Problème 4952

• Un peu plus de la moitié des entreprises aux États-Unis et au Royaume-Uni ont été victimes d'une escroquerie financière utilisant la technologie « deepfake », 43 % d'entre elles étant victimes de telles attaques, selon une enquête menée par Medius, fournisseur de logiciels financiers.
• Sur les 1 533 professionnels de la finance américains et britanniques interrogés par Medius, 85 % considèrent ces escroqueries comme une menace « existentielle » pour la sécurité financière de leur organisation, selon un rapport sur les résultats publié le mois dernier. Les deepfakes sont des images, des vidéos ou des enregistrements audio manipulés par intelligence artificielle, à la fois faux et convaincants.
• « De plus en plus de criminels considèrent les deepfakes comme un moyen efficace de soutirer de l'argent aux entreprises », a déclaré Ahmed Fessi, directeur de la transformation et de l'information chez Medius, lors d'une interview. Ces escroqueries « combinent des techniques d'hameçonnage (phishing) et d'ingénierie sociale, ainsi que la puissance de l'IA ».

L'IA générative pourrait entraîner des pertes dues à la fraude pouvant atteindre 40 milliards de dollars aux États-Unis d'ici 2027, selon un rapport publié en mai par Deloitte, cabinet d'audit membre des Big Four.

« Il existe déjà sur le dark web toute une industrie artisanale qui vend des logiciels frauduleux pour des prix allant de 20 à plusieurs milliers de dollars », indique le rapport. « Cette démocratisation des logiciels malveillants rend certains outils antifraude actuels moins efficaces. »

En mai, le groupe d'ingénierie britannique Arup a été sous le feu des projecteurs après des informations selon lesquelles des escrocs auraient détourné 25 millions de dollars de l'entreprise en utilisant une technologie de deepfake pour se faire passer pour son directeur financier. Après une visioconférence avec le faux directeur financier et d'autres employés créés par l'IA, un membre du personnel d'Arup a effectué plusieurs transactions sur cinq comptes bancaires différents à Hong Kong avant de découvrir la fraude.

Par ailleurs, le Guardian a rapporté en mai que le groupe publicitaire WPP avait été la cible d'une arnaque deepfake infructueuse.

Des contenus en ligne tels qu'une vidéo YouTube ou un podcast mettant en scène un PDG ou un directeur financier peuvent fournir aux criminels des éléments pour créer un deepfake convaincant, qui peut ensuite être utilisé dans une escroquerie par usurpation d'identité afin de duper une personne, par exemple un membre de l'équipe financière, pour qu'il remette des fonds à l'entreprise, a déclaré Fessi. Dans le cadre de cette escroquerie, le fraudeur peut tenter de créer un faux sentiment d'urgence pour inciter l'employé sans méfiance à agir rapidement.

Dans un autre type d'escroquerie par deepfake, l'attaquant peut tenter de se faire passer pour un vendeur ou un fournisseur de l'entreprise, a-t-il ajouté.

Face à la menace croissante que représentent les deepfakes, Fessi a exhorté les entreprises à prendre des mesures défensives reposant sur trois piliers principaux :

• Éducation : « Chaque membre de l'organisation doit avoir une compréhension de base de ce qu'est un deepfake, comment le repérer et les mesures à prendre en cas de cible », a-t-il déclaré. Les entreprises devraient également envisager de compléter cette formation par une formation spécialisée destinée aux cadres supérieurs et aux managers, ainsi qu'aux employés des services à haut risque. * Processus : Les entreprises doivent mettre en place des mécanismes de contrôle afin de minimiser le risque que leurs employés effectuent des paiements par inadvertance à des fraudeurs, par exemple en exigeant la signature d’au moins deux personnes pour un virement bancaire, selon Fessi. Les organisations doivent également se préparer à la manière dont elles réagiront en cas d’attaque deepfake réussie. « Il est important que ces processus soient documentés et partagés avec le personnel, en particulier le service financier », a-t-il déclaré.
• Technologie : Des outils tels que l’IA et l’apprentissage automatique, lorsqu’ils sont combinés à un processus de validation à plusieurs niveaux et à une séparation des tâches, peuvent aider les entreprises à repérer les transactions anormales, a déclaré Fessi.