Incidents associés
Plusieurs fois par jour, dans le monde entier, un responsable demande à l'un de ses collaborateurs d'effectuer une tâche lors d'un appel vidéo. Mais la personne qui attribue les tâches est-elle bien celle qu'elle prétend être ? Ou s'agit-il d'un deepfake ? Au lieu de suivre aveuglément les ordres, les employés doivent désormais se demander s'ils ne sont pas victimes d'une fraude.
Plus tôt cette année, un employé de la finance s'est retrouvé en visioconférence avec une personne qui ressemblait comme deux gouttes d'eau à son directeur financier. Une fois la réunion terminée, il a suivi scrupuleusement les instructions de son supérieur et a envoyé 200 millions de dollars de Hong Kong, soit 25 millions de dollars.
Mais il ne s'agissait pas réellement de son supérieur, mais simplement d'une représentation vidéo par IA appelée deepfake. Plus tard dans la journée, l'employé a réalisé sa terrible erreur après avoir contacté le siège de sa multinationale. Il avait été victime d'un deepfake qui avait escroqué l'organisation de 25 millions de dollars.
Les entreprises sont souvent la cible de deepfakes
Le terme deepfake désigne les contenus créés par l'IA (vidéo, image, audio ou texte) contenant des informations fausses ou altérées, comme Taylor Swift faisant la promotion d'ustensiles de cuisine et le célèbre faux Tom Cruise. Même les récents ouragans qui ont frappé les États-Unis ont donné lieu à de nombreuses images deepfake, notamment de fausses photos de Disney World inondées et des images déchirantes générées par l'IA de personnes avec leurs animaux de compagnie dans les eaux de crue.
Si les deepfakes, également appelés médias synthétiques, ciblant les individus servent généralement à manipuler les gens, les cybercriminels qui ciblent les entreprises recherchent un gain monétaire. Selon la fiche d'information de la CISA Contextualisation des menaces deepfake pour les organisations, les menaces visant les entreprises se répartissent généralement en trois catégories : usurpation d'identité de dirigeants à des fins de manipulation de marque, usurpation d'identité à des fins de gain financier ou usurpation d'identité pour obtenir un accès.
Mais l'incident récent à Hong Kong n'était pas seulement dû à l'erreur d'un employé. Les stratagèmes deepfake sont de plus en plus courants pour les entreprises. Une récente enquête Medus a révélé que la majorité (53 %) des professionnels de la finance ont été ciblés par des tentatives de deepfake. Plus inquiétant encore est le fait que plus de 43 % des personnes interrogées ont admis avoir été victimes de l'attaque.
Les attaques deepfake sont-elles sous-déclarées ?
Le mot clé de l'étude Medus est « admis ». Cela soulève une question importante. Les gens omettent-ils de signaler une attaque deepfake par gêne ? La réponse est probablement. Après coup, il semble évident pour les autres qu'il s'agissait d'un faux. Et il est difficile d'admettre qu'on s'est laissé piéger par une image générée par l'IA. Mais cette sous-déclaration ne fait qu'ajouter à la honte et permet aux cybercriminels de s'en tirer plus facilement.
La plupart des gens pensent pouvoir repérer un deepfake. Mais ce n'est pas le cas. Le Centre pour les humains et les machines et CREED a constaté un écart important entre la confiance des utilisateurs dans l'identification d'un deepfake et leur performance réelle. Comme beaucoup surestiment leur capacité à identifier un deepfake, la honte d'en être victime s'accentue, ce qui conduit probablement à une sous-déclaration.
Pourquoi les gens se laissent piéger par les deepfakes
L'employé qui a été piégé par le deepfake du directeur financier à hauteur de 25 millions de dollars a admis plus tard que lorsqu'il a reçu l'e-mail censé provenir de son directeur financier, la mention d'une transaction secrète l'a amené à se demander s'il s'agissait en réalité d'un hameçonnage. Mais une fois la vidéo visionnée, ils ont reconnu d'autres membres de son service et ont conclu à son authenticité. Cependant, l'employé a appris plus tard que les images vidéo des membres de son service étaient également des deepfakes.
Nombreuses sont les victimes qui négligent leurs inquiétudes, leurs questions et leurs doutes. Mais qu'est-ce qui pousse les gens, même ceux qui sont informés sur les deepfakes, à mettre leurs inquiétudes de côté et à croire qu'une image est réelle ? C'est la question à 1 ou 25 millions de dollars à laquelle nous devons répondre pour prévenir les deepfakes coûteux et dommageables à l'avenir.
Sage Journals s'est interrogé sur les personnes les plus susceptibles de tomber dans le piège des deepfakes et n'a trouvé aucune tendance liée à l'âge ou au sexe. Cependant, les personnes âgées peuvent être plus vulnérables à ce stratagème et avoir du mal à le détecter. De plus, les chercheurs ont constaté que si la sensibilisation est un bon point de départ, elle semble avoir une efficacité limitée pour empêcher les gens de tomber dans le piège des deepfakes.
Cependant, le neuroscientifique computationnel Tijl Grootswagers de l'Université Western Sydney a probablement mis le doigt sur la difficulté de repérer un deepfake : c'est une compétence toute nouvelle pour chacun d'entre nous. Nous avons appris à être sceptiques face aux informations et aux préjugés, mais remettre en question l'authenticité d'une image que nous voyons va à l'encontre de nos processus de pensée. Grootswagers a déclaré à Science Magazine « Dans notre vie, nous n'avons jamais à nous demander qui est une vraie personne ou une fausse. Ce n'est pas une tâche pour laquelle nous avons été formés. »
Il est intéressant de noter que Grootswagers a découvert que notre cerveau est plus performant pour détecter les deepfakes sans notre intervention. Il a découvert que lorsque l'on regardait une image deepfake, celle-ci envoyait au cortex visuel un signal électrique différent de celui d'une image ou d'une vidéo authentique. Lorsqu'on lui a demandé pourquoi, il n'en était pas certain : peut-être le signal n'a-t-il jamais atteint notre conscience en raison d'interférences avec d'autres régions cérébrales, ou peut-être que les humains ne reconnaissent pas les signaux indiquant qu'une image est fausse parce qu'il s'agit d'une nouvelle tâche.
Cela signifie que chacun de nous doit commencer à entraîner son cerveau à considérer que toute image ou vidéo que nous regardons pourrait être un deepfake. En posant cette question à chaque fois que nous commençons à agir sur un contenu, nous pourrons peut-être commencer à détecter les signaux cérébraux qui repèrent les faux avant nous. Et surtout, si nous sommes victimes d'un deepfake, notamment au travail, il est essentiel que chacun de nous signale tous les cas. Ce n'est qu'alors que les experts et les autorités pourront commencer à enrayer la création et la prolifération.