ENTREPRISES & STRATÉGIES — Technologies

CYBERSécurité

La nouvelle vie de l’arnaque au CEO



277905.jpg

L’«audio deepfake» a commencé à quitter la sphère de l’amusement et de la politique pour s’en prendre au monde de l’entreprise. (Photo: Shutterstock)

L’«audio deepfake» et le social engineering donnent de nouvelles «lettres de noblesse» aux arnaques contre les CEO des entreprises. Une menace prise très au sérieux par les autorités. Et pas assez par les entreprises.

Vous avez cliqué directement sur le premier lien de la newsletter Trendin’? Alors, nous sommes vendredi. Il est 14 heures. Si vous êtes le dirigeant d’une entreprise, c’est le moment où votre société est la plus vulnérable: votre secrétaire, votre assistant(e) ou votre directeur financier, selon la taille de l’entreprise, commence à débrayer dans la perspective du week-end.

Quand le téléphone va sonner, vers 16 heures, que vous serez au bout du fil pour ordonner de virer immédiatement une somme importante sur un compte inconnu parce que vous êtes en train de déjeuner avec un client et qu’une belle opportunité se dessine, votre consciencieux interlocuteur va le faire. Dare-dare, même, histoire de pouvoir partir assez tôt…

Jusqu’ici, les professionnels, ABBL en tête, avaient identifié une variante qui passe par les courriers électroniques . Entre 2013 et 2017, une estimation du FBI chiffrait les pertes à 2,3 milliards de dollars, dont le record de 70 millions d’euros par la banque belge Crelan en 2016 . L’addition est passée à 8 milliards de dollars pour la seule année 2018, selon l’étude... d’un fournisseur de solution de cybersécurité.

Sauf que la technologie a évolué. À 16 heures, ce ne sera pas vous, le deal n’existera pas et l’entreprise se fera voler une somme importante. «L’arnaque au CEO», comme l’ont surnommée les autorités, connaît une nouvelle jeunesse: l’«audio deepfake».

200.000 euros et trois appels

En mars, comme l’a finalement raconté en septembre Euler Hermes , une branche de l’assureur Allianz, la filiale britannique d’un groupe énergétique international basé en Allemagne a reçu un appel du big boss, qui lui demandait de virer immédiatement 200.000 euros sur un compte en Hongrie.

Le directeur de la filiale, convaincu que la voix était celle de son patron, a transféré ce montant. Une heure plus tard, les hackers ont rappelé la filiale britannique pour dire que la maison mère avait remboursé la somme. Puis vingt minutes plus tard, pour exiger un nouveau transfert. C’est là que les Britanniques sont devenus méfiants...

L’argent s’est envolé de Hongrie vers le Mexique. Puis les enquêteurs ont perdu sa trace.

La voix du «big boss» était une voix de synthèse, réalisée avec une intelligence artificielle. Plus vraie que nature. Le plus gros du travail relève du social engineering, c’est-à-dire de la manière dont les attaquants vont réunir des informations sur la société, à partir de ce qu’elle publie elle-même sur son site, sur un blog, ou de ce que ses dirigeants disent dans des grands rendez-vous ou dans les médias.

Trois escroqueries à la voix

Pour Symantec, trois escroqueries de la même nature ont déjà réussi. Le montant total qui a changé de mains n’est pas connu avec précision. Dans le premier cas en Allemagne, l’assureur a remboursé son client.

Il y a principalement deux types de technologies. La première transforme une voix en une autre. Comme ce que fait la start-up de Boston Modulate.ai . Après avoir fait face à un bad buzz suite à la possibilité de transformer sa voix à des fins criminelles, elle indique avoir intégré une charte éthique ... et surtout un marqueur qui permet directement d’affirmer que c’est une voix synthétique.

L’autre technologie d’intelligence artificielle transforme n’importe quelle phrase tapée pour en faire un message prononcé avec la voix de quelqu’un de connu, celle de Trump, par exemple. C’est le cas de Lyrebird, la start-up de Montréal . Qui a elle aussi ajouté une couche éthique face aux critiques.

Signe dans les deux cas que leurs solutions sont très abouties.

La «video deepfake» encore plus dangereuse

Les criminels n’utiliseront ces technologies que si elles leur apportent un avantage concurrentiel, assure le patron du groupe spécialisé contre le crime organisé numérique chez Europol.

Mais d’autres experts, technologiques, s’inquiètent déjà des étapes suivantes, les fraudes à l’identification vocale ou celles à la «video deepfake». Si tout le monde s’amuse de la vidéo de la sénatrice américaine Nancy Pelosi, qui semble ivre, ou de Mark Zuckerberg qui dit des choses totalement incohérentes, Symantec vient de publier un white paper de 11 pages.

« AI gone rogue: exterminating deep fakes before they cause menace » envisage ni plus ni moins la mise en ligne de «videos deepfake» de patrons de grands groupes. Leur intervention, qui passerait pour réelle, verrait le cours de bourse de ces sociétés chahuté.

Alors les chercheurs ont téléchargé 26 vidéos «fake» disponibles sur internet, puis trente autres des mêmes personnes pour modifier leurs textes. Après avoir bricolé le FaceNet de Google, leur logiciel permettrait de détecter les 30 vraies vidéos et 18 des 25 fausses. Soit un taux de détection des faux de 72%. De quoi bâtir une méthode de détection des faux. Des «deepfakes». Avant la catastrophe.

Le travail d’éducation des salariés est presque plus important que la technologie à mettre en place. À moins de préférer une vérification: le patron appelle pour demander qu’on vire 200.000 euros? Rappelons le patron pour vérifier que c’était bien lui.