Les entreprises sont particulièrement préoccupées par la possibilité qu’un de leurs cadres se fasse piéger par une cyberattaque de type deepfake, ou qu’un employé clé puisse être dupé.

Exemple récent avec un employé consciencieux d’une entreprise qui, après avoir reçu un ordre de virement d’un service financier à Hong Kong, a sollicité une réunion Zoom. Suite à cet échange, croyant s’entretenir avec le directeur financier ainsi que plusieurs autres collègues présents lors de l’appel, il a procédé au virement de 25 millions de dollars sans se douter que tous les interlocuteurs étaient en réalité des deepfakes. Ce cas a révélé une réalité alarmante : la technologie a évolué et risque de devenir un nouveau vecteur de menace pour les scams qui ciblent les entreprises.

Les employés doivent rester sur leurs gardes, utiliser tous les conseils à leur disposition et suivre l’évolution de la technologie de l’intelligence artificielle (IA) pour savoir comment faire face à la menace d’un deepfake. Voici trois conseils pour repérer un deepfake.

Premièrement, une vérification rapide consiste à évaluer la « vivacité » de l’interlocuteur de l’autre côté de la vidéo et de lui demander de tourner la tête d’un côté puis de l’autre.

Cette méthode s’avère efficace actuellement car les outils d’intelligence artificielle générateurs de deepfakes ne produisent pas encore d’images en trois dimensions ou à 360 degrés, car ils peuvent uniquement générer des images planes de face. Le rendu et les images latérales de la tête et du visage ne s’affichent pas correctement.

Si les employés ont des doutes, ils doivent inviter la personne à tourner la tête à gauche ou à droite. Si le visage disparaît, ils doivent immédiatement mettre fin à la conversation. Dans le même ordre d’idées, d’autres comportements humains naturels couramment observés lors d’une visioconférence (quelqu’un qui se lève et se gratte ou se touche la tête, par exemple) ne s’afficheront pas non plus correctement si c’est un deepfake.

Lorsque vous recevez un lien pour une visioconférence ou que vous rejoignez un appel en groupe, il est recommandé de vérifier que tous les participants utilisent bien une version autorisée et sous licence du logiciel de l’entreprise.

Souvent, cela saute aux yeux, car les entreprises utilisent une « vanity URL », companyname.videoplatform.com, pour indiquer d’où l’appel a lieu. Pour instaurer un meilleur climat de confiance, vous pouvez communiquer à l’avance, par un autre moyen tel que le chat ou l’e-mail, la manière dont vous et les autres participants vous connecterez à la réunion.

Le fait de savoir à l’avance que vous recevrez une invitation à une visioconférence envoyée par une entreprise donnée est un élément supplémentaire à prendre en compte pour décider d’accepter ou non la réunion.

En revanche, si elle est organisée depuis un compte personnel ou si quelqu’un se joint à la réunion inopinément et sans explication en se connectant depuis son compte personnel, il faudra être vigilant. Cela pourrait nécessiter au moins une ou deux questions ou quelques vérifications supplémentaires.

Troisième stratégie efficace pour repérer l’utilisation d’un deepfake lors d’une visioconférence : des mots de code approuvés en amont et vérifiés en off avant certaines activités, comme un transfert d’argent.

Dans le cas de la personne à Hong Kong, la solution aurait été de contacter le directeur financier auquel elle pensait s’adresser sur un canal complètement différent et de lui demander le mot de code. La réponse qu’il aurait reçue lui aurait rapidement permis de savoir si le « directeur financier » et le message qu’il lui avait adressé étaient authentiques ou non.

Ces méthodes fonctionnent aujourd’hui, mais ce ne sera peut-être plus le cas demain. Vu la rapidité avec laquelle l’IA générative se développe, les outils vont se perfectionner. Ils seront capables de créer des simulations extrêmement réalistes des participants et de leurs mouvements. À terme, il sera donc plus difficile de déterminer l’authenticité d’une personne.

Mais les employés pourraient repérer d’autres signes qui éveilleront leurs soupçons pendant une visioconférence. Pour les aider dans leurs efforts, les entreprises peuvent adopter des solutions de cybersécurité telles que de puissantes protections des e-mails qui permettent de détecter et d’empêcher de nombreuses invitations malveillantes d’arriver dans les boîtes de réception. Au vu de la gravité de la menace, il est important de mettre en place des mesures de protection efficaces.