La Sécurité Financière et Cyber à l’Ère des Deepfakes : Stratégies et Précautions pour les Directeurs Financiers et DSI
À l’heure où les deep fakes se perfectionnent et prolifèrent, la frontière entre le réel et le faux s’amincit dangereusement, plaçant les entreprises dans une position de vulnérabilité inédite. Les directeurs financiers (CFO) et directeurs des systèmes d’information (DSI) sont en première ligne face à ces nouvelles menaces. Entre manipulations sophistiquées de voix et de vidéos et tentatives de fraude aux paiements, comment peuvent-ils se prémunir efficacement ? Quelles stratégies et solutions pour renforcer la sécurité des entreprises à l’ère de la désinformation numérique.
Avec Jean-Marc Manach,* journaliste d’investigation indépendant, reconnu pour son expertise en matière de cybersécurité et de surveillance numérique.
Julie Guénard : Pouvez-vous nous expliquer les IA générative à l’heure des deepfakes ?
Il y a un article très intéressant qui définissait les intelligences artificielles générative comme des perroquets stochastiques, ce qu’on pourrait traduire en vocabulaire grand public par un générateur de baratin ou un générateur de bullshit statistiques. Ce ne sont pas des intelligences et elles ne sont pas si artificielles que ça parce qu’elles sont entraînées par des êtres humains et donc elles ont des biais cognitifs comme les êtres humains.
En fait, ce qu’elles génèrent, ce sont des probabilités statistiques du mot d’après. Ou si c’est un visage, il y aura une oreille et puis deux yeux parce qu’on l’a entraîné à reconnaître ce que c’est qu’un visage humain, un cheval, un chien.
Et pourquoi parle-ton de perroquet ? Parce qu’un perroquet peut répéter des phrases mais ne comprend pas ce qu’il dit comme l’IA ne comprend pas ce qu’elle raconte. D’où le fait qu’elle peut halluciner, c’est-à-dire inventer.
On a le cas d’avocats qui ont demandé à ChatGPT de générer des plaidoiries et où, dans la plaidoirie, les jurisprudences n’existaient pas. Et ce sont les avocats qui ont été condamnés parce qu’ils ne savaient pas que ChatGPT pouvait se tromper.
Maintenant, qu’est-ce qu’un deepfake ? En fait, ça recouvre énormément de choses différentes. On a eu le cas l’année dernière d’une vidéo modifiée présentant la présidente de la Chambre des représentants, Nancy Pelosi comme ivre alors qu’on avait juste ralenti sa façon de parler pour faire croire qu’elle était bourrée. Donc là, c’est un deepfake, mais qui n’a pas utilisé l’intelligence artificielle générative. A contrario, on a de plus en plus de fausses vidéos, de personnalités politiques, médiatiques qui sont générées.
Un exemple connu, c’est cet employé d’une boîte, je crois à Hong Kong, qui a été invité à une conf-call avec ses collègues. Sauf qu’en fait, ce n’étaient pas ses collègues. Et il a été poussé à faire un virement de 26 millions de dollars. C’était vraiment les visages et les voix de ses collègues, mais ce n’était pas ses collègues.
On a aussi du deepfake au niveau du son. Par exemple, on a de plus en plus de gens qui reçoivent des appels téléphoniques de leurs enfants en panique qui leur demande de l’argent. En fait, c’est juste quelqu’un qui a repéré sur YouTube, sur Instagram une maman et son fils et qui va cloner en quelques secondes la voix.
On a également de plus en plus de faux sites web qui sont générés par l’IA.
Donc, on est dans le règne du faux ; on ne peut plus croire ce qu’on voit, on ne peut plus croire ce qu’on lit, on ne peut plus croire ce qu’on entend. Et c’est un truc qui est en train d’exploser littéralement depuis l’apparition de ChatGPT.
Et comment résumeriez-vous le paysage actuel des menaces cyber ?
Alors je ne sais pas si vous avez entendu parler de Lapsus$, l’un des groupes de pirates informatiques, qui a fait le plus de dégâts il y a deux ans. Ce sont des jeunes adolescents autistes britanniques qui ont fait du social engineering, soit le fait de manipuler des êtres humains, avec des techniques de SIM swapping qui permet de récupérer votre numéro et ligne de mobile, pour l’associer à un nouveau mobile.
Ce n’étaient que des adolescents. Donc il faut arrêter avec le mythe du pirate informatique qui vient forcément des pays de l’Est.
Même si on a découvert que le beau-père d’un membre du plus gros groupe de ransomware et de cybercriminels russes, est un ancien du FSB, qui a coordonné des meurtres pour le compte du KGB à Berlin et dans d’autres pays européens.
On savait qu’il y avait des liens entre les services de renseignement et les mafieux et les cybercriminels. Là, on en a la preuve formelle. Donc ça va d’adolescents autistes jusqu’à des mafieux liés aux services de renseignement chinois. On estime que pour chaque agent du FBI spécialiste du cyber, il y en a 50 Chinois.
La plus grosse menace aujourd’hui pour les États-Unis, ce sont les Chinois. On a en France une grosse menace qui est l’Azerbaïdjan qui s’en prend aux intérêts français via les anciennes colonies.
Donc en fait, c’est un paysage qui est extrêmement mouvant mais qui est très loin de la caricature du mec à capuche.
Et on a également de plus en plus de ce qu’on appelait avant la fraude de présidents qui touche maintenant des particuliers. Ce sont des jeunes de banlieue qui s’échangent des modes d’emploi pour faire des escroqueries aux SMS et qui se font passer pour des supports bancaires. Ils vous appellent en se faisant passer pour votre banque et ce sont des petits jeunes qui font ça plutôt que d’être vendeur dans un fast food.
Il y a un autre volet qui commence maintenant de plus en plus à intéresser les professionnels de la sécurité informatique. C’est l’empoisonnement de l’IA (data poisoning attack). Il y a de plus en plus de pirates informatiques, d’escrocs et d’espions qui vont s’attaquer aux intelligences artificielles que mettent en place les administrations et les entreprises pour récupérer des données personnelles.
C’est pour cela qu’il y a de plus en plus d’entreprises qui vous disent de ne pas fournir vos données ou d’informations sensibles à ChatGPT.
L’ANSSI a d’ailleurs publié un mémo là-dessus.
Est-ce que vous pourriez partager des exemples d’attaques qui reposent sur des deepfakes et IA générative ?
J’aime bien parler de l’attaque de petits jeunes qui ont été capables d’escroquer un juge antiterroriste ou celle d’un journaliste spécialiste de la cybersécurité qui s’est fait escroquer par deux fois alors que c’est son métier.
Parce que ce qu’il faut comprendre, c’est que les cyberdélinquants se moquent de savoir s’ils utilisent de l’IA ou pas. Ils sont pragmatiques. Qu’est-ce qui est le plus simple ? Quelle est la faille ? Qu’est-ce qui peut apporter le plus d’argent ?
C’est pour cela qu’en matière de rançongiciel, on a vu les cyberdélinquants s’attaquer aux entreprises du CAC 40 ou du classement Fortune 500. Parce que la rançon peut être plus élevée que si on s’attaque à la mairie de Saint-Flour.
A contrario, la petite délinquance va s’attaquer à ceux qui n’ont pas de RSSI, de RGPP et qui ne sont pas entraînés à la cybersécurité.
Et évidement, il faut parler du maillon faible qui peut être la secrétaire du PDG ou celle du RSSI. Si on se rappelle de l’attaque qui visait à arrêter le flux de TV5 Monde, on s’en est prit à un de ces prestataires. D’où l’intérêt du RGPP qui impose à toute entreprise ou administration d’être responsable également de ce que font les prestataires.
Aujourd’hui, tout le monde est censé être responsable. Donc il n’y a pas un exemple en particulier, si ce n’est le fait qu’ils sont partout.
Quelles initiatives peut-on mettre en place pour éviter ce type d’arnaque ?
Déjà, ne pas faire peur, ça ne sert à rien. Et sensibiliser les gens au nouveau modus operandi du paysage de la menace. Sensibiliser sur le fait que ce n’est pas parce que quelqu’un dit quelque chose ou que l’on voit une vidéo que c’est vrai.
Il faut vérifier. Ça devrait être la base de tout citoyen.
Comment vérifier ?
Il y a plein de façons différentes. La première façon, c’est déjà qui parle. Qui relaie la vidéo ? Est-ce que c’est quelqu’un de fiable ou quelqu’un accusé de complotiste ?
Après, regardez les commentaires. Est-ce que dans les commentaires, il y a quelqu’un qui a déjà réagi en disant que c’était faux ? Ensuite, si vous avez un doute, renseignez-vous.
Pour tout ce qui est réseaux sociaux, on ne partage pas tant qu’on n’a pas vérifié bien évidemment. Et donc c’est là où je pense que dans toutes les administrations ou dans toutes les entreprises, il devrait y avoir des cellules de fact-checking, avoir des gens qui sont formés. Comme dans les médias.
Aujourd’hui, dans la quasi totalité des rédactions, il y a des professionnels du fact-checking.
Comme il y a des responsables pour la protection des données personnelles et des responsables pour la sécurité informatique, il devrait y avoir des gens au sein de ces cellules qui puissent servir de support pour aider à vérifier quand il y a une décision à prendre.
Il faut aussi qu’il y ait une double vérification, une double authentification pour toute décision importante comme on le fait pour les comptes qu’on se crée et ne pas se contenter uniquement du mot de passe.
Après, il y a des formations. J’en fais pour des journalistes. Il y a aussi des plateformes Open Source Intelligence (OSINT) qui existent, des sources ouvertes qui permettent de vérifier si une information existe quelque part sur Internet, dans une base de données.
En sécurité informatique, le principal problème est entre la chaise et le clavier. Donc si vous avez un point qui peut tomber, c’est tout l’édifice qui peut s’écrouler.
Après, il faut faire des audits, effectuer des tests de pénétration et voir dans quelle mesure l’entreprise ou l’administration est faillible ou pas.
Tout en sachant que de toute façon, tout le monde va se faire avoir à un moment ou à un autre. La question, c’est l’importance du préjudice.
Propos recueillis par Julie Guénard, Général Manager de l’Agora des Directeurs Financiers.
*Le parcours professionnel de Jean-Marc Manach, a été profondément marqué par le scandale Echelon, qui a révélé l’existence de vastes systèmes de surveillance mis en place par les services de renseignement anglo-saxons.
C’est cet événement qui a éveillé sa curiosité et l’a incité à plonger dans l’univers complexe et méconnu de la cybersurveillance. À une époque où peu de journalistes s’intéressaient à ces questions, Jean-Marc Manach choisit d’explorer ce terrain inexploré.
En côtoyant des hackers et en approfondissant ses connaissances techniques, il est devenu un expert en la matière. Ses enquêtes ont mis en lumière les enjeux liés à la protection de la vie privée à l’ère du numérique, à la cybercriminalité et aux manipulations de l’information.
Il est également auteur d’une BD, « Grandes oreilles et bras cassés » & de deux livres : « La vie privée, un problème de vieux cons ? » et « Au pays de Candy, enquête sur les marchands d’armes de surveillance numérique ».
Co-auteur d’une « Contre-histoire de l’Internet » (web/doc) pour Arte, d’un Cash Investigation sur le Business de la peur, il a aussi été rédacteur en chef du Vinvinteur sur France 5, contribué aux émissions de VICE & à la web-série #What The Fact pour France 4, et animé le #14h42 d’Arrêts sur Images & NextInpact.
