Cela fait maintenant plusieurs années que l’intelligence artificielle est utilisée pour créer des images et des voix de synthèse réalistes : le deepfake (la contraction des termes anglais deep learning - apprentissage profond - et fake - feint, truqué -) est la technique utilisée pour créer de fausses vidéos difficilement identifiables en tant que telles. Cette forme de technologie s'améliorant au fil des années, des personnes mal intentionnées ont déjà utilisé le deepfake audio pour duper des personnes et le nombre de victimes potentielles pourrait croître à mesure que les clones vocaux se perfectionnent.
Début 2020, un directeur de banque à Hong Kong a reçu un appel d'un homme dont il reconnaissait la voix, un directeur d'une entreprise avec qui il avait déjà parlé. Le directeur avait une bonne nouvelle : sa société était sur le point de faire une acquisition, il avait donc besoin que la banque autorise des virements à hauteur de 35 millions de dollars. Un avocat nommé Martin Zelner avait été embauché pour coordonner les procédures et le directeur de la banque pouvait voir dans sa boîte de réception les e-mails du directeur et de Zelner, confirmant le montant de l'argent nécessaire pour le virement et où le virement devait être fait. Le directeur de la banque, estimant que tout semblait légitime, a commencé à effectuer les virements.
Ce qu'il ne savait pas, c'est qu'il avait été dupé dans le cadre d'une escroquerie élaborée, dans laquelle des fraudeurs avaient utilisé un deepfake audio pour cloner la voix du directeur, selon un document judiciaire dans lequel les Émirats arabes unis ont demandé l'aide d'enquêteurs américains pour retrouver 400 000 $ de fonds volés qui sont entrés dans des comptes basés aux États-Unis détenus par la Centennial Bank. Les Émirats arabes unis, qui enquêtent sur le casse, car il affectait des entités du pays, pensent qu'il s'agissait d'un stratagème élaboré, impliquant au moins 17 personnes, qui a conduit à envoyer l'argent volé sur des comptes bancaires à travers le monde.
Deuxième cas connu de l'utilisation de deepfake audio pour réaliser un casse
Ce n'est que le deuxième cas connu de fraudeurs qui auraient utilisé des outils de modelage de la voix pour effectuer un casse, mais il semble avoir eu beaucoup plus de succès que le premier qui a eu lieu en mars 2019 et a vu des criminels réussir à escroquer la somme de 201 000 £ (222 000 €). Les cybercriminels ont eu recours à l'intelligence artificielle pour imiter la voix du directeur de la société mère allemande d'une entreprise énergétique britannique non identifiée. Le résultat était si crédible que le chef de la direction basé au Royaume-Uni a été amené à effectuer un important transfert d'argent au chef de la direction, en passant par un fournisseur hongrois.
Le directeur de l'énergie a reçu un appel du directeur général de la société mère en Allemagne, lui demandant d'effectuer un important transfert d'argent prétendument urgent. Le directeur a fait le transfert demandé à un fournisseur hongrois et il a reçu un autre appel du directeur général lui assurant que le transfert serait remboursé immédiatement. Jusque là, cela lui semblait crédible.
Toutefois, lorsque les fonds de remboursement ne figuraient toujours pas dans les comptes et qu'un troisième appel avait été lancé depuis l'Autriche, l'appelant ayant à nouveau prétendu être le PDG de la société mère demandant un autre transfert urgent, le directeur est devenu suspicieux. Malgré la reconnaissance de ce qui semblait être la voix de son patron, le PDG a refusé de faire le transfert, réalisant que quelque chose n'allait pas.
Bien que le directeur ait reconnu l’accent et les intonations familiers du chef de la direction, il s’avère que ce dernier n’avait pas fait l’appel. D'ailleurs, les fonds que le directeur a transférés en Hongrie ont ensuite été transférés au Mexique et à d'autres endroits.
Rüdiger Kirsch, expert en fraude chez l’assureur Euler Hermes, qui couvrait la réclamation de la société victime, a déclaré que la société d’assurance n’avait jamais traité de réclamations découlant de pertes faisant suite à des crimes liés à l’IA. L'enquête policière sur cette affaire a indiqué que des cybercriminels ont utilisé un logiciel commercial générant la voix pour mener l'attaque, notant qu'il avait par la suite testé un tel produit et avait trouvé que la version reproduite de sa voix lui semblait réelle.
Jake Moore, un ancien officier de police du département de police de Dorset au Royaume-Uni et maintenant expert en cybersécurité dans la société de sécurité ESET, a estimé que nous assisterons à une augmentation considérable des cybercrimes s'appuyant sur le machine-learning (une branche de l'intelligence artificielle) dans un proche avenir. Et de continuer en disant :
« Nous avons déjà vu les deepfake imiter des célébrités et des personnalités publiques au format vidéo, mais il a fallu environ 17 heures de séquences pour un résultat convaincant. Être capable de simuler des voix nécessite moins d’enregistrements à produire. À mesure que la puissance de calcul augmente, nous commençons à voir que celles-ci deviennent encore plus faciles à créer, ce qui donne une image effrayante de l'avenir ».
Piqûre de rappel sur les dangers liés au deepfake
Le cas des Émirats arabes unis montre à quel point de telles escroqueries peuvent être dévastatrices et sert de piqûre de rappel concernant l'utilisation de l'IA pour créer des images et des voix prétendument fausses dans la cybercriminalité.
« Les contrefaçons audio et visuelles représentent le développement fascinant de la technologie du 21e siècle, mais elles sont également potentiellement incroyablement dangereuses et constituent une énorme menace pour les données, l'argent et les entreprises », a déclaré Jake Moore. « Nous sommes actuellement sur le point de voir des acteurs malveillants transférer leur expertise et leurs ressources en utilisant les dernières technologies pour manipuler des personnes qui ignorent innocemment les domaines de la technologie deepfake et même leur existence ».
« La manipulation de l'audio, qui est plus facile à orchestrer que la création de fausses vidéos deepfake, ne fera qu'augmenter en volume et sans l'éducation et la sensibilisation à ce nouveau type de vecteur d'attaque, ainsi que de meilleures méthodes d'authentification, davantage d'entreprises sont susceptibles d'être victimes de conversations très convaincantes ».
Autrefois une technologie confinée au domaine des câpres fictives comme mission : impossible, le clonage vocal est désormais largement disponible. Diverses startups technologiques travaillent sur des technologies vocales d'IA de plus en plus sophistiquées, de Aflorithmic de Londres à Respeecher d'Ukraine en passant par Resemble.AI au Canada. Reconnaissant le potentiel d'utilisation malveillante de l'IA...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.