Incidents associés
Le dirigeant du plus grand groupe publicitaire mondial a été la cible d'une arnaque deepfake sophistiquée impliquant un clone vocal d'intelligence artificielle. Le PDG de WPP, Mark Read, a détaillé la tentative de fraude dans un récent courriel adressé à la direction, mettant en garde les autres membres de l'entreprise contre les appels prétendument émis par des cadres supérieurs.
Les fraudeurs ont créé un compte WhatsApp avec une image publique de Read et l'ont utilisé pour organiser une réunion Microsoft Teams avec lui et un autre cadre supérieur de WPP, selon le courriel obtenu par le Guardian. Au cours de la réunion, les imposteurs ont déployé un clone vocal du cadre ainsi qu'une vidéo YouTube. Les escrocs se sont fait passer pour Read hors caméra, utilisant la fenêtre de discussion de la réunion. L'arnaque, qui a échoué, visait un « responsable d'agence » et lui demandait de créer une nouvelle entreprise afin de solliciter de l'argent et des informations personnelles.
« Heureusement, les attaquants n'ont pas réussi », a écrit Read dans le courriel. « Nous devons tous être vigilants face aux techniques qui, au-delà des e-mails, exploitent les réunions virtuelles, l'IA et les deepfakes. »
Un porte-parole de WPP a confirmé dans un communiqué que la tentative d'hameçonnage n'avait pas abouti : « Grâce à la vigilance de nos équipes, dont celle du dirigeant concerné, l'incident a été évité. » WPP n'a pas répondu aux questions concernant la date de l'attaque ni les dirigeants impliqués, outre Read.
Autrefois principalement liée au harcèlement en ligne, à la pornographie et à la désinformation politique, le nombre d'attaques deepfakes dans le monde des affaires a explosé au cours de l'année écoulée. Des clones vocaux IA ont trompé des banques, des sociétés financières et mis en alerte les services de cybersécurité. Un exemple très médiatisé est celui d'un dirigeant de la défunte start-up de médias numériques Ozy, qui a plaidé coupable de fraude et d'usurpation d'identité après qu'il a été signalé qu'il avait utilisé un logiciel de falsification vocale pour se faire passer pour un dirigeant de YouTube et tenter de duper Goldman Sachs afin qu'il investisse 40 millions de dollars en 2021.
La tentative de fraude sur WPP semble également avoir utilisé l'IA générative pour le clonage vocal, mais a également utilisé des techniques plus simples, comme la prise d'une image publique comme photo d'affichage de contacts. Cette attaque illustre les nombreux outils dont disposent désormais les escrocs pour imiter les communications d'entreprise légitimes et se faire passer pour des dirigeants.
« Nous avons constaté une sophistication croissante des cyberattaques visant nos collègues, et en particulier celles visant les hauts dirigeants », a déclaré Read dans son courriel.
Le courriel de Read énumérait plusieurs points à surveiller comme signaux d'alerte, notamment les demandes de passeports, les virements d'argent et toute mention d'« acquisition, transaction ou paiement secret dont personne d'autre n'a connaissance ».
« Ce n'est pas parce que le compte contient ma photo qu'il s'agit bien de moi », a déclaré Read dans son courriel.
WPP, société cotée en bourse dont la capitalisation boursière s'élève à environ 11,3 milliards de dollars, a également indiqué sur son site web avoir été confrontée à des sites frauduleux utilisant sa marque et collaborer avec les autorités compétentes pour mettre fin à cette fraude.
« Veuillez noter que le nom de WPP et celui de ses agences ont été utilisés frauduleusement par des tiers – communiquant souvent via des services de messagerie – sur des sites web et applications non officiels », indique un message contextuel sur la page de contact de l'entreprise.
De nombreuses entreprises sont confrontées à l'essor de l'IA générative, réorientant leurs ressources vers cette technologie tout en s'attaquant à ses risques potentiels. WPP a annoncé l'année dernière (https://edition.cnn.com/2023/05/29/tech/nvidia-wpp-ai-advertising/index.html) un partenariat avec le fabricant de puces Nvidia pour créer des publicités utilisant l'IA générative, vantant cette initiative comme un changement radical dans le secteur.
« L'IA générative transforme le monde du marketing à une vitesse fulgurante. Cette nouvelle technologie transformera la façon dont les marques créent du contenu à des fins commerciales », a déclaré Read dans un communiqué en mai dernier.
Ces dernières années, la technologie de deepfake audio à faible coût est devenue largement disponible et beaucoup plus convaincante. Certains modèles d'IA peuvent générer des imitations réalistes de la voix d'une personne à partir de quelques minutes d'audio, facilement obtenues auprès de personnalités publiques, ce qui permet aux escrocs de créer des enregistrements manipulés de presque n'importe qui.
L'essor des deepfakes audio a ciblé des candidats politiques du monde entier, mais s'est également propagé à d'autres cibles moins connues. Un directeur d'école de Baltimore a été mis en congé cette année suite à des enregistrements audio qui semblaient contenir des propos racistes et antisémites, mais il s'est avéré qu'il s'agissait d'un deepfake perpétré par l'un de ses collègues. Des robots se sont fait passer pour Joe Biden et l'ancien candidat à la présidence Dean Phillips.