Incidents associés
Français Le cas d'un acteur malveillant utilisant un logiciel d'intelligence artificielle (IA) pour se faire passer pour le secrétaire d'État Marco Rubio dans des communications avec des diplomates étrangers et nationaux ainsi que des politiciens démontre la sophistication croissante de la technologie deepfake et la menace accrue qu'elle représente pour la sécurité nationale, selon des experts en sécurité.
Le Washington Post a rapporté hier qu'un imposteur avait envoyé des messages vocaux et des SMS imitant la voix et le style d'écriture de Rubio à l'aide d'un logiciel alimenté par l'IA, citant un haut responsable américain et un câble du département d'État obtenu par la publication. L'usurpateur a utilisé la messagerie texte mobile standard ainsi que l'application de messagerie cryptée Signal pour cette campagne, qui a débuté mi-juin, selon le rapport.
L'usurpateur a créé un compte Signal avec le nom d'affichage Marco.Rubio@state.gov (qui n'est pas une adresse e-mail associée au secrétaire d'État) et l'a utilisé pour contacter des ministres des Affaires étrangères, un gouverneur américain et un membre du Congrès afin d'accéder à des informations et à des comptes. D'autres responsables du département d'État, dont l'identité n'a pas été précisée, ont également été usurpés lors de cette campagne, selon le rapport.
Interrogée lors d'un point de presse le 8 juillet, la porte-parole du département d'État, Tammy Bruce, a déclaré que le ministère était au courant de l'incident et « suivait et traitait actuellement la situation », mais a refusé de donner plus de détails « pour des raisons de sécurité ». L'origine de l'attaque reste incertaine, bien que des spéculations circulent quant à son implication dans des attaques russes, a indiqué un expert.
« Le ministère prend très au sérieux sa responsabilité de protéger ses informations et prend continuellement des mesures pour améliorer sa cybersécurité afin de prévenir de futurs incidents », a déclaré Bruce lors du point de presse. « Nous vivons à une époque technologique dans laquelle nous sommes profondément ancrés, et je m'arrêterai là. »
Le gouvernement américain en crise de cybersécurité ?
Cet incident est au moins le troisième deepfake visant un fonctionnaire du gouvernement américain. Auparavant, un attaquant avait réussi à accéder au sénateur Ben Cardin (démocrate du Maryland) en se faisant passer pour un responsable ukrainien et en effectuant de faux appels automatisés en se faisant passer pour l'ancien président Joe Biden dans le cadre d'une campagne politique contre lui. De plus, le FBI a averti en mai que des acteurs malveillants utilisaient des messages vocaux générés par l'IA se faisant passer pour de hauts responsables américains afin de cibler d'autres hauts responsables gouvernementaux et leurs contacts. Face à la menace croissante des campagnes sophistiquées d'usurpation d'identité, la cybersécurité devrait être une priorité pour le gouvernement fédéral lorsque des incidents aussi médiatisés se produisent, a déclaré un expert. Ces incidents témoignent d'une grave faille de sécurité qui mine la confiance du public et met en lumière les difficultés rencontrées par le gouvernement fédéral pour sécuriser ses propres communications et infrastructures officielles contre les menaces extérieures, a déclaré Aditya Sood, vice-président de l'ingénierie de sécurité et de la stratégie IA chez Aryaka, dans un communiqué envoyé par courriel.
Sur le même sujet : Salt Typhoon, soutenu par la Chine, pirate la Garde nationale américaine pendant près d'un an
« Ces escroqueries surpassent les méthodes de détection traditionnelles, exploitant les failles de modération des plateformes et de surveillance réglementaire », a-t-il déclaré dans un communiqué envoyé par courriel. La prolifération de l'IA n'a fait qu'exacerber ce problème, les acteurs de menaces avancées exploitant les organisations non préparées.
Le gouvernement fédéral sous l'administration Trump pourrait être qualifié de tel, car il a déjà été critiqué pour une grave erreur de sécurité opérationnelle en mars, lorsque le secrétaire à la Défense Pete Hegseth a accidentellement envoyé un SMS à un journaliste – Jeffrey Goldberg, rédacteur en chef de The Atlantic – via Signal des plans précis concernant les plans américains de bombardement de cibles houthies au Yémen, quelques heures seulement avant les attaques.
Les avancées en matière de deepfakes nécessitent une action immédiate
Cet incident rappelle également la sophistication croissante de la technologie deepfake, a noté Steve Cobb, responsable de la sécurité de l'information (RSSI) chez SecurityScorecard, qui s'attend à ce que d'autres incidents contre des représentants du gouvernement suivent.
« Ces campagnes adoptent généralement une approche multidimensionnelle, commençant par des attaques d'hameçonnage envoyées depuis des comptes de messagerie apparemment légitimes et s'étendant jusqu'à des messages vocaux deepfake générés par l'IA », a-t-il déclaré dans un communiqué envoyé par courriel. « Ce n'est pas la première fois que des acteurs malveillants se font passer pour des représentants de l'État, et ce ne sera probablement pas la dernière. »
La menace que représentent ces incidents et le succès potentiel des attaquants dans la collecte d'informations classifiées ou confidentielles devraient inciter le gouvernement à mettre en œuvre des outils de détection basés sur l'IA (https://www.darkreading.com/cybersecurity-analytics/researchers-bypass-deepfake-detection-replay-attacks) pour identifier les médias manipulés et les tentatives d'usurpation d'identité, une mesure que les plateformes de médias sociaux ont déjà prise, a déclaré Sood.
Comme toutes les organisations, le gouvernement devrait adopter une approche multidimensionnelle combinant une éducation proactive à l'éducation aux médias pour permettre au public d'évaluer les contenus de manière critique ; Des solutions techniques robustes, telles que la détection en temps réel, les normes de provenance des contenus et l'authentification cryptographique, pour vérifier l'authenticité des médias ; et des cadres juridiques solides, associés à une action rapide des plateformes pour la suppression des deepfakes malveillants.
« Cet effort collectif, qui combine sensibilisation du public, défenses technologiques et pression réglementaire, est essentiel pour préserver la vérité et la confiance dans notre paysage numérique de plus en plus synthétique », a déclaré Sood.
Quiconque pense être la cible d'escroqueries par deepfake doit également, en règle générale, prendre le temps de vérifier l'authenticité de la personne qui la contacte pour la contacter ou la rencontrer en recherchant une forme d'authentification secondaire, a conseillé Cobb.
« Cela peut inclure appeler un numéro de téléphone connu et fiable, envoyer un message à la personne via un compte de réseau social vérifié ou contacter une personne ayant un lien personnel avec la personne que vous essayez de vérifier », a-t-il ajouté. « Nous devons évoluer vers un état d’esprit par défaut de scepticisme sain dans ces interactions et adopter une approche de « confiance mais vérification » comme pratique standard. »