L’année dernière, pas moins de 25 millions de dollars ont été volés à la société mondiale de conseil en ingénierie Arup dans une affaire de fraude fondée sur l’intelligence artificielle (IA). Les fraudeurs ont utilisé une technologie hautement sophistiquée pour reproduire de façon convaincante la voix et l’apparence de membres de la direction afin d’amener un employé à autoriser un énorme transfert de fonds.
Cet incident démontre la menace grandissante que représentent les arnaques financières alimentées par l’IA et la vitesse alarmante à laquelle les cybercriminels s’approprient ces technologies.
Les avancées rapides de l’IA, en particulier la prolifération des grands modèles de langage (GML) entraînés au moyen d’immenses banques de vidéos et de photos, ont énormément simplifié la création de reproductions très convaincantes.
Les récentes percées technologiques permettant aux GML de gagner en efficacité alimentent une course technologique mondiale qui repousse les limites des médias synthétiques.
Comme les plateformes de réseaux sociaux foisonnent désormais de contenu généré par l’IA, la capacité de détecter efficacement le vrai du faux diminue. L’évolution constante de la technologie d’hypertrucage sous l’effet de l’entraînement et de l’exposition aux données massives constitue un problème de taille.
Les entreprises et les particuliers sont confrontés à une triste réalité : nous entrons dans une ère où voir ne signifie plus forcément croire.
Sophistication accrue des crimes par IA
L’évolution sans précédent de la technologie facilite la création d’hypertrucages réalistes. Ce qui nécessitait autrefois un savoir-faire pointu et de l’équipement dispendieux peut maintenant être réalisé avec des outils facilement accessibles à une fraction du prix. En permettant la création de documents multimédias hyperréalistes sans trop d’efforts, l’IA générative joue un rôle central dans ce changement.
Évolution des images générées par l’IA en un an : Photo de Rishan Lye, associé de BDO (gauche), image générée par l’IA en 2023 (centre) et image générée par l’IA en 2024 (droite).
Malgré les risques croissants, il n’existe pas de solution universelle pour lutter contre l’hypertrucage. Des entreprises et des gouvernements élaborent des règlements et des cadres éthiques, mais cette pratique n’est pas généralisée.
Les acteurs malveillants exploitent donc la technologie pour frauder, mener des campagnes de désinformation et voler des identités sans subir de conséquences.
Répercussions des crimes par hypertrucage
Les médias synthétiques alimentés par l’IA transforment la cybercriminalité en se servant d’instrument pour commettre des fraudes inédites à l’endroit de particuliers et d’entreprises. Ces fraudes ont pour conséquences des pertes financières, des dommages à la réputation et l’extrême détresse psychologique des victimes.
Une fois que de fausses informations sont propagées en ligne, il est presque impossible de réparer les dégâts, puisqu’elles persistent souvent même après avoir été réfutées.
Plus les technologies d’hypertrucage évoluent, moins les mesures de sécurité traditionnelles, comme l’authentification vocale au téléphone, sont fiables.
En raison de cet enjeu croissant de cybersécurité, les entreprises doivent revoir et améliorer leurs technologies et leurs processus de détection de la fraude pour ne pas se laisser berner. Les millions de dollars escroqués à la société Arup sonnent l’alarme pour toutes les entreprises, qui doivent chercher des solutions, telles que la reconnaissance faciale et les mécanismes de détection des fraudes par carte de crédit, pour lutter contre l’usurpation d’identité.
Il faut miser davantage sur les techniques de détection des trucages, comme l’isolement de certaines caractéristiques faciales, le repérage des usurpations faciales et l’analyse des reflets dans les yeux, de la texture de la peau, des mouvements anormaux et des réactions d’une personne.
Outre les préjudices personnels, ces crimes peuvent aussi infliger de sérieux dommages aux marques et aux entreprises. La réputation de ces dernières peut être ternie si les trucages générés par l’IA montrent des membres de leur personnel s’adonnant à des pratiques contraires à l’éthique, comme la destruction de l’environnement ou l’exploitation de la main-d’œuvre. Elles pourraient alors voir le public se retourner contre elles et subir des pertes financières.
En revanche, les entreprises réellement coupables de comportements répréhensibles pourraient contester les faits en affirmant que des preuves pourtant authentiques sont fausses pour se protéger et nier toute responsabilité. Le manque de cadre législatif dans de nombreux territoires complexifie davantage les poursuites judiciaires et laisse les victimes, qui ont peu de recours, seules face aux conséquences.
Indices pour détecter l’hypertrucage
Malgré la sophistication croissante qui rend les médias générés par l’IA ultraréalistes, il est possible de détecter certaines incohérences qui révèlent la nature artificielle du contenu.
Indicateurs visuels
Les visages générés par l’IA peuvent présenter des signes de manipulation. Restez à l’affût d’expressions faciales artificielles ou d’émotions qui semblent exagérées ou qui ne concordent pas avec le ton de la personne qui parle. Des déformations subtiles, telles qu’une texture de peau anormale, des pixels qui vacillent ou s’estompent autour du visage, sont aussi des signes de manipulation.
De plus, les mouvements légèrement lents ou étranges des lèvres peuvent suggérer que le contenu a été généré par ordinateur.
Actuellement, ces indicateurs sont pertinents. Toutefois, comme les modèles d’IA ne cessent de se perfectionner, que leur capacité à imiter les micro-expressions faciales, à reproduire les textures et à éliminer de tels indicateurs s’améliorent, il devient de plus en plus difficile de démêler le vrai du faux.
Indicateurs audio
Les technologies de clonage de voix se sont grandement développées, mais il reste encore des imperfections. Tendez l’oreille aux tons mécaniques ou monotones ainsi qu’aux intonations et aux accents insolites. Comme les voix générées par l’IA ne maîtrisent toujours pas les pauses naturelles, les réponses peuvent être décalées et ne pas suivre le rythme d’une conversation en temps réel.
De plus, l’absence de bruits de fond ou la présence de bruits ambiants toujours identiques peuvent être des indicateurs de clonage vocal.
Indices contextuels
Outre les indicateurs visuels et audio, les incohérences dans le style de communication sont un autre signe important. Un message ou une vidéo qui contient des expressions inusitées ou des erreurs de grammaire ou dont le style ne ressemble pas à celui du locuteur ou de l’expéditeur devrait éveiller les soupçons. Prêtez attention à la provenance du contenu. Vient-il d’une source inconnue ou d’une plateforme non vérifiée?
Les entreprises et les équipes opérationnelles devraient envisager de mettre en place des processus de validation, comme des tests de comportement uniques (p. ex., des mots de code convenus à l’avance communiqués uniquement à certaines personnes autorisées) ou des questions de vérification en temps réel (p. ex., des questions auxquelles répondre dans un temps limité ou fondées sur le contexte).
Le sentiment d’urgence est souvent utilisé pour manipuler les destinataires et les pousser à agir rapidement sans vérifier l’authenticité du contenu. Si une demande ne respecte pas les protocoles standard ou exige qu’une mesure soit prise immédiatement, il s’agit fort probablement d’une arnaque.
Protection contre les attaques par hypertrucage
Les entreprises doivent demeurer vigilantes vis-à-vis des nouvelles menaces fondées sur la désinformation numérique et l’usurpation d’identité. Bien qu’aucun système ne soit complètement infaillible, des mesures préventives peuvent considérablement réduire les risques de fraude et de dommages à la réputation.
Cybervigilance et sensibilisation
Les entreprises devraient adopter une approche proactive à l’égard de la cybersécurité et traiter la détection de la fraude comme un processus continu plutôt que comme une mesure réactive. Offrez à vos employés des formations sur les contenus trompeurs et la façon dont ils sont utilisés pour manipuler la perception du public.
Ils seront ainsi mieux outillés pour détecter les menaces. De plus, en leur fournissant périodiquement des séances d’information sur la cybersécurité et la fraude, ils demeureront au fait des nouvelles tactiques.
Exploitation des outils de détection alimentés par l’IA
Les outils de détection sophistiqués alimentés par l’IA seront vraisemblablement la meilleure façon de vérifier l’authenticité du contenu, puisque leur efficacité surpassera celle des humains. Les entreprises devraient donc investir dans des solutions d’IA fiables qui détectent les incohérences dans les fichiers vidéo et audio afin de repérer les communications frauduleuses avant qu’elles ne causent des dommages.
Pour garder une longueur d’avance sur les acteurs malveillants, elles auraient aussi avantage à mettre en place des processus de vérification dynamiques. Les mises à jour apportées fréquemment aux méthodes d’authentification compliquent la tâche des auteurs d’attaque, qui ont alors plus de difficulté à prédire les mesures de sécurité.
Technologie de chaînes de blocs
Cette technologie constitue un puissant mécanisme de défense contre la manipulation des données. En stockant des renseignements dans une base décentralisée et protégée, les entreprises peuvent veiller à l’authenticité de leurs données. Les chaînes de blocs permettent notamment de protéger les contrats, de vérifier les identités numériques et de maintenir l’intégrité des communications confidentielles.
Risques liés aux fausses informations sur les médias sociaux
Dans plusieurs régions, les plateformes de médias sociaux comme TikTok sont devenues des sources d’information importantes. La collecte d’informations non encadrée et non réglementée est idéale pour les acteurs malveillants qui veulent propager des informations trompeuses.
Vu la très grande quantité de contenu généré par les utilisateurs, il devient de plus en plus facile de diffuser des messages convaincants dans un but bien précis. Les gouvernements et les entreprises doivent avoir à l’œil ces plateformes afin de repérer les fausses informations qui pourraient nuire à leur marque ou à différents secteurs. Il existe des outils d’IA et des organismes de vérification des faits qui aident à contrer la désinformation.
BDO est là pour vous
Dans le monde d’aujourd’hui où les menaces se multiplient rapidement, il est crucial de protéger ses informations confidentielles et de maintenir la confiance. Forts de notre vaste expérience en sécurité, notamment en ce qui a trait au traitement de données confidentielles et à la gestion d’environnements de télétravail, nous aidons les entreprises à prévenir les menaces.
Notre équipe des Services-conseils en cybersécurité teste proactivement votre environnement pour repérer les vulnérabilités ou les menaces actives et vous fournit des conseils pratiques pour renforcer votre posture de sécurité. Notre équipe des Services-conseils en risque collabore avec votre équipe de direction pour mettre en place des processus à l’échelle de l’entreprise en vue de faire face aux menaces internes, d’améliorer la gouvernance et d’instaurer des contrôles financiers robustes.
Enfin, notre équipe des Services-conseils en matière de différends vous propose des analyses d’experts et des stratégies de résolution pour régler les différends financiers, en particulier dans un contexte où les crimes alimentés par l’IA ne cessent d’augmenter. Grâce à notre approche intégrée, nous vous aidons à réduire les risques, à demeurer conformes et à renforcer votre résilience dans un monde numérique en constante évolution.