Incidents associés
Le géant de la gestion de mots de passe LastPass a évité de justesse une faille de sécurité potentielle après qu'un employé de l'entreprise a été la cible d'une arnaque par deepfake (https://hackread.com/deepfake-threat-content-risk-election-integrity/). L'incident, détaillé dans un article de blog de LastPass, impliquait un deepfake audio se faisant passer pour le PDG Karim Toubba et tentant de contacter l'employé via WhatsApp.
La technologie deepfake, qui permet de manipuler l'audio et la vidéo pour créer des falsifications réalistes, est de plus en plus utilisée par les cybercriminels dans des stratagèmes d'ingénierie sociale élaborés. Dans ce cas précis, l'escroc a utilisé un programme de modification vocale pour se faire passer pour Toubba, probablement dans le but de créer un sentiment d'urgence ou de confiance auprès de l'employé.
Cependant, tout le monde n'a pas la même chance que LastPass. En février 2024, un employé de la filiale hongkongaise d'une multinationale a été victime d'une arnaque, lui faisant payer 200 millions de dollars de Hong Kong (environ 25,6 millions de dollars américains) après que des escrocs ont utilisé un directeur financier généré par l'IA et une technologie deepfake.
Dans un autre incident signalé en août 2022, des escrocs ont utilisé un hologramme deepfake généré par l'IA du directeur de la communication de Binance, Patrick Hillmann, pour inciter les utilisateurs à participer à des réunions en ligne et cibler les projets cryptographiques des clients de Binance.
Quant à LastPass, l'entreprise a souhaité la vigilance de l'employé, qui a su reconnaître les signaux d'alarme. L'utilisation inhabituelle de WhatsApp, une plateforme peu utilisée pour les communications officielles au sein de l'entreprise, ainsi que la tentative d'usurpation d'identité, ont incité l'employé à signaler l'incident au service de sécurité de LastPass. L'entreprise a confirmé que l'attaque n'avait pas eu d'impact sur sa sécurité globale.
Toby Lewis, responsable mondial de l'analyse des menaces chez Darktrace, a commenté ce problème en soulignant les risques liés à l'IA générative : « La prévalence actuelle de l'IA représente des risques nouveaux et supplémentaires. Mais le risque le plus considérable réside sans doute dans l'utilisation de l'IA générative pour produire des deepfakes audio, images et vidéos, qui peuvent être diffusés à grande échelle pour manipuler et influencer l'opinion publique. »*
« Si l'utilisation de l'IA pour la génération de deepfakes est désormais bien réelle, le risque de manipulation des images et des médias n'est pas nouveau, le verbe « photoshop » étant utilisé depuis les années 1990 », a expliqué Toby. *« Le défi actuel est d'utiliser l'IA pour réduire les barrières de compétences et accélérer la production pour une qualité supérieure. Se défendre contre les deepfakes IA consiste principalement à maintenir une vision cynique du contenu consulté, notamment en ligne, ou diffusé sur les réseaux sociaux », a-t-il conseillé.
Néanmoins, cette tentative d'escroquerie illustre la sophistication des cybercriminels dans leurs attaques. LastPass a par ailleurs souligné l'importance de la formation des employés pour atténuer ces attaques. Les tactiques d'ingénierie sociale reposent souvent sur la création d'un sentiment d'urgence ou de panique, poussant les victimes à prendre des décisions hâtives.
L'incident met également en évidence les dangers potentiels des deepfakes pour les entreprises. À mesure que la technologie continue de se développer, créant des contrefaçons toujours plus convaincantes, les entreprises devront investir dans des protocoles de sécurité robustes et la formation de leurs employés pour garder une longueur d'avance sur ces escroqueries sophistiquées.
Bien que les escroqueries deepfake ciblant les entreprises soient encore relativement rares, l'incident de LastPass souligne la menace croissante. La décision de l'entreprise de rendre publique cette tentative constitue un précieux avertissement pour les autres organisations, les exhortant à renforcer leur sensibilisation et à mettre en œuvre des mesures préventives.