Incidents associés
Les attaques deepfake ne se limitent pas aux fraudes au recrutement et aux fraudes bancaires ; elles ont désormais atteint les plus hautes sphères du gouvernement. Cette semaine, des informations ont fait état d'une attaque utilisant l'IA qui a usurpé l'identité du secrétaire d'État américain Marco Rubio. Les autorités ignorent qui est derrière cet incident.
Un câble du Département d'État américain vu publié par le Washington Post a averti que quelqu'un avait usurpé la voix et le style d'écriture de Rubio dans des messages vocaux et textuels sur l'application de messagerie Signal. L'attaquant aurait tenté d'accéder à des informations ou à des comptes en contactant plusieurs responsables gouvernementaux au nom de Rubio. Parmi ses cibles figuraient trois ministres des Affaires étrangères, un gouverneur américain et un membre du Congrès américain, selon le câble.
L'attaquant a créé un compte Signal sous le nom d'affichage « Marco.Rubio@state.gov » et a invité ses cibles à communiquer sur Signal.
Le facteur IA dans ces attaques fait probablement référence aux deepfakes. Il s'agit d'une forme de mimétisme numérique, où les attaquants utilisent des séquences audio ou visuelles d'une personne pour créer des sons ou des images convaincants. Nombre d'entre eux ont même créé de fausses vidéos de leurs cibles, les utilisant pour de la pornographie deepfake (https://www.malwarebytes.com/blog/podcast/2024/09/san-franciscos-fight-against-deepfake-porn-with-city-attorney-david-chiu-lock-and-code-s05e20) ou pour se faire passer pour des hommes d'affaires (https://www.malwarebytes.com/blog/news/2022/08/deepfake-hologram-targets-binance-and-crypto-community).
Le deepfake de Rubio n'est pas la première fois que des usurpateurs d'identité ciblent des représentants du gouvernement. En mai, quelqu'un s'est fait passer pour Susie Wiles, cheffe de cabinet de la Maison-Blanche, lors d'appels et de SMS adressés à ses contacts. Plusieurs d'entre eux n'ont pas immédiatement repéré l'arnaque et ont interagi avec l'attaquant comme si les conversations étaient légitimes.
L'incident n'était pas imputable à Rubio ; ce type d'attaques est devenu monnaie courante, les escrocs utilisant des outils de messagerie populaires. Signal serait une application largement utilisée au sein de l'exécutif, à tel point que la directrice du renseignement national, Tulsi Gabbard, a déclaré qu'elle était préinstallée sur les appareils gouvernementaux.
Cette utilisation de Signal a culminé lorsque Mike Waltz, alors conseiller à la sécurité nationale, a ajouté accidentellement un journaliste à une discussion de groupe Signal [https://www.axios.com/2025/03/26/signal-group-chat-leak-waltz] contenant des discussions sur des projets de bombardement du Yémen. Il n'est désormais plus conseiller à la sécurité nationale. L'utilisation abusive de l'application remonte à l'administration précédente, lorsque le Pentagone a été contraint de publier une note de service à ce sujet.
Pourquoi s'inquiéter de telles attaques contre des hauts responsables gouvernementaux ? D'une part, il est effrayant de penser que des États étrangers puissent s'en tirer avec des informations sensibles de cette manière. Mais cela montre aussi combien il est facile de se faire passer pour quelqu'un grâce à un deepfake. Il est possible de lancer des attaques audio avec seulement quelques extraits audio pour entraîner un algorithme.
Vous seriez méfiant si Pamela Bondi participait à la discussion de votre club de lecture, mais si quelqu'un appelait un parent âgé en se faisant passer pour vous, en prétendant que vous avez été impliqué dans un accident ou en demandant une rançon parce que vous avez été kidnappé, tomberait-il dans le panneau ? Plusieurs l'ont fait.
Aussi étrange que cela puisse paraître, les menaces modernes exigent des protections traditionnelles. Nous vous recommandons de partager un mot de passe familial avec vos proches, qui pourront ensuite le demander pour confirmer leur identité. N'envoyez jamais ce mot de passe, gardez-le pour vous et acceptez-le en personne.
Mais même les mots de passe familiaux n'empêcheront pas votre grand-mère d'être la cible d'arnaques sentimentales deepfakes de la part de faux Mark Ruffalo et Brad Pitts. Une conversation discrète pour expliquer les menaces pourrait toutefois éviter de tels désastres, ainsi qu'un suivi régulier pour vous assurer que vos proches moins doués en technologie sont sains et saufs.