa une vidéo dans laquelle Barack Obama parle vulgairement. Cependant, le journaliste montra l’arrière du décor de cette vidéo. Il s’agissait en fait de Jordan Peele, un acteur, qui incarnait l’image d’Obama en parlant à sa place. Ils ont utilisé un logiciel gratuit et accessible sur Internet, nommé « FakeApp » afin de réaliser ce montage qui semblait réel. Ces nouvelles technologies entrent alors dans le champ de la lutte contre la désinformation, ce qu’on appelle plus communément les fake news.
La frontière entre la fiction et la réalité est de plus en plus difficile à déceler à cause de la crédibilité que permettent de créer les nouvelles technologies. Il s’agit malheureusement d’un gros avantage aux yeux des cybercriminels.
L’Intelligence artificielle : entre innovation et escroquerie
L’expert en cybersécurité Jack Moore affirme dans Forbes que tout le monde ne connait pas ce type de nouvelles technologies tel que le deepfake. Ceci rend cette technique d’autant plus dangereuse car elle peut manipuler plus facilement les individus s’ils ne s’en méfient pas.
Le 21ème siècle est alors marqué par l’évolution colossale de la technologie. Ce phénomène peut être une aubaine pour certains, mais également une énorme menace lorsqu’elle est entre les mains d’acteurs malveillants. Dès lors, il est nécessaire de développer des pratiques dans les entreprises pour garder une longueur d’avance. C’est le cas par exemple de la société Pindrop, spécialisée dans la sécurisation des données et la détection des fraudes dans les centres d’appels. Elle prétend détecter les voix contrefaites et intéressent alors de nombreux acteurs économiques au niveau mondial.
Par ailleurs, il faut également former et sensibiliser le personnel des entreprises. Cela consiste à discerner les signes apparents. En effet, les arnaqueurs mettent la pression à leur cible en prétendant que les paiements à réaliser sont urgents et strictement confidentiels. Les entreprises doivent mettre en œuvre des moyens tels que la double vérification par mail, ou encore des logiciels de contrôle de coordonnées bancaires. Il faut également veiller à divulguer le moins d’informations possibles, comme des enregistrements audios sur les réseaux sociaux ou encore Youtube, afin que votre propre voix ne soit pas ensuite utilisée à votre insu.
Ce type de crime financier a débuté aux États-Unis et se propage de plus en plus à travers le monde. Ce phénomène semble difficilement arrêtable, d’autant plus qu’aux États-Unis, la loi américaine n’interdit pas cette pratique. En effet, l’arrêt États-Unis c/ Alvarez de 2012, rendu par la Cour Suprême, retient que le premier amendement ne peut pas interdire l’expression, du seul fait que ce serait un mensonge. Cependant, l’homme politique américain qu’est Adam Schiff ne cache pas son inquiétude lorsqu’il énonce qu’il « ne peut rien imaginer de plus corrosif pour la démocratie qu’un environnement où plus personne ne peut dire où se situe la vérité ». Le deepfake constitue en quelques sortes la montée en puissance de l’ingénierie sociale, c’est à dire la manipulation psychologique à des fins de fraude. En effet, l’intelligence artificielle ne cesse de s’améliorer et permet désormais de créer un monde parallèle dans lequel les cybercriminels peuvent prendre le contrôle. Il faut alors rester vigilant afin d’empêcher la trop grosse croissance des victimes potentielles, car ce n’est que le début.
Sources :
BREWSTER T., « Company Director’s Voice in $35 million bank heist, police find”, Forbes, 14 octobre 2021, https://www.forbes.com/
RAKOTOMALALA M., « Deepfake : ils dérobent 35 millions de dollars grâce à un appel téléphonique », Cnews, 10 octobre 2021, https://www.cnews.fr/
GRAND H., « Après les fakes news, la menace du « deepfake » prend de l’ampleur sur le web », Le Figaro, le 02/01/2019, https://www.lefigaro.fr/
MANFREDINI D., « Deepfake : comment les Emirats arables unis se sont fait escroquer de 35 millions de dollars », 20 minutes, 29 octobre 2021, https://www.20minutes.fr/
Trustpair, « Deepfake : porte ouverte à la fraude en entreprise ? », 6 janvier 2021, https://trustpair.fr/
TEZENAS DU MONTCEL M., « 35 millions de dollars : le butin amassé par des braqueurs armées… d’un deepfake vocal », l’ADN, 18 octobre 2021, https://www.ladn.eu/
SAUVAGEAU F., THIBAULT S., TRUDEL P., Les fausses nouvelles : nouveaux visages, nouveaux défis : Comment déterminer la valeur de l’information dans les sociétés démocratiques ?, ed. Hermann, 2019, p 90-91
« Qui est Pindrop, qui vient de lever 90 millions de dollars ? », Selectra, 10 novembre 2019, https://selectra.info/
LE CALME S., « Des cybercriminels ont utilisé la technologie deepfake pour voler 35 millions de dollars à une banque », Développez.com, 24 octobre 2021, https://www.developpez.com/
SUSTEIN Cass R., « Etats-Unis : le gouvernement peut-il légiférer sur les deepfakes ? », L’Opinion, 8 janvier 2021, https://www.lopinion.fr/