Lors d’un appel Zoom, si votre responsable vous demandait d’effectuer une transaction financière les yeux dans les yeux, est-ce que vous prendriez le temps de vous demander si la personne à l’écran est réelle ? C’est ce qu’on appelle les deepfakes : à savoir des images ou des enregistrements qui ont été modifiés et manipulés de manière convaincante pour faire croire qu’une personne a fait ou dit quelque chose alors que cela n’a jamais été le cas. Ces pratiques sont hélas de plus en plus fréquentes. Découvrez comment cette technologie moderne peut être utilisée pour le divertissement mais également à des fins de cybercriminalité.
Est-ce réel ?
Grâce au deep learning (une forme de machine learning), il est possible de modifier des images, des vidéos et des enregistrements audio en plaçant le visage, le corps ou la voix d’une personne dans un environnement différent et en donnant l’impression qu’elle a dit ou fait des choses qui ne se sont jamais produites. Le résultat ? Un deepfake.
Saviez-vous qu’un ordinateur peut être capable de créer un deepfake audio après avoir écouté seulement 10 à 20 secondes de la voix d’une personne ?
Cette technologie est désormais largement accessible au public. Des applications telles que FaceApp permettent de créer de fausses vidéos de pratiquement n’importe qui. Vous pouvez, par exemple, faire apparaître votre visage dans un clip vidéo populaire ou devenir l’acteur principal d’une scène de film. Certains deepfakes sur Internet peuvent être amusants, mais entre de mauvaises mains, les enregistrements vidéo ou audio fabriqués sont également devenus des outils de cybercriminalité utilisés pour attaquer des personnes et des entreprises.
Utilisation à des fins d’intimidation, de manipulation politique et de cyberattaque
En plus de divertir, les deepfakes peuvent également avoir des conséquences juridiques, personnelles ou même politiques graves. Le fait que des cybercriminels puissent désormais facilement fabriquer des enregistrements audios ou vidéo rend l’ingénierie sociale encore plus épineuse.
Dans le domaine de la cybersécurité, les deepfakes peuvent être utilisés à des fins d’extorsion, de fraude et de manipulation. Par exemple, quelqu’un pourrait utiliser une fausse vidéo pour faire chanter un PDG et l’obliger à payer afin que la vidéo soit détruite, sous peine de compromettre la réputation de son entreprise. Plus couramment, les entreprises peuvent être confrontées à du « vishing », une technique particulière d’hameçonnage capable d’utiliser un deepfake audio pour manipuler des salariés en leur faisant croire qu’ils suivent les instructions de leur employeur.
L’un des cas les plus célèbres d’attaque par deepfake s’est produit en 2019, lorsque le PDG d’une entreprise d’énergie basée au Royaume-Uni a reçu un appel téléphonique de son patron en Allemagne, qui lui demandait de transférer près d’un quart de million de livres sterling à un fournisseur en Hongrie. Comme la voix ressemblait à celle de son PDG allemand, il a suivi les instructions. Un autre appel a suivi peu de temps après, exhortant le PDG à envoyer plus d’argent. Cela l’a rendu plus méfiant et il a décidé de contacter les autorités. Ce PDG a été victime d’une opération de vishing qui a probablement utilisé un deepfake pour reproduire la voix du patron allemand.
Dans un autre cas de deepfake datant de 2022, Patrick Hillmann, directeur de la communication de la place de change de cryptomonnaie Binance, a commencé à recevoir des appels de plusieurs personnes affirmant avoir été en contact avec lui. Selon elles, les discussions tournaient autour de la possibilité de coter leurs actifs sur Binance, et elles étaient censées recevoir un jeton Binance en échange d’une partie de leur argent. M. Hillmann a été surpris, car il ne connaissait aucun des appelants et pensait n’avoir jamais été en contact avec eux. Il a ensuite découvert que des cybercriminels avaient utilisé certaines de ses anciennes interviews publiées pour créer des deepfakes et simuler des appels Zoom pour discuter d’affaires. Les personnes qui ont été victimes des deepfakes ont perdu leur argent, mais le problème aurait également pu nuire gravement à la réputation de l’entreprise.
Ne tombez pas dans le piège des deepfakes
En regardant certains des deepfakes les plus élaborés, vous pouvez avoir l’impression qu’il n’y a aucun moyen de déterminer si ce que vous voyez en ligne est un faux ou un vrai. Il est en fait bénéfique de toujours faire preuve d’un certain scepticisme. Si vous avez ne serait-ce qu’un doute sur ce que vous voyez à l’écran, vous aurez déjà fait un pas de plus vers votre protection.
Mais comment identifier un deepfake ?
Les deepfakes audio sont plus difficiles à découvrir, car ils peuvent ressembler à s’y méprendre à une voix humaine normale. Certains programmes peuvent cependant désormais détecter les deepfakes audio. Comment ? La voix humaine ne peut produire qu’une gamme limitée de sons, tandis que la « voix de l’ordinateur » n’est pas aussi limitée et sonne donc légèrement différemment.
Peut-on identifier un deepfake sans logiciel spécialisé ? Ce peut être difficile, mais c’est possible. Voici ce que vous devez vous demander lorsque vous essayez de vérifier l’authenticité d’une vidéo ou d’un enregistrement audio.
- L’enregistrement vous semble-t-il difficile à croire ? Le contenu est-il scandaleux et cherche-t-il manifestement à provoquer une réaction émotionnelle chez les spectateurs/auditeurs ? Si c’est le cas, c’est peut-être le premier signe qu’il faut l’aborder avec précaution et vérifier les informations que vous voyez ou entendez.
- Y a-t-il quelque chose de suspect dans ces détails ? Les créateurs de deepfakes ont souvent des difficultés à reproduire des expressions plus subtiles, telles que le clignement des yeux, la respiration ou les mouvements délicats des cheveux et du visage. De temps en temps, les zones qui bougent le plus peuvent comporter de légères imperfections. Dans les enregistrements audios, vous devez rechercher des pauses anormales entre les mots ou, au contraire, des paroles trop parfaites.
- Le corps bouge-t-il naturellement ? Lorsque quelqu’un nous parle, nous avons tendance à regarder son visage plutôt que son corps. Les créateurs de deepfakes s’attachent également à reproduire les expressions faciales. Si la forme du corps ou les mouvements de la personne dans la vidéo semblent légèrement décalés, il s’agit peut-être d’un deepfake.
- Le son est-il adapté à la vidéo ? Les créateurs de deepfake ne parviennent parfois pas à faire correspondre l’enregistrement audio avec les mouvements de la personne. Une fois de plus, observez attentivement le visage pour voir si les mouvements de la bouche correspondent aux mots qui en sortiraient.
- L’éclairage est-il cohérent ? La tête de la personne semble-t-elle anormalement claire ou foncée ? Les différences d’éclairage peuvent être un indice.
Créez des formations de cybersécurité divertissantes et intéressantes
Les équipes informatiques devraient s’efforcer d’informer leur entreprise sur les deepfakes et leurs risques. Comme les deepfakes sont un exemple fascinant de technologie pouvant être utilisée à la fois par des artistes et des cybercriminels, vous devriez vous efforcer de rendre la formation des collaborateurs interactive et ludique. Envoyez-leur par exemple des vidéos et laissez-les deviner celles qui sont réelles et celles qui ne le sont pas. En invitant les collaborateurs à participer activement, il est plus probable qu’ils se souviendront de ce qu’ils ont appris et utiliseront leurs connaissances pour renforcer la sécurité de votre entreprise.