Le deepfake audio, la nouvelle arnaque tendance développée par les hackers

CYBERSECURITE À mesure que cette technologie se perfectionne, les arnaques sur fond de deepfake audio pourraient se multiplier

Jennifer Mertens pour 20 Minutes

— 

Ryuk est devenu le ransomware le plus rentable de l’histoire de l’Internet
Ryuk est devenu le ransomware le plus rentable de l’histoire de l’Internet — Geeko

Cela fait maintenant plusieurs années que l’intelligence artificielle est utilisée pour créer des images et des voix de synthèse réalistes. Une technologie qui permet notamment de faire dire des choses à des personnalités publiques en utilisant leur image et en reproduisant leur voix. On parle alors de deepfake ou d’hypertrucage. Cette technologie peut être utilisée pour des trucages, des canulars, mais aussi pour diffuser des fake news et il semblerait qu’elle intéresse tout particulièrement les pirates informatiques.

Reproduire la voix de quelqu’un pour lui faire dire des choses est en effet un excellent moyen pour les hackers d’arriver à leur fin. D’autant plus que cette forme de technologie s’améliore au fil des années, devenant de plus en plus réaliste. Des personnes mal intentionnées ont déjà utilisé le deepfake audio pour arnaquer des personnes et le nombre de victimes potentielles pourrait croître à mesure que les clones vocaux se perfectionnent.

Le deepfake audio toujours plus réaliste

Dans son dernier rapport, la société de conseil en sécurité NISOS explique avoir analysé l’une de ces arnaques de deepfake audio. Des hackers ont copié la voix du PDG d’une entreprise et ont envoyé un message vocal à un employé indiquant qu’il avait soi-disant besoin d’« une assistance immédiate pour finaliser un accord commercial urgent ».

L’audio partagé avec le site Motherboard est loin d’être parfait et la voix paraît tout de même robotique, mais dans l’urgence, il est tout à fait possible de se faire avoir et de suivre les instructions données. « Cela semble vraiment humain. Ils ont coché cette case en ce qui concerne : est-ce que cela semble plus robotique ou plus humain ? Je dirais plus humain », a déclaré Rob Volkert, chercheur à NISOS, à Motherboard.

Dans ce cas-ci, l’arnaque n’a pas fonctionné. L’employé a identifié le message comme suspect et l’a signalé au service juridique de son entreprise. Mais on peut tout de même imaginer que ce genre d’attaque puisse se multiplier et fonctionner, comme ce fut le cas par le passé. Et le nombre de victimes pourrait ainsi exploser à mesure que cette technologie est perfectionnée.

Un précédent sérieux

En 2019, le directeur général d’une entreprise énergétique britannique s’est fait avoir par une arnaque de ce type. Il a envoyé 220.000 euros à un fournisseur hongrois après avoir reçu un soi-disant appel téléphonique de son PDG. Son interlocuteur lui a indiqué que le transfert était urgent et qu’il devrait être fait dans l’heure. Les criminels n’ont toujours pas été identifiés.

Pour les hackers, de simples enregistrements audio suffisent à nourrir une intelligence artificielle. Un vrai problème pour les personnalités publiques qui s’expriment régulièrement à la télévision ou sur Internet, de même que pour les appels téléphoniques de patrons concernant des résultats financiers, etc. Sur base de ces enregistrements, l’IA va pouvoir copier la voix de la personne. Plus les audios seront de bonne qualité, plus le résultat sera vraisemblable.

La seule solution pour éviter de se faire avoir par une attaque de deepfake audio est de garder son calme – malgré la pression de son interlocuteur –, de raccrocher et de rappeler la personne, afin de s’assurer qu’il s’agit bien d’elle. Un mot de sécurité pourrait également être convenu entre les personnes, mais dans l’urgence, il n’est pas toujours évident d’y penser. C’est d’ailleurs pourquoi les hackers jouent sur cet aspect.