Problème 4094

• Un peu plus de la moitié (53 %) des entreprises aux États-Unis et au Royaume-Uni ont été la cible d’une escroquerie financière alimentée par la technologie « deepfake », 43 % d’entre elles étant victimes de telles attaques, selon une enquête menée par le fournisseur de logiciels financiers Medius.
• Sur les 1 533 professionnels de la finance américains et britanniques interrogés par Medius, 85 % considèrent ces escroqueries comme une menace « existentielle » pour la sécurité financière de leur organisation, selon un rapport sur les résultats publié le mois dernier. Les deepfakes sont des images, des vidéos ou des enregistrements audio manipulés par l’intelligence artificielle qui sont faux mais convaincants.
• « De plus en plus de criminels voient les escroqueries deepfake comme un moyen efficace d’obtenir de l’argent des entreprises », a déclaré Ahmed Fessi, directeur de la transformation et de l’information chez Medius, dans une interview. Ces escroqueries « combinent des techniques de phishing avec l’ingénierie sociale, ainsi que la puissance de l’IA ».

L’IA générative pourrait permettre aux pertes dues à la fraude d’atteindre 40 milliards de dollars aux États-Unis d’ici 2027, a déclaré le cabinet comptable Deloitte, l’un des quatre grands groupes, dans un rapport publié en mai.

« Il existe déjà toute une industrie artisanale sur le dark web qui vend des logiciels frauduleux de 20 à plusieurs milliers de dollars », indique le rapport. « Cette démocratisation des logiciels malveillants rend un certain nombre d’outils anti-fraude actuels moins efficaces. »

En mai, le groupe d’ingénierie britannique Arup était sous le feu des projecteurs après des informations selon lesquelles des escrocs avaient réussi à détourner 25 millions de dollars de l’entreprise en utilisant la technologie deepfake pour se faire passer pour le directeur financier de l’organisation. Après une vidéoconférence avec le faux directeur financier et d’autres employés créés par l’IA, un membre du personnel d’Arup a effectué un certain nombre de transactions sur cinq comptes bancaires différents à Hong Kong avant de découvrir la fraude.

Dans un autre exemple, le Guardian a rapporté en mai que le groupe publicitaire WPP avait été la cible d’une arnaque deepfake infructueuse.

Les contenus en ligne tels qu’une vidéo YouTube ou un podcast mettant en scène un PDG ou un directeur financier peuvent fournir aux criminels des éléments pour un deepfake convaincant qui peut ensuite être utilisé dans une escroquerie d’usurpation d’identité pour duper quelqu’un comme un membre de l’équipe financière afin de remettre des fonds de l’entreprise, a déclaré Fessi. Dans le cadre de l’escroquerie, le fraudeur peut essayer de créer un faux sentiment d’urgence pour faire pression sur l’employé sans méfiance afin qu’il agisse rapidement.

Dans un autre type d’escroquerie deepfake, l’attaquant peut essayer de se faire passer pour un vendeur ou un fournisseur qui travaille avec l’entreprise, a-t-il déclaré.

À la lumière des menaces croissantes posées par les deepfakes, Fessi a exhorté les entreprises à prendre des mesures défensives fondées sur trois piliers principaux :

Éducation. « Tous les membres de l’organisation doivent avoir une compréhension de base de ce qu’est un deepfake, comment en repérer un et quelles mesures prendre s’ils sont ciblés », a-t-il déclaré, ajoutant que les entreprises devraient également envisager de compléter cela par une formation spécialisée pour les cadres supérieurs et les gestionnaires ainsi que pour les employés des services à haut risque.

Procédure. Les entreprises doivent mettre en place des freins et contrepoids pour minimiser le risque que les employés effectuent par inadvertance des paiements à des fraudeurs, par exemple en exigeant qu'au moins deux personnes signent un virement bancaire, selon Fessi. Les organisations doivent également se préparer à la manière dont elles réagiront en cas d'attaque deepfake réussie. « Il est important que ces processus soient documentés et partagés avec le personnel, en particulier le personnel financier », a-t-il déclaré.

Technologie. Des outils tels que l'IA et l'apprentissage automatique, lorsqu'ils sont combinés à un processus de validation à plusieurs niveaux et à une séparation des tâches, peuvent aider les entreprises à repérer les transactions anormales, a déclaré Fessi.