Incidents associés
Français Au cours des dernières années, la communauté du renseignement sur les cybermenaces s'est inquiétée de la prolifération croissante de la technologie « deepfake » et de son utilisation potentielle par des fraudeurs contre des entreprises et/ou des particuliers. Les « deepfakes » utilisent l'intelligence artificielle générative pour exploiter des échantillons audio et/ou visuels existants afin de créer un enregistrement nouveau et unique d'un individu ciblé disant ou faisant tout ce que le créateur a programmé l'outil deepfake pour fabriquer. Les deepfakes sont souvent associés à la désinformation politique et aux campagnes de désinformation, mais la combinaison de la qualité accrue des deepfakes et de la disponibilité accrue de la technologie utilisée pour les créer (il existe désormais de nombreux sites et applications ouvertement disponibles qui permettent à presque tout le monde de créer facilement un deepfake) est également depuis longtemps une préoccupation du secteur privé. En fait, dès 2019, une entreprise basée au Royaume-Uni aurait été victime d'un deepfake audio dans lequel un employé a été convaincu de transférer de l'argent à un fraudeur qui a utilisé un logiciel de génération de voix-IA pour se faire passer pour le PDG de l'entreprise. Plus récemment, un employé financier d'une multinationale basée à Hong Kong a été dupé et a transféré 25 millions de dollars à des fraudeurs après qu'ils ont organisé un appel vidéo dans lequel tous les autres participants, y compris une personne se faisant passer pour le directeur financier de l'entreprise, étaient des vidéos deepfakes.
Capture d'écran montrant la tentative de contact WhatsApp utilisant un deepfake audio pour se faire passer pour le PDG
Bien que les signalements de ce type de deepfakes téléphoniques ciblant des entreprises privées soient heureusement rares, LastPass a elle-même subi une tentative de deepfake plus tôt dans la journée. Nous la partageons avec la communauté afin de sensibiliser le public à la propagation de cette tactique et à la vigilance de toutes les entreprises. Dans notre cas, un employé a reçu une série d'appels, de SMS et au moins un message vocal contenant un deepfake audio provenant d'un acteur malveillant se faisant passer pour notre PDG via WhatsApp. Étant donné que la tentative de communication se déroulait en dehors des canaux de communication professionnels habituels et que l'employé soupçonnait la présence de nombreux signes distinctifs d'une tentative d'ingénierie sociale (comme l'urgence forcée), notre employé a, à juste titre, ignoré les messages et signalé l'incident à notre équipe de sécurité interne afin que nous puissions prendre des mesures pour atténuer la menace et sensibiliser à la tactique, tant en interne qu'en externe.
Soyons clairs : il n'y a eu aucun impact sur notre entreprise. Cependant, nous souhaitions partager cet incident afin de sensibiliser le public au fait que les deepfakes ne sont de plus en plus souvent l'apanage d'acteurs malveillants sophistiqués des États-nations et qu'ils sont de plus en plus utilisés pour des campagnes de fraude par usurpation d'identité de dirigeants. Souligner l'importance de vérifier les contacts potentiellement suspects de personnes prétendant travailler pour votre entreprise via des canaux de communication internes établis et approuvés est une leçon importante à tirer de cette tentative. En plus de cet article de blog, nous travaillons déjà en étroite collaboration avec nos partenaires de partage de renseignements et d’autres sociétés de cybersécurité pour les sensibiliser à cette tactique afin d’aider les organisations à garder une longueur d’avance sur les fraudeurs.