Deepfakes : quand la menace cyber passe par un visage familier

L’ingénierie sociale prend un nouveau visage : les deepfakes. On en parle beaucoup lorsqu’il s’agit de célébrités ou de personnalités politiques, mais ces fausses vidéos peuvent toucher les entreprises lorsqu’elles sont utilisées pour mener, par exemple, des arnaques au président.

On s’attendait à ce que les élections américaines de 2020 soient marquées par l’explosion des deepfakes. Force est de constater que ce ne fut pas le cas. Et c’est avant tout du fait de la relative difficulté technique du dispositif, quand un simple montage, voire de grossiers mensonges, produisait le même effet. Pour mémoire, le terme deepfake désigne des images truquées, et particulièrement des vidéos, mettant en scène une ou plusieurs personnes dont les gestes, la voix et jusqu’aux expressions faciales sont imitées. On se rappellera de la fausse vidéo de Barack Obama, doublé par l’acteur Jordan Peele, où l’ex-président des États-Unis évoque un personnage de Black Panther et insulte copieusement Donald Trump. Un faux, bien sûr, réalisé par Buzzfeed dans le but de prouver que la technologie permet de faire dire à n’importe qui des paroles qui n’ont jamais été prononcées.

De la politique à l’entreprise

Nous étions alors en 2018 et si la prédiction d’une campagne électorale américaine manipulée à grands renforts de deepfakes ne s’est pas réalisée, ces vidéos n’en restent pas moins une menace, et en premier lieu pour les entreprises. Car des cybercriminels pourraient exploiter ces technologies pour prendre l’apparence d’un dirigeant d’entreprise et tromper un collaborateur, un partenaire ou un client. « Le principal problème dans l’immédiat est que les entreprises ne sont pas conscientes de cette menace », nous explique Nir Chako, Cyber Research Team Leader du Lab chez CyberArk, «À l’instar du mail, qui a évolué du spam au phishing, nous avons besoin de sensibiliser les équipes, c’est le premier enjeu.» Car le deepfake n’est ni plus ni moins que la nouvelle forme que prend l’ingénierie sociale, du moins selon CyberArk.

« Ces vecteurs d’attaque sont tous issus de l’ingénierie sociale : ils imitent la voix et l’image par exemple d’un responsable pour demander d’effectuer un virement », souligne Nir Chako. « Un second cas est un technicien informatique qui demande à un salarié d’installer un programme sur son poste, c’est d’autant plus vrai en cette période de pandémie, où les collaborateurs travaillent à distance. Il y a un risque que les faux appels téléphoniques deviennent de faux appels vidéo, et c’est là que cela devient dangereux. Un informaticien de l’entreprise, ou du moins un attaquant se faisant passer pour lui en vidéoconférence, peut vous demander de télécharger un programme, une mise à jour, pour le VPN se connectant au réseau de l’entreprise par exemple, ou de prendre le contrôle à distance de votre poste, et il est ainsi en mesure d’accéder aux ressources de l’entreprise », ajoute-t-il.

Dans cette vidéo, on est bien devant une allocution de Barack Obama. Malgré cela, ce ne sont pas ses propos, car ce n’est pas lui qui parle mais un acteur, Jordan Peele.

Des deepfakes de plus en plus réalistes

Pour autant, à ce jour, aucune entreprise n’a signalé avoir été victime de ce type d’attaque. « Le vishing, l’hameçonnage par téléphone, est déjà utilisé pour des arnaques au président, ou whaling, pour obtenir des transferts de fonds. Les deepfakes sont encore quelque chose de neuf et, comme on le sait, les attaquants ont souvent un coup d’avance », précise le Cyber Research Team Leader. Puisque le phénomène est encore relativement récent, CyberArk explique ne pas avoir entendu parler de ce genre de cas. « Mais cela ne veut pas dire pour autant que ce n’est pas déjà là : les deepfakes sont un vecteur d’attaque sournois : si l’informaticien de mon entreprise me demande de réaliser une tâche, je n’en parlerai pas à ma direction car cela semble un processus normal », remarque Nir Chako.

Néanmoins, les deepfakes relèvent de l’ingénierie sociale, dont les problématiques sont déjà bien connues dans les entreprises. Ainsi, sur le phishing, les collaborateurs sont censés savoir comment y réagir. Les deepfakes n’en diffèrent pas : il s’agit donc en premier lieu de sensibiliser. « L’ingénierie sociale exploite le sentiment d’urgence pour pousser à l’erreur, il faut donc apprendre aux salariés à prendre le temps, à vérifier qui est derrière l’écran en demandant par exemple de confirmer l’information via un autre support », selon Nir Chako.

Du côté plus technologique, en ce qui concerne la détection des deepfakes, des projets académiques et des start-ups travaillent autour de l’identification de ces éléments. D’autant que, pendant un temps, les deepfakes étaient pour la plupart faciles à repérer. Mais les technologies allant en s’améliorant, et se mettant à la disposition du plus grand nombre à travers des applications grand public, les fausses vidéos sont de plus en plus abouties, reprenant les mimiques de leur victime, rendant de plus en plus complexe leur détection. Aux yeux de Nir Chako, pour l’heure « nous ne sommes pas vraiment conscient du risque. Or il y a une corrélation entre le manque de conscience et les chances de succès d’une attaque : nous sommes plus faciles à tromper. Et la techno permettant les deepfakes sera de plus en plus développée et accessible, nous devons y être prêt.»

À mesure que les technologies se développent, les deepfakes se sophistiquent et deviennent de moins en moins détectables.