Cybersécurité: comment les deepfakes menacent les entreprises

De plus en plus réalistes, les "deepfakes" reproduisent avec une fidélité troublante l’apparence et la voix d’une personne à partir d’images ou d’enregistrements vidéo ou audio. Effet collatéral du déploiement de l’intelligence artificielle à grande échelle, la création de ces contenus truqués devient un instrument majeur de la fraude en ligne. Pour les entreprises, il s’agit de prendre conscience au plus vite des menaces que représentent ces contenus truqués et d’établir des mesures afin de s’en protéger, par exemple au travers de protocoles internes ou de logiciels de détection.

"Aujourd’hui, la technologie qui permet de créer des deepfakes est à la portée de tous", résume Petar Tsankov, ancien chercheur à l’EPFZ et fondateur de la spin-off LatticeFlow, active dans la détection des erreurs de modèle de machine learning. Pour le spécialiste, les faux appels téléphoniques constituent un risque majeur pour les entreprises. "Les deepfakes audio sont faciles à concevoir pour les fraudeurs. Ils sont aussi plus difficiles à détecter pour le cerveau humain. Dans certains cas, les malfrats vont jusqu’à ajouter un bruit de fond pour rendre l’imposture plus réaliste."

Former le personnel

Pour l’entrepreneur installé à Zurich, la fiabilité des logiciels de détection progresse au même rythme que la menace. "Certains fraudeurs parviennent néanmoins à passer entre les mailles du filet. À l’instar de ce que l’on préconise en matière de cybersécurité standard, la sensibilisation du personnel reste la meilleure manière pour les entreprises de prévenir d’éventuelles arnaques ou cyberattaques."

Les entreprises doivent aider leurs employés à prendre conscience de la nature trompeuse et particulièrement redoutable des deepfakes, encore mal connues. "La population a déjà appris à se méfier des e-mails suspects. Désormais, il faut comprendre que voir quelqu’un sur un écran ou l’entendre au téléphone ne constitue plus la preuve que l’on communique effectivement avec cette personne", explique Touradj Ebrahimi, professeur à l’EPFL et spécialiste du traitement des signaux numériques.

Revoir la gouvernance

Pour y parvenir, les entreprises doivent adapter leur gouvernance à ces nouvelles menaces. Touradj Ebrahimirecommande d’introduire des mesures de sécurité de base dans chaque entreprise. L’expert plaide pour la mise en place de protocoles clairs qui permettent de se protéger des conséquences les plus graves en cas d’attaques par deepfakes.

"Toutes les opérations sensibles, du transfert d’argent à la transmission de données confidentielles doivent être soumises à une vérification approfondie. Il s’agit de s’assurer que ce type d’actions fasse l’objet d’au moins deux confirmations par deux canaux de communication différents, par exemple par téléphone et par e-mail. Une vérification réalisée par un seul canal ne suffit plus." En l’absence de logiciels de détection fiables à 100%, ces procédures élémentaires constituent la façon la plus efficace de se protéger.

Identifier les signatures électroniques

Afin de renforcer le filet de sécurité, les entreprises devraient aussi recourir à des logiciels qui permettent de déceler les tentatives d’attaques par deepfakes. En matière de détection, il existe deux approches. La première, proactive, repose sur les signatures numériques laissées volontairement par les logiciels de création de contenus. Google Deep Mindplace par exemple une signature électronique en filigrane sur les contenus qu’elle génère. Cette trace est détectable par le grand public à l’aide de l’outil Google SynthID.

Constituée de grandes entreprises informatiques comme Adobe, Arm, Intel, Microsoft et Truepic, la Coalition for Content Provenance and Authenticity (C2PA) a élaboré une norme technique qui permet de retracer l'origine d’un contenu numérique – photo, vidéo ou audio – via un historique, accessible à tous sous forme de métadonnées. La méthode permet aux créateurs de labéliser leur contenu et aux utilisateurs d’en vérifier l’origine.

Renforcer ses capacités de détection numériques

L’approche réactive consiste quant à elle à se protéger des contenus multimédias fictifs non signés, plus fréquemment utilisés lors des fraudes, grâce à des logiciels. Des programmes ont été mis au point pour repérer des caractéristiques typiques des fichiers truqués. "Ces solutions peuvent aujourd’hui s’intégrer au bouquet de prestations des entreprises de cybersécurité. Certaines ne les proposent pas encore. Il revient aux entreprises clientes de créer la demande afin que l’offre apparaisse", dit Touradj Ebrahimi.

Une fois ces logiciels installés, les mises à jour sont indispensables pour garantir un haut niveau de sécurité. "Le niveau de sophistication des deepfakes évolue très vite et le nombre d’attaques va se multiplier de façon exponentielle dans un avenir très proche. Leur nature aussi évoluera", estime l’expert.

Les deepfakes représentent un danger réel et croissant pour les entreprises, qui devraient envisager dès à présent d’investir dans des technologies de détection, des formations ou des protocoles de sécurité clairs afin de s’en protéger. Loin d’être une option, la cybersécurité est en effet devenue une véritable nécessité, que seule une approche globale peut garantir.