Incidents associés
Une image fournie par Pindrop Security montre un faux candidat que l'entreprise a surnommé « Ivan X », un escroc utilisant une technologie d'IA deepfake pour masquer son visage, selon Vijay Balasubramaniyan, PDG de Pindrop.
Lorsque la startup d'authentification vocale Pindrop Security a récemment publié une offre d'emploi, un candidat s'est démarqué parmi des centaines d'autres.
Le candidat, un codeur russe nommé Ivan, semblait posséder toutes les qualifications requises pour le poste d'ingénieur senior. Cependant, lors de son entretien vidéo le mois dernier, le recruteur de Pindrop a remarqué que les expressions faciales d'Ivan étaient légèrement décalées par rapport à ses propos.
Cela s'explique par le fait que le candidat, que l'entreprise a depuis surnommé « Ivan X », était un escroc utilisant des logiciels deepfake et d'autres outils d'IA générative pour se faire embaucher par l'entreprise technologique, a déclaré Vijay Balasubramaniyan, PDG et cofondateur de Pindrop (https://www.crunchbase.com/person/vijay-balasubramaniyan).
« L'IA de la génération » a brouillé la frontière entre l'humain et la machine, a déclaré Balasubramaniyan. « Nous constatons que des individus utilisent de fausses identités, de faux visages et de fausses voix pour décrocher un emploi, allant même parfois jusqu'à échanger leur visage avec celui d'une autre personne qui se présente au poste. »
Les entreprises ont longtemps résisté aux attaques de pirates informatiques qui espéraient exploiter les vulnérabilités de leurs logiciels, de leurs employés ou de leurs fournisseurs. Aujourd'hui, une autre menace est apparue : des candidats à un emploi qui ne sont pas ceux qu'ils prétendent être, utilisant des outils d'IA pour fabriquer des photos d'identité, générer des antécédents professionnels et fournir des réponses lors des entretiens.
L'essor des profils générés par l'IA signifie que d'ici 2028, un candidat sur quatre dans le monde sera un faux candidat, selon le cabinet d'études et de conseil Gartner.
Le risque pour une entreprise de recruter un faux candidat peut varier selon les intentions de la personne. Une fois embauché, l'imposteur peut installer un logiciel malveillant pour exiger une rançon de l'entreprise ou voler ses données clients, ses secrets commerciaux ou ses fonds, selon Balasubramaniyan. Dans de nombreux cas, les employés malhonnêtes perçoivent simplement un salaire qu'ils ne pourraient pas percevoir autrement, a-t-il expliqué.
Les entreprises de cybersécurité et de cryptomonnaies ont récemment constaté une forte augmentation du nombre de faux demandeurs d'emploi, ont déclaré des experts du secteur à CNBC. Comme ces entreprises recrutent souvent à distance, elles constituent des cibles de choix pour les acteurs malveillants, ont-ils ajouté.
Ben Sesser, PDG de BrightHire, a déclaré avoir entendu parler du problème il y a un an et que le nombre de candidats frauduleux avait « considérablement augmenté » cette année. Son entreprise aide plus de 300 entreprises clientes des secteurs de la finance, des technologies et de la santé à évaluer les candidats potentiels lors d'entretiens vidéo.
« L'humain est généralement le maillon faible de la cybersécurité, et le processus de recrutement est un processus intrinsèquement humain, avec de nombreuses interactions et de nombreux intervenants », a déclaré Sesser. « C'est devenu un point faible que l'on tente de mettre en lumière. »
Mais le problème ne se limite pas au secteur technologique. Plus de 300 entreprises américaines ont embauché par inadvertance des imposteurs liés à la Corée du Nord pour des missions informatiques, notamment une grande chaîne de télévision nationale, un fabricant de matériel de défense, un constructeur automobile et d'autres entreprises du Fortune 500, selon le ministère de la Justice accusé en mai.
Les travailleurs ont utilisé des identités américaines volées pour postuler à des emplois à distance et ont déployé des réseaux à distance et d'autres techniques pour masquer leur véritable localisation, a déclaré le ministère de la Justice. Ils ont finalement envoyé des millions de dollars de salaires à la Corée du Nord pour contribuer au financement du programme d'armement du pays, a affirmé le ministère de la Justice.
Cette affaire, impliquant un réseau de complices présumés, dont un citoyen américain, a révélé une petite partie de ce que les autorités américaines ont qualifié de vaste réseau international de milliers d'informaticiens ayant des liens avec la Corée du Nord. Le ministère de la Justice a depuis ouvert d'autres dossiers impliquant des informaticiens nord-coréens.
Les faux demandeurs d'emploi ne lâchent rien, si l'on en croit l'expérience de Lili Infante, fondatrice et directrice générale de CAT Labs. Sa startup, basée en Floride, se situe à l'intersection de la cybersécurité et des cryptomonnaies, ce qui la rend particulièrement attractive pour les acteurs malveillants.
« Chaque fois que nous publions une offre d'emploi, nous recevons la candidature de 100 espions nord-coréens », a déclaré Infante. « Lorsqu'on regarde leurs CV, ils sont excellents ; ils utilisent tous les mots-clés correspondant à ce que nous recherchons. »
Infante a expliqué que son entreprise s'appuie sur une société de vérification d'identité pour éliminer les faux candidats, un secteur émergent qui comprend des entreprises comme iDenfy, Jumio et Socure.
Un avis de recherche du FBI montre les suspects que l'agence présente comme des informaticiens originaires de Corée du Nord, officiellement appelée République populaire démocratique de Corée.
Le secteur des faux employés s'est étendu au-delà des Nord-Coréens ces dernières années pour inclure des groupes criminels basés en Russie, en Chine, en Malaisie et en Corée du Sud, selon Roger Grimes, consultant chevronné en sécurité informatique.
Ironiquement, certains de ces travailleurs frauduleux seraient considérés comme des employés très performants dans la plupart des entreprises, a-t-il ajouté.
« Parfois, ils font un travail médiocre, et parfois ils le font si bien que plusieurs personnes m'ont même dit regretter de les avoir licenciés », a déclaré Grimes.
Son employeur, l'entreprise de cybersécurité KnowBe4, a déclaré en octobre avoir embauché par inadvertance un ingénieur logiciel nord-coréen.
L'employé a utilisé l'IA pour modifier une photo d'archive, en utilisant une identité américaine valide mais usurpée, et a réussi des vérifications d'antécédents, dont quatre entretiens vidéo, a indiqué l'entreprise. Il n'a été découvert qu'après que l'entreprise a découvert une activité suspecte provenant de son compte.
Malgré l'affaire du DOJ et quelques autres incidents médiatisés, les responsables du recrutement de la plupart des entreprises ignorent généralement les risques liés aux faux candidats, selon Sesser de BrightHire.
« Ils sont responsables de la stratégie des talents et d'autres aspects importants, mais être en première ligne en matière de sécurité n'en a jamais fait partie », a-t-il déclaré. « Les gens pensent ne pas en être victimes, mais je pense qu'il est plus probable qu'ils ne s'en rendent tout simplement pas compte. »
À mesure que la qualité de la technologie deepfake s'améliore, le problème sera plus difficile à éviter, a déclaré Sesser.
Quant à « Ivan X », Balasubramaniyan de Pindrop a déclaré que la startup avait utilisé un nouveau programme d'authentification vidéo qu'elle avait créé pour confirmer qu'il s'agissait d'une fraude deepfake.
Alors qu'Ivan prétendait se trouver dans l'ouest de l'Ukraine, son adresse IP indiquait qu'il se trouvait en réalité à des milliers de kilomètres à l'est, dans une possible base militaire russe près de la frontière nord-coréenne, a précisé l'entreprise.
Pindrop, soutenue par Andreessen Horowitz et Citi Ventures, a été fondée il y a plus de dix ans pour détecter les fraudes dans les interactions vocales, mais pourrait bientôt se tourner vers l'authentification vidéo. Parmi ses clients figurent certaines des plus grandes banques, compagnies d'assurance et sociétés de santé américaines. « Nous ne pouvons plus nous fier à nos yeux et à nos oreilles », a déclaré Balasubramaniyan. « Sans technologie, notre situation est pire qu'un singe qui lance une pièce au hasard. »