Face aux perfectionnements des pratiques frauduleuses en ligne, identifier l’authenticité des contenus diffusés auprès de leur audience représente un défi majeur pour les entreprises. À quels risques la technologie émergente de deepfake peut-elle exposer les organisations ? Comment ces dernières peuvent-elles les anticiper ? Voici le sujet traité par Capterra dans cet article.
Dans cet article
- Qu’est-ce que le deepfake ?
- La réputation et la sécurité des entreprises au cœur des préoccupations
- Les différents types de deepfake et les risques de fraude associés
- Quelles mesures préventives peuvent être déployées ?
- Entre challenge pour la cybersécurité de demain et opportunité pour le marketing du futur
Le développement de l’intelligence artificielle ouvre de nouvelles perspectives en matière de génération de contenus. Parmi les nouvelles pratiques répertoriées figure la technologie de deepfake, terme pouvant se traduire par “hypertrucage”. Ce principe permet d’altérer un support audio, vidéo, graphique ou encore textuel authentique en y apportant des modifications réalistes. Le résultat de cette opération résulte en un contenu fictif à l’apparence néanmoins convaincante, rendant ainsi possible de remplacer, par exemple, dans une vidéo, le visage d’une personne par un autre visage, de coordonner le mouvement des lèvres, ou encore de reproduire la voix d’un individu en lui faisant tenir des propos qu’il n’a jamais tenu.
Différentes applications donnent d’ores et déjà au grand public la possibilité d’élaborer leurs propres contenus à partir de cette technologie. Utilisé le plus souvent à des fins de divertissement, ce principe a aussi été employé par certaines entreprises à des fins publicitaires, pour promouvoir de façon originale et inédite leurs services et produits. Toutefois,le deepfake met en avant un paradoxe quant aux usages des contenus produits, son utilisation soulevant en parallèle des problématiques liées à l’exploitation frauduleuse de cette technologie.
Comment fonctionne la technologie du deepfake ? Quels types de menaces potentielles peut représenter une exploitation frauduleuse de ce principe ? Quelles mesures de prévention s’offrent aux entreprises aux entreprises pour se protéger de tels risques ? Tel est le sujet abordé par Capterra, sur lequel des experts ont également été consultés :
- Thierry Berthier, pilote du groupe "Sécurité Intelligence Artificielle Robotique" chez Hub France IA & Drones4Sec
- Éric Gaubert, directeur adjoint, innovation et partenariat chez Reinsurance Group of America, Incorporated
Qu’est-ce que le deepfake ?
Devenue de plus en plus convaincante et accessible au grand public, la technologie du deepfake ouvre la voie à de nombreuses possibilités d’utilisation. Qu’il s’agisse de placer son visage sur celui d’un protagoniste de film ou dans une vidéo populaire sur les réseaux sociaux, ou de détourner la voix de chanteurs célèbres pour créer de nouvelles pistes sonores, différentes applications ont permis aux internautes de s’emparer de cette tendance et de générer des contenus détournés hyperréalistes à partir de contenus authentiques.
La technologie de deepfake exploite deux modèles d'algorithmes issus du principe d’apprentissage automatique ou machine learning. L’un des algorithmes crée un nouveau contenu à partir d'un ensemble de données, telles que des exemples de vidéo ou d’audio existants, tandis que l’autre détecte le degré de réalisme du contenu qui est produit. Lorsque le second algorithme n’est plus en mesure d’identifier si une vidéo réalisée est contrefaite, la version finale du contenu est validée.
La combinaison de ces algorithmes forme un modèle appelé “réseau adverse génératif” (“generative adversarial network”, ou GAN), dont la fonction est d’améliorer les productions réalisées en continu, à partir des données recueillies par les différents algorithmes.
La réputation et la sécurité des entreprises au cœur des préoccupations
Bien qu’il ait initialement vocation à être utilisé à des fins de divertissement, le deepfake peut toutefois vite être détourné à des fins moins innocentes.
Comme le spécifie Thierry Berthier, “le deepfake intervient dans un large spectre d’actions malveillantes pour tromper, piéger, usurper une identité, discréditer, porter atteinte à l’image et à la réputation d’une personne.” Compte tenu de la sophistication et de l'ampleur de la technologie impliquée, le recours frauduleux à cette technologie peut donc représenter un risque majeur pour la réputation des entreprises. Ceci peut par exemple prendre la forme d’une campagne de désinformation sur les réseaux sociaux, voire de la diffusion de faux avis multiples sur différents moteurs de recherche visant à discréditer la qualité des produits ou des services d’une entreprise. Thierry Berthier précise :
Le deepfake est utilisé pour travestir la réalité, pour placer une cible dans une situation ou un environnement fictif qui le dévalorise, le discrédite ou le décrédibilise. Le deepfake est alors une composante active de l’attaque réputationnelle. Il peut cibler une personne, un groupe de personnes, une organisation, une entreprise, un parti politique, ou encore un gouvernement. Lorsque le deepfake fait partie d’une Architectures de Données Fictives Immersives (ADFI) sophistiquée, il s’agit d’une opération d’influence ou de fracturation des opinions, à supervision étatique. Ces ADFI s’appuient sur des ensembles de profils fictifs créés sur les réseaux sociaux. L’intelligence artificielle générative multimodale (LLM, GPT4) permet de faire vivre des réseaux ADFI.
Thierry Berthier, pilote du groupe "Sécurité Intelligence Artificielle Robotique" chez Hub France IA & Drones4Sec
Qu’il s’agisse d’inciter des employés à réaliser des actions pouvant compromettre des données confidentielles, ou d’amener un client à partager des accès à des informations sensibles, le mauvais usage du deepfake place également la problématique de la sécurité et de la protection des données au cœur des préoccupations, comme le souligne de nouveau Thierry Berthier :
Le deepfake peut être utilisé dans le cadre d’une cyberattaque ou d’une opération de fraude en ligne de type "arnaque au président" ("BEC scams" en anglais), arnaque au faux fournisseur, au faux changement de compte. Ils font alors partie d’une Architectures de Données Fictives Immersives (ADFI) qui est utilisée pour tromper une cible, par exemple, en l’amenant à effectuer un virement sur un compte usurpant l’identité d’un compte légitime. Dans ce contexte, le deepfake peut être du son, de l’image et de la vidéo.
Thierry Berthier, pilote du groupe "Sécurité Intelligence Artificielle Robotique" chez Hub France IA & Drones4Sec
La vérification de l’authenticité des contenus est une pratique essentielle pour toute organisation. Toutefois, l’utilisation de la technologie de deepfake peut contribuer à complexifier ce processus et donner lieu à des contenus frauduleux pouvant adopter différentes formes.
Les différents types de deepfake et les risques de fraude associés
Le détournement de la technologie de deepfake à des fins malveillantes peut donner l’occasion aux pirates d’exploiter certaines vulnérabilités au sein des procédures des entreprises, notamment en matière de circulation des informations les concernant, comme en atteste l'expérience d’Éric Gaubert :
La technologie de deepfake a atteint désormais un bon niveau de vraisemblance dans la production d'images et de vidéos. En matière de communication interne, les deepfake peuvent être utilisés pour véhiculer de fausses informations sur la stratégie ou la santé financière de l'entreprise. À l'échelle de multinationales, l'impact peut être désastreux. En communication externe, deux types d'arnaques peuvent être utilisées, soit pour faire de “l'arnaque au président” sophistiquée, soit pour diffuser des fausses informations au marché financier ou aux investisseurs par exemple.
Éric Gaubert, directeur adjoint, innovation et partenariat chez Reinsurance Group of America, Incorporated
Voici les principaux types de deepfake dont l’utilisation peut constituer des risques pour une organisation.
Deepfake textuel
Les technologies liées à l’intelligence artificielle générative permettent désormais de composer des textes proches de ceux réalisés par des humains. À partir des données recueillies sur le web, certains programmes peuvent permettre de créer par exemple des textes correspondant au style d’une personnalité publique.
La pratique frauduleuse du phishing, consistant à extorquer des informations sensibles par le biais de courrier électronique ou encore de SMS, peut faire usage du deepfake textuel pour renforcer la crédibilité d’une fausse information auprès d’un destinataire.
Deepfake visuel
Alors qu’une quantité importante de données telles que des photographies de particuliers mais aussi de personnalités publiques circulent en ligne, s’emparer de ces informations peut permettre à des utilisateurs malveillants de générer des contenus falsifiés.
Le deepfake d’images peut ainsi être utilisé afin de tenter de contourner certains processus de sécurité, tels que celui de la reconnaissance faciale, pour accéder de manière frauduleuse aux informations d’un compte client protégé par ce type de dispositif.
Deepfake vidéo
À l’heure où de nombreux contenus vidéo sont diffusés et partagés sur les réseaux sociaux, la création de fausses vidéos est l’une des menaces potentielles soulevées par l’utilisation malveillante du deepfake.
Divers programmes permettent aux utilisateurs de remplacer une personne apparaissant dans une vidéo par une autre à l’aide d’une simple photographie, ou encore de procéder à un échange de visage (“face swap”). Il devient possible pour des utilisateurs mal intentionnés de manipuler des contenus pour extorquer des informations privées, en usurpant l’identité de personnes existantes.
Deepfake audio
À partir d’un référentiel de données contenant un enregistrement audio d'une personne dont la voix doit être imitée, la technologie deepfake peut analyser et reproduire le discours d’une personne réelle.
Pour les cybercriminels, le deepfake audio peut être un moyen d’utiliser les failles potentielles d’un système protégé par des données biométriques vocales, ou de réaliser des appels téléphoniques frauduleux pour tromper la cible visée.
Deepfake en temps réel ou live deepfake
Le développement de la technologie deepfake a progressé de telle sorte qu’il est désormais possible pour des fraudeurs de reproduire la voix, l'image et les mouvements d'une personne en temps réel.
Aux États-Unis, la technologie a par exemple été utilisée par des pirates pour accéder aux informations sensibles d’une entreprise, au cours d’un entretien d’embauche en visioconférence donnant lieu à l’usage de fausses vidéos.
Parce qu’elle fait appel aux éléments de communication les plus fréquents employés par les entreprises et leur clients, et parce qu’elle se développe conjointement à l'essor des pratiques numériques, le détournement de la technologie de deepfake représente un défi de taille pour les entreprises.
Quelles mesures préventives peuvent être déployées ?
Bien que la technologie de deepfake ait donné lieu à une nouvelle génération de cybercriminalité, la combinaison de l’éducation des acteurs de l’entreprise, d’outils technologiques adaptés et d’un plan de préparation peuvent représenter des moyens essentiels pour se prémunir des conséquences négatives d’une action frauduleuse.
1. Sensibiliser et former les employés
Face à la nouveauté que représentent les menaces basées sur le deepfake, des collaborateurs sensibilisés et formés sur ce sujet constituent la première ligne de défense d’une organisation. Par ce biais, une entreprise peut ainsi réduire les risques d'être victime d'une attaque en informant ses employés, ses équipes techniques, ainsi que ses dirigeants des risques potentiels encourus.
En effectuant des ateliers de formation spécifique à l’aide de logiciels de sensibilisation à la sécurité, une entreprise peut ainsi fournir aux employés des bonnes pratiques et informations cruciales sur la détection de ces menaces. Ces formations peuvent ainsi donner des conseils sur la façon de reconnaître une vidéo manipulée en identifiant des imperfections notables. Ce peut être, par exemple, “la formation des employés sur les caractéristiques des vidéos en analysant les mouvements, les voix, les particularités des visages ou encore l'authenticité des images” comme l’indique Éric Gaubert. Il peut également s’agir d’inciter à une pratique de vérification systématique des sources en cas d’informations suspectes diffusées.
Il est fondamental pour une entreprise de développer une culture de la sécurité sur le lieu de travail. Les employés seront plus à même de reconnaître des contenus frauduleux s'ils sont informés des menaces à la sécurité et des stratégies de prévention mises à leur disposition.
2. Renforcer les pratiques d’authentification
L’authentification peut jouer un rôle crucial en matière de prévention de contenus deepfake frauduleux. L’application d’une norme dite de confiance zéro, soit un cadre de sécurité exigeant que tous les utilisateurs internes ou externes du réseau de l'entreprise soient authentifiés, autorisés et validés avant de se voir accorder ou de conserver l'accès aux applications et aux données, est de ce fait essentielle. À cet effet, des protocoles d’identification des clients et des employés peuvent être déployés à l’aide de solutions d'authentification spécifiques.
Thierry Berthier explique que “plusieurs techniques peuvent être croisées pour atteindre un niveau de détection satisfaisant. En cas de doute, on peut aussi appliquer les techniques rudimentaires de type “double authentification” en cherchant à appeler la personne concernée figurant sur le deepfake pour qu’elle confirme ou infirme le contenu”.
Ce cas de figure peut par exemple se présenter aussi bien pour un client ayant reçu un appel douteux basé sur la technologie de deepfake prétendant agir au nom d’une entreprise, tout comme pour tout employé confronté à une communication interne suspectée frauduleuse.
3. Certifier les contenus authentiques d’entreprise
L’une des mesures que peuvent entreprendre les organisations, et plus particulièrement pour les formes de deepfake ayant recours à la modification de vidéos et d’images, est d’utiliser une empreinte numérique ou un filigrane qui rendra plus difficile la création d'un contenu synthétique à partir de ces images. Ce processus peut être effectué à l’aide de la technologie de blockchain, cette dernière permettant d’insérer dans les vidéos ou les images des "artefacts" numériques spécialement conçus pour dissimuler les motifs de pixels utilisés par les logiciels de détection des visages.
Thierry Berthier met en exergue “la mise en place de labels ou certificats non deepfake s’appuyant sur des technologies de Blockchain” comme l’une des mesures préventives à considérer par les entreprises.
4. Rester à l’affût des nouvelles tendances de solutions de détection basées sur l’IA
Bien que la technologie de l’intelligence artificielle puisse être utilisée à des fins frauduleuses, cette technologie est également employée en tant que solution en matière de protection des données. L'intelligence artificielle peut ainsi servir à détecter des schémas dans les données qui indiquent un comportement suspect ou une activité malveillante, à signaler les menaces potentielles et à alerter les équipes de sécurité, afin que des mesures soient prises.
Outre cette possibilité, l’intelligence artificielle se développe également pour aider au repérage de fraudes potentielles réalisées à partir de la technologie deepfake, tel que l’explique Thierry Berthier :
Certaines solutions de détection automatique de deepfake vidéo s’appuient sur de la reconnaissance dynamique du vivant, par l’IA, en demandant par exemple à l’interlocuteur de se présenter de face et de profil puis de tourner sur sa position devant la caméra. Cette reconnaissance dynamique face-profil s’appuie sur le manque de base d’apprentissage face-profil du côté du modèle qui a engendré le contenu deepfake. Les scores de détection sont en général très bons avec cette technique. Mais, là encore, les technologies vont s’adapter et corriger les biais d’apprentissage. Il s’agit donc bien d’une course d’innovation entre modèles génératifs deepfake et détecteur de deepfake.
Thierry Berthier, pilote du groupe "Sécurité Intelligence Artificielle Robotique" chez Hub France IA & Drones4Sec
Éric Gaubert mentionne également qu'”une autre piste est d'utiliser des outils d'intelligence artificielle pour automatiser la détection de deepfake dans les mails ou bien sur le web”.
Si les systèmes de sécurité alimentés par le biais de l’IA reste encore en pleine évolution, ces derniers représentent toutefois un potentiel important à surveiller afin d’améliorer l'efficacité des systèmes de cybersécurité des entreprises.
5. Maintenir de bonnes pratiques en matière de sécurité des données
Avoir recours à des bonnes pratiques de sécurité des données de base reste fondamental. Pour ce faire, employer des outils de protection, tels que les logiciels de cybersécurité, peuvent contribuer à établir des remparts de protection préventive cruciaux. Parmi leurs fonctionnalités, ces solutions peuvent notamment analyser les points de vulnérabilité d’un système, détecter les éventuelles fuites de données, et fournir des rapports et analyses aidant les équipes techniques à renforcer leur stratégie de protection.
6. Anticiper une stratégie de réponse en cas d’exposition aux risques
Comme pour toute exposition à un risque, planifier une réponse à un incident de deepfake doit faire partie des considérations à prendre en compte par une entreprise. Dans le cas de figure où une organisation viendrait à faire face à l’urgence d’une menace, il est est important de s’assurer que les responsabilités de l’ensemble des collaborateurs soient clairement définies et que ces derniers soient avisés des meilleures pratiques pour répondre à un tel incident. Des outils tels que les logiciels de gestion des risques peuvent par exemple aider les organisations à améliorer leur processus d'identification des risques et à anticiper leur stratégie de réponse face à un tel scénario.
Pour établir un plan de réponse, trois éléments essentiels sont à prendre en compte :
- la stratégie mise en œuvre par l’entreprise pour permettre à la structure de poursuivre ces activités en cas de disruption provoquée par une fraude de deepfake, pour laquelle des logiciels de Plan de Continuité d'Activité (PCA) peuvent par exemple permettre de récupérer des données essentielles dérobées ou altérées,
- le plan de communication qui sera déployé auprès des employés, des clients et des partenaires de l’entreprise en cas de fraude,
- la réalisation d’une liste aussi exhaustive que possible des moyens de sécurité à déployer pour renforcer la sécurité de systèmes exposés.
Un plan de réponse anticipé peut contribuer à minimiser les effets à long terme d’un incident, tout en rassurant les clients et les acteurs internes d’une structure en cas de crise. Certains éléments de ce plan, telle que les mesures à adopter par les employés, peuvent également être mis à disposition des équipes via l’intranet ou la base de connaissances d’une structure.
Entre challenge pour la cybersécurité de demain et opportunité pour le marketing du futur
Quoique récente, et en raison des problématiques qu’elle pose en matière de vidéos, d’images, de sons ou de textes falsifiés, la technologie de deepfake est susceptible de contribuer à l’apparition de méthodes de cybercriminalité toujours plus perfectionnées. C’est pourquoi la prévention et la préparation restent deux priorités essentielles pour les entreprises.
Cependant, et bien que cette technologie donne lieu à certaines préoccupations quant à son impact négatif en cas d’utilisation frauduleuse, elle n’en reste pas moins un outil pouvant permettre de créer un contenu de divertissement de haute qualité, voire d’aide à la formation, comme en fait mention Éric Gaubert :
S'il est clair que les "deepfakes" peuvent être et sont utilisés de manière préjudiciable, cette même technologie ouvre également la voie à de nombreuses applications commerciales innovantes, sous réserve qu’elles soient employées dans un cadre éthique et légal, respectueux des utilisateurs et de leurs données.