Plus que les hallucinations des IA, les Deepfakes constituent l’une des menaces les plus redoutées par tous ceux qui alertent aujourd’hui sur les dérives des usages de l’IA. Et les dernières études publiées montrent une large et rapide progression de ces faux contenus qui paraissent aussi vrais que nature.
Le Forum économique mondial, le WEF, estimait l’an dernier que le nombre de DeepFakes et autres contenus falsifiés grâce à l’intelligence artificielle avaient augmenté de 900% en un an. La plupart du temps ces contenus sont générés à des fins artistiques ou ludiques sur les réseaux sociaux mais aussi de plus en plus souvent à des fins de manipulation des opinions, des fins politiques ou de désinformation.
Les Deepfakes, de la désinformation à la fraude…
Cette semaine, une autre étude Sumsub sur la fraude en Amérique du Nord, révèle que les contenus générés par IA sont désormais aussi de plus en plus utilisés pour de la fraude, que ce soit pour présenter une fausse identité ou contourner des processus de vérification d’identité. Ainsi la proportion de « DeepFakes » dans les techniques de fraudes a explosé passant de 0,2% en 2022 à 2,6% au premier trimestre 2023 aux USA (de 0,1% à 4,6% dans le même temps au Canada) ! Parallèlement les faux imprimés qui représentaient 4% des fraudes en 2022 ont disparu des radars en ce début 2023.
« Les deepfakes sont devenus plus faciles à fabriquer et, par conséquent, leur quantité s’est multipliée, comme le montrent les statistiques. Pour créer un deepfake, un fraudeur utilise le document d’une personne réelle, en prend une photo et la transforme en un personnage en 3D. Les fournisseurs de services de lutte contre la fraude et de vérification qui ne travaillent pas en permanence à la mise à jour des technologies de détection des « deepfakes » sont à la traîne et mettent en danger à la fois les entreprises et les utilisateurs. La mise à jour des technologies de détection des faux est un élément essentiel des systèmes modernes et efficaces de vérification et de lutte contre la fraude » alerte Pavel Goldman-Kalaydin, Head of AI & ML chez Sumsub.
Différentes attaques par Deepfakes…
De leur côté, les chercheurs de Kaspersky se sont aussi penchés sur ce phénomène et les usages malveillants des Deepfakes. Dans un rapport, ils mettent en évidence trois schémas principaux d’utilisation des deepfakes : la fraude financière, l’atteinte à la vie privée et la ciblage des entreprises.
1- L’ingénierie sociale par Deepfake a engendré des fraudes financières, des cybercriminels se faisant passer pour des célébrités pour piéger leurs victimes. L’une de ces escroqueries a entraîné la propagation virale d’une vidéo contrefaite d’Elon Musk faisant la promotion d’un plan d’investissement en crypto-monnaies douteux, conduisant à des pertes financières pour les utilisateurs dupés.
2- Autre tendance forte, les premières deepfakes pornographiques ont récemment émergé. On le sait, l’informatique tend à faire des bonds technologiques portés par le jeu vidéo ou le… sexe. Pour rappel, 50% des appels à projets reçus par Microsoft après l’annonce des Hololens provenaient de l’industrie pornographique. Pas étonnant, dès lors, de voir Deepfakes et pornographie s’entremêler. Kaspersky révèle plusieurs utilisations de l’IA pour « pervertir » des vidéos et accoler le visage de victimes non consentantes dans des situations plus qu’explicites, causant préjudice et détresse émotionnelle associée souvent à des extorsions d’argent. Les chercheurs révèlent que dans d’autres cas, ce sont des visages de célébrités qui ont été insérés sur des scènes pornographiques entachant leur réputation et bafouant leurs droits.
3- Enfin les entreprises sont également ciblées par des deepfakes dans des tentatives d’extorsion de fonds, de chantage et d’espionnage industriel. Un cas notoire a impliqué le vol de 35 millions de dollars à une banque aux Émirats arabes unis grâce à un Deepfake vocal. De même, une fausse réunion Zoom orchestrée par des fraudeurs a mené à une tentative d’escroquerie contre la plateforme de crypto-monnaies Binance.
Malgré la hausse alarmante des deepfakes, leur création reste une opération coûteuse et complexe, nécessitant des ressources conséquentes et un grand volume de données sur la cible. Cette barrière technologique et financière limite pour l’instant l’accès à cette forme de cybercriminalité à une minorité de criminels. Mais avec des modèles de plus en plus intelligents disponibles en mode SaaS et surtout avec la multiplication des modèles IA en open source – exécutables sur un simple ordinateur portable -, ces technologies commencent à se populariser, et le phénomène Deepfakes n’est pas prêt de s’arrêter. Et ce ne sont pas les réglementations internationales appelées de leurs vœux par les politiques, les organisations citoyennes et les patrons des entreprises de la Tech qui changeront grand-chose : par définition, les cybercriminels n’ont que faire des Lois et Réglementations…
Les conséquences potentielles des attaques par Deepfakes pour les entreprises comme pour les individus n’en sont que plus graves et plus inquiétantes. Elles vont aujourd’hui du vol de données à la diffamation en passant par l’extorsion et la manipulation de l’opinion publique.
« Parmi tous les risques que les Deepfakes peuvent faire courir aux entreprises, le vol de données n’est pas nécessairement le plus grave. Parfois, les atteintes à la réputation peuvent avoir des conséquences bien plus graves. Imaginez qu’une vidéo dans laquelle votre patron fait (en apparence) des déclarations polarisantes sur des questions sensibles soit publiée. Pour les entreprises, cela peut rapidement entraîner une chute du cours des actions. Cependant, bien que les risques associés à ce type de menace soient extrêmement élevés, la probabilité que vous soyez attaqué de cette manière reste extrêmement faible en raison du coût de création des deepfakes et du fait que peu d’attaquants sont capables de créer un deepfake de haute qualité », commente Dmitry Anikin, expert senior en sécurité chez Kaspersky. « Ce que vous pouvez faire dès aujourd’hui, c’est connaître les principales caractéristiques des deepfakes et garder une attitude sceptique face aux messages vocaux et aux vidéos que vous recevez. Assurez-vous également que vos employés comprennent ce qu’est un deepfake et comment ils peuvent le reconnaître : en scrutant, par exemple, des mouvements saccadés, des changements dans le teint de la peau, des clignements étranges ou l’absence totale de clignements, etc. »
Kaspersky Labs rappelle avoir créé le service Digital Footprint Intelligence pour surveiller ces menaces et leur expansion sur la toile.