AXA_MON_ENTREPRISE_2_2024

INTELLIGENCE ARTIFICIELLE
INTELLIGENCE ARTIFICIELLE
Deep fakes:
une menace bien réelle
Le fait que des photos puissent être retouchées et truquées n’est pas nouveau. Mais jusqu’à
présent, la piètre qualité obtenue vendait la mèche. Aujourd’hui, grâce à l’intelligence artificielle
(IA), c’est devenu bien plus simple. Les «deep fakes» constituent une menace croissante,
y compris pour les PME.
Fin 2023, une vidéo falsifiée d’Alain
Berset est devenue virale. Elle le
montrait en train de prononcer un
discours au Forum économique
mondial de Davos et paraissait donc
sérieuse. Mais soudain, l’ancien président
de la Confédération se mettait
à faire la promotion d’un produit
financier prétendument lucratif. En
y regardant de plus près, on se rendait
compte que la voix et l’image
n’étaient pas totalement synchrones
et que la vidéo était truquée. Ce cas
est loin d’être un incident isolé. Régulièrement,
des personnalités sont victimes de
deep fakes: elles apparaissent dans de fausses
vidéos publicitaires en vue de convaincre le
public d’utiliser des programmes malveillants.
Aujourd’hui, les cybercriminels vont cependant
au-delà de l’utilisation de ces contenus
falsifiés pour des campagnes d’influence ou
de désinformation. Leur nouveau but est d’exploiter
cette technologie pour contourner les
contrôles de sécurité des entreprises et s’infiltrer
dans leurs réseaux. La CEO Katrin Sprenger
et le CTO Lukas Keller, de la start-up zurichoise
Silenccio, nous expliquent comment se protéger
contre des attaques par deep fakes.
Katrin Sprenger et Lukas Keller:
Qu’entend-on exactement par deep fakes?
Lukas Keller: On appelle «deep fakes» des vidéos,
des fichiers audio ou des photos falsifiés,
qui ont été créés ou modifiés à l’aide de l’intelligence
artificielle et que l’on identifie difficilement
comme des faux.
Quelles formes de deep fakes existe-t-il?
Lukas Keller: Les méthodes les plus courantes
sont utilisées sur la vidéo, l’image, l’audio et le
texte. La manipulation du visage et de la voix
consiste à agir sur les mouvements de la tête et
des lèvres et sur les mimiques d’une personne.
Dès lors, on peut réaliser de fausses vidéos très
réalistes dans lesquelles quelqu’un tient des pro-
Texte Melanie Ade
La CEO Katrin Sprenger et le CTO Lukas Keller de la
start-up zurichoise Silenccio savent comment
se protéger contre des attaques par deep fakes.
Mon Entreprise
La start-up zurichoise
Silenccio protège les
particuliers depuis 2019 et
désormais les PME contre
les dangers sur Internet: son
service en ligne innovant
offre à la clientèle aide et
protection en cas d’incidents
dans les domaines des
achats en ligne, du hacking
et du phishing ainsi que du
cyberharcèlement.
silenccio.com
cyberpreventionservices.axa.ch
pos qu’il n’a jamais vraiment tenus.
C’est le cas dans l’exemple d’Alain
Berset qui, pendant un discours au
Forum économique mondial, n’aurait
évidemment jamais fait la promotion
d’un produit de placement. Une autre
possibilité est de remplacer le visage
d’une personne par celui d’une autre
pour créer une toute nouvelle image.
Enfin, pour ce qui est des textes, on
peut utiliser l’intelligence artificielle
pour générer rapidement une immense
quantité d’informations, d’articles
de blog ou de messages truqués.
C’est ce que l’on appelle des «fake news».
Quelles sont les principales astuces
des cybercriminels pour attaquer
des entreprises à l’aide de deep fakes?
Katrin Sprenger: Les deep fakes offrent deux
grandes possibilités pour attaquer une entreprise.
Dans le domaine de l’usurpation d’identité,
tout d’abord, ils permettent de leurrer
les systèmes biométriques, par exemple lors
de l’authentification par vidéo ou par reconnaissance
vocale. On peut ainsi contourner les
mesures de sécurité en falsifiant les données
d’identité d’une personne. Ou en ayant recours
à l’ingénierie sociale, méthode connue depuis
longtemps, qui consiste par exemple à imiter
la voix du CEO pour ordonner un paiement ou
l’envoi de données sensibles.
Les PME sont-elles aussi concernées
par ces attaques?
Katrin Sprenger: Absolument. Un grand
nombre de PME se croient à l’abri, pensant que
seuls les grands groupes intéressent les pirates
informatiques. Mais n’oublions pas que les cybercriminels
recherchent toujours le meilleur
rapport coût-bénéfice. Les mesures de sécurité
étant généralement plus souples dans une PME
que dans une banque, les pirates y trouvent
plus rapidement une porte d’entrée. Plusieurs
petites attaques sont alors aussi intéressantes
qu’une attaque de grande envergure. Une façon
rapide d’extorquer quelques milliers de
francs par ingénierie sociale ou de s’emparer
de données client qui finiront ensuite sur le
Darknet.
Comment reconnaître un deep fake?
Lukas Keller: Il faut surtout se dire que tout
ce que l’on voit ou entend n’est pas forcément
vrai. Dans les vidéos, faites attention aux mimiques
inhabituelles, à l’absence de clignement
des yeux ou à des ombres peu naturelles
sur le visage. Des contours flous entre le visage,
les cheveux et le cou peuvent aussi être des
indices, tout comme des transitions bizarres
entre le visage et l’arrière-plan. Dans les enregistrements
audio, le rythme de parole, des
bruits métalliques, une mauvaise prononciation
et, bien sûr, le contenu sont les éléments
à surveiller.
Comment les PME peuvent-elles prévenir
une telle cyberattaque?
Katrin Sprenger: En général, les deep fakes
ciblent les membres du personnel. La principale
mesure de protection est donc de les sensibiliser.
Lorsqu’ils savent à quoi prêter attention,
on ne peut certes pas empêcher l’attaque, mais
au moins éviter des dégâts considérables. Au
moindre doute, il est important d’avertir immé-
diatement toute l’entreprise, car il est probable
que plusieurs personnes aient été ciblées. Il est
en outre conseillé aux PME d’élaborer un plan
d’urgence connu de tout le personnel.
Y a-t-il d’autres possibilités?
Lukas Keller: Les PME manquent souvent de
temps et de ressources à consacrer à la sécurité
informatique. Il est donc recommandé de se
faire aider par des spécialistes externes. Nous
proposons par exemple aux PME un outil automatique
qui teste les portes d’entrée les plus
courantes de l’infrastructure informatique et
décèle les éventuelles failles de sécurité. Nos
clientes et clients obtiennent gratuitement
une première évaluation juste après leur inscription
sur notre plate-forme. En plus d’organiser
une simulation de phishing destinée
à sensibiliser le personnel, nous les informons
des campagnes frauduleuses et des problèmes
de sécurité récemment découverts. À partir
du deuxième semestre 2024, une évaluation
des risques axée sur les processus internes et
des formations de sensibilisation du personnel
complèteront notre offre de cyberprévention
pour les PME.
●
Vos projets
en grand
Chaque jour, nous soutenons de nombreux
créateurs et créatrices d’entreprises.
Nous les aidons à concrétiser leurs projets
avec des solutions d’assurance et de
prévoyance adaptées.
«Dans le domaine
de
l’usurpation
d’identité,
les deep fakes
permettent
de leurrer les
systèmes
biométriques.»
Katrin Sprenger, CEO de Silenccio
Mon ENTREPRISE
Photo: màd
Know You Can
20 02/2024 02/2024 21
Mon ENTREPRISE