Il y a quelques mois, le responsable financier d’une entreprise suisse recevait un coup de fil pour l’inviter à une visioconférence avec son chef. En se connectant, le CFO voit et échange avec son supérieur. Mais durant la conversation, ce dernier tente d’obtenir des informations sensibles et de convaincre le responsable financier de réaliser une transaction financière. Heureusement, plusieurs détails ont mis la puce à l’oreille de la personne ciblée: la tenue vestimentaire de son chef sortait de l’ordinaire et sa voix ne lui était pas complètement familière.

également interessant
 
 
 
 
 
 

L'essor des escroqueries utilisant la technologie deepfake

Voilà un cas signalé à l’Office fédéral de la cybersécurité (OFCS) ce printemps recourant à la technologie deepfake. Pour rappel, cette dernière consiste à générer des contenus audio ou vidéo en utilisant des échantillons de la voix et de l’apparence de la personne ciblée. L’OFCS enregistre un nombre croissant de plaintes en lien avec des tentatives de fraude qui emploient des technologies liées à l’intelligence artificielle: «Les cybercriminels utilisent des images générées par l’IA pour des tentatives de sextorsion, se font passer pour des personnalités connues au téléphone ou réalisent des escroqueries à l’investissement.» Bien que le nombre de signalements dans ce domaine soit encore relativement faible, il s’agit, selon les estimations de l’OFCS, de premières tentatives d’explorer les possibilités d’utilisation criminelle de l’IA pour mener de futures cyber-attaques.

Dans certains cas, ces tentatives peuvent coûter très cher. Ainsi, l’entreprise britannique Arup, un bureau d’ingénieurs notamment à l’origine de l’Opéra de Sydney, a récemment confirmé avoir été la cible d’une escroquerie recourant au deepfake qui a amené un de ses collaborateurs à verser 25 millions de dollars à des cybercriminels.

«Il faut se rendre compte que les organisations criminelles préparent ces attaques de la même manière qu’un braquage de banque, raconte Paul Such, CEO de la société vaudoise Hacknowledge, spécialisée dans la cybersécurité. Elles intègrent ainsi une longue phase de reconnaissance, qui permet de se renseigner sur le style de la personne ciblée, ses absences, etc. On m’a rapporté récemment le cas d’une société suisse qui a perdu 8 millions de francs à cause d’une arnaque au deepfake. Heureusement, ces transferts sont souvent bloqués au dernier moment par l’établissement bancaire de l’entreprise ciblée.»

L’expert remarque lui aussi une augmentation des tentatives criminelles qui intègrent ces nouvelles technologies. «Aujourd’hui, en Suisse, les fraudeurs ont principalement recours à des enregistrements audio. Cela s’explique sans doute par le fait que les outils sont pour l’instant surtout entraînés en langue anglaise, mais il n’y a aucun doute que l’on va voir arriver davantage de vidéos réalistes en français dans un futur proche.»

Sensibilisation et formation: des outils essentiels pour contrer les attaques

Le problème principal posé par ces approches ne concerne pas la technique, mais le fait qu’elles reposent sur la crédulité des utilisateurs. «Tous les artifices sécuritaires possibles ne servent à rien si les employés ne sont pas régulièrement sensibilisés à ces questions. Aussi, notre industrie a essayé ces dernières années de faire progresser les utilisateurs en envoyant de fausses tentatives de phishing et en notant qui se faisait avoir. Mais ce n’est qu’une partie de l’équation: il est aussi intéressant de pouvoir identifier le nombre de collaborateurs qui se rendent compte d’une attaque et qui appliquent les bons réflexes, notamment en prévenant leur service informatique.»

La formation des employés est cruciale pour la cybersécurité d’une organisation, souligne également Christian Da Silva, président de CyberHelvet, une entreprise genevoise spécialisée dans la cybersécurité et membre de l’Observatoire des risques opérationnels (Oprisko), une association à but non lucratif qui traite de la maîtrise des risques d’entreprise. «Comme les employés sont souvent les premières cibles des attaques, une formation régulière aide à réduire les erreurs qui pourraient compromettre la sécurité. Il s’agit par ailleurs de promouvoir une véritable culture de la cybersécurité pour contribuer à renforcer les défenses globales de l’entreprise.»

Un avis partagé par Paul Such, de la société Hacknowledge. «Cet état d’esprit doit être instillé par la direction pour que les employés prennent pleinement conscience des risques encourus. Aussi, cette évangélisation auprès des utilisateurs finaux doit s’accompagner d’explications concrètes de l’utilité des mesures mises en place.»

Certify, pour distinguer le vrai du faux

La start-up genevoise Certify développe une application qui aide les internautes à mieux identifier les informations douteuses.

Les graines de chia sont-elles vraiment un aliment miracle, comme le professe cet influenceur sur TikTok? «Non, il manque des études à ce sujet, et la personne qui en parle à l’écran est coach sportif et non pas nutritionniste.» Voilà un exemple de contextualisation que l’on peut découvrir en utilisant l’application genevoise ertify. Concrètement, celle-ci permet aux utilisateurs d’envoyer le contenu d’un réseau social ou d’un site web sur la plateforme Certify pour faire appel à l’avis d’un expert. Celui-ci rédige ensuite une fiche qui résume les principaux points d’attention concernant le contenu soumis et intègre des liens vers les sources utilisées.

«Nous voulons aider le public à développer son aptitude à comprendre et à utiliser les informations, explique Fayez Alrafeea, cofondateur et responsable du développement technique de Certify. Il existe aujourd’hui un vrai problème de ’littératie médiatique’ – soit la capacité à analyser les contenus médiatiques – chez les jeunes générations. D’autant plus que si les gens pensent souvent en premier lieu aux fake news en lien avec la politique ou la santé, cela concerne de nombreux autres domaines comme le sport ou les divertissements.»

L’application est actuellement en phase de test dans différentes écoles de la région genevoise. «Les principaux défis techniques ont été résolus, et nous sommes désormais à la recherche de nouveaux investisseurs pour une mise à l’échelle du projet, précise Basile Zimmermann, cofondateur. Nous allons par ailleurs prochainement déployer la plateforme en Suisse alémanique et développons aussi des partenariats à l’étranger.»

Cibler efficacement les investissements en cybersécurité
  1. Évaluer les dangers spécifiques à l’aide d’une analyse des risques pour identifier les vulnérabilités
  2. Investir dans la formation continue pour sensibiliser les employés aux dernières menaces
  3. Adopter des technologies de sécurité avancées, tels que solutions de détection et de réponse aux menaces (EDR), pare-feu de nouvelle génération et solutions de sécurité cloud
  4. Mettre en place une stratégie de réponse aux incidents en disposant d’un plan clair pour réagir rapidement en cas de cyberattaque
  5. Collaborer avec des experts en cybersécurité pour bénéficier de conseils spécialisés