Deepfakes : l’authentification biométrique peut-elle vaincre le nouveau cauchemar de la cybersécurité ? | Épices
Vous souvenez-vous qu’en avril, des fraudeurs se sont fait passer pour un cabinet d’avocats en utilisant des images générées par l’IA pour tromper les consommateurs et les entreprises ? Un incident similaire s’est produit la semaine dernière lorsque des attaquants ont créé un hologramme deepfake d’un haut représentant de l’entreprise de trading de crypto-monnaie Binance. Patrick Hillmann, le directeur de la communication de Binance, a révélé qu’un groupe sophistiqué de pirates informatiques avait utilisé des séquences vidéo de ses interviews précédentes et de ses apparitions dans les médias et les avait modifiées numériquement pour créer son hologramme d’IA. En savoir plus sur l’incident dans le blog Hillmans ici.
Ces fraudes profondes sont appelées à devenir une immense menace pour les organisations et les individus du monde entier. Même dans les entretiens d’embauche en ligne en direct, les escrocs commencent à usurper l’identité en utilisant la technologie vidéo deepfake. Mais les entreprises sont-elles équipées pour faire face à la menace croissante ?
Dans cet article, nous vous proposons des analyses approfondies d’experts en sécurité sur la menace posée par les deepfakes, les meilleures approches pour repérer les lacunes et comment la technologie biométrique pourrait émerger comme le chevalier en armure brillante pour faire face à de telles attaques d’identité.
En savoir plus : Qu’est-ce que le deepfake ? Signification, types de fraudes, exemples et meilleures pratiques de prévention pour 2022
Signification des deepfakes, meilleures pratiques de prévention et rôle de la biométrie comme mesure de sécurité
Comment fonctionnent les deepfakes ?
Dans un monde de travail de plus en plus éloigné et hybride, les deepfakes offrent aux criminels un moyen sophistiqué de créer de fausses identités et de postuler à des emplois à distance, souvent renforcés par d’autres informations personnelles identifiables (PII) volées, commente Ajay Amlani, SVP, responsable Amériques, iProov .
Ce n’est pas seulement un salaire que les criminels recherchent lorsqu’ils postulent frauduleusement à des emplois. Si un criminel réussit à se faire embaucher à un poste qui a accès à des données personnelles ou autres, il peut voler ces données ou les conserver contre une rançon pour un gain financier.
– Ajay Amlani, SVP, responsable Amériques, iProov, iProov
Le vice-président de la stratégie et du conseil en matière de renseignement de ZeroFox, Brian Kime, explique pourquoi les cybercriminels utilisent les deepfakes pour postuler à des emplois. L’utilisation de la technologie deepfake pour obtenir un emploi avec une cible est probablement un signe que l’entreprise ciblée a un très bon programme de cybersécurité, et que d’autres tentatives pour les violer ont échoué. Les criminels veulent tellement les données de l’entreprise qu’ils se tournent vers la technologie deepfake pour essayer de se faire embaucher par la cible, ajoute-t-il. Mais les criminels ne sont probablement pas de langue maternelle anglaise.
Par conséquent, ils se tournent vers la technologie pour les faire sonner et ressembler à un local.
Mike Loukides, vice-président de la stratégie de contenu pour OReilly Media, déclare : J’ai été intrigué par cela au début. Comment un deepfake vous aide-t-il à postuler à un emploi ? Quel est l’avantage ? Vous devez toujours passer un entretien, et même si vous avez un faux assez bon pour générer des mouvements de la tête et de la bouche en temps réel, vous devez toujours répondre aux questions.
C’est vraiment la clé. La personne qui postule pour le poste avec le deepfake doit encore répondre aux questions que vous auriez normalement posées lors d’un entretien. Il leur reste donc à démontrer leur compétence technique. Il ne s’agit pas de décrocher des emplois pour lesquels vous n’êtes pas qualifié.
Il s’agit donc de décrocher des emplois avec une fausse carte d’identité : un emploi qui ne peut probablement pas être retracé jusqu’à vous, dit Loukides. Il décrit le modus operandi des cybercriminels et comment ils abusent de la technologie pour obtenir un emploi et réaliser des arrière-pensées. Maintenant, c’est clair ce qui se passe. Une fois embauché, vous travaillez à distance pour une organisation et avez accès à des ressources telles que le code, les données, les finances, etc. Vous êtes dans une excellente position pour voler ces données : informations sur les clients, propriété intellectuelle, plans et stratégies, et bien plus encore.
Si vous êtes dans la bonne entreprise, de nombreuses organisations criminelles seront prêtes à payer pour ces données. Et si vous avez soigneusement créé votre fausse carte d’identité, il sera très difficile pour l’employeur de retracer tout vol d’informations jusqu’à vous.
– Mike Loukides, vice-président de la stratégie de contenu pour OReilly Media
Les interviews vidéo sont-elles un mauvais moyen de repérer les deepfakes ?
Il est inquiétant que les consommateurs pensent qu’ils pourraient facilement repérer un deepfake, dit Amlani. Environ 57 % étaient convaincus de pouvoir faire la différence, selon notre récente enquête. Mais l’œil humain est facilement usurpé, d’autant plus que les deepfakes deviennent plus convaincants, nous sommes donc à la fois mal équipés pour détecter les deepfakes et trop sûrs d’eux pour les attendre.
En 2020, l’Institut de recherche de l’Idiap a testé des sujets avec une série de deepfakes simples à super sophistiqués. L’expérience a révélé que seulement 24 % des sujets ont détecté des vidéos deepfake, tandis que seulement 71 % des sujets ont correctement identifié les deepfakes dans la catégorie facile. Et une mise en garde, c’est à ce moment-là que les sujets s’attendaient à voir des deepfakes, ajoute-t-il.
Vos chances seraient bien moindres si vous étiez pris au dépourvu lors d’une procédure de recrutement potentiellement tendue, explique Amlani.
Roger Grimes, un évangéliste de la défense axée sur les données au sein de la société de cybersécurité KnowBe4, estime que les entretiens vidéo sont une méthode moins efficace pour détecter les deepfakes. Cela est dû aux nombreuses caractéristiques facilement reconnaissables des deepfakes d’aujourd’hui. Par exemple, une vidéo saccadée, un discours inégal, etc. pourraient être interprétés à tort comme une erreur vidéo ou un problème de bande passante. Le candidat deepfake peut mentir et dire qu’il a des problèmes de bande passante, ce qui pourrait expliquer les erreurs d’artefacts et même la lenteur ou la non-réponse à des questions spécifiques.
Loukides pense que les gens sont prédisposés à faire confiance à ce qu’ils voient et pourraient ne pas être aussi alertes qu’ils le devraient lorsqu’ils mènent une interview. Mais d’après ce que j’ai lu et vu concernant les interviews deepfake, les récits sont généralement assez faciles à voir, comme une lèvre et une voix désynchronisées. Une voix qui ne sonne pas bien parce qu’elle a été altérée. Heureusement, cela a toujours été le problème des deepfakes. Ils ont l’air impressionnant, mais si vous êtes critique, il est généralement facile de trouver quelque chose qui ne va pas.
Cela dit, la technologie deepfake va évidemment s’améliorer, tout comme la technologie de détection des contrefaçons, ajoute-t-il.
Je recommanderais fortement d’aller au-delà de la vidéo elle-même. Quelqu’un sérieusement impliqué dans l’espionnage numérique m’a dit un jour qu’une personne qui n’a pas d’ombre numérique n’existe probablement pas.
Des cybercriminels compétents vont créer des ombres numériques pour leurs fausses identités. Mais vous devez leur compliquer la tâche : vérifier les références, vérifier les employeurs précédents, vérifier les projets sur GitHub, vérifier les réseaux sociaux, etc.
– Mike Loukides, vice-président de la stratégie de contenu pour OReilly Media
Si l’un d’entre eux est vide ou s’il ne s’accorde pas, vous avez peut-être affaire à une personne qui n’existe pas.
En savoir plus : Applications d’emploi à distance utilisant Deepfakes à la hausse : FBI
La biométrie est-elle la mesure de sécurité anti-deepfake la plus efficace actuellement disponible ?
Les experts s’accordent à dire que le deepfake en est encore à ses balbutiements, mais avec le temps, même les attaquants deviendront plus intelligents à mesure que la technologie progressera. La technologie biométrique faciale avec vivacité peut être utilisée pour vérifier que quelqu’un est une personne réelle et non une attaque de présentation, c’est-à-dire, dire quand une vidéo ou une photo est présentée. Mais comme nous l’avons vu, la technologie est maintenant à un point où les attaquants peuvent injecter le deepfake directement dans le flux vidéo, en contournant certains contrôles de vivacité. Amlani pense que pour atténuer cela, des solutions capables de vérifier la partie la plus délicate de la présence d’un utilisateur en temps réel sont essentielles.
Kime déclare que la biométrie, en particulier la technologie de reconnaissance faciale, peut aider à résoudre le problème des faux candidats. Cependant, peu d’appareils sont livrés avec la technologie de reconnaissance faciale. Exiger qu’un candidat ait sous la main une technologie spécifique juste pour passer un entretien n’est pas faisable aujourd’hui. La collecte d’informations biométriques auprès de candidats à un emploi effraierait également probablement certains candidats légitimes et augmenterait également les exigences de conformité pour les entreprises.
Pour les employés distants, la biométrie n’est pas très bonne car ses attributs peuvent être volés et plus facilement réutilisés par des attaquants et des fraudeurs dans des situations de travail à distance. Ce risque peut être réduit en exigeant une interaction humaine en personne pour l’enregistrement des traits biométriques et la vérification de l’identité par une organisation de confiance ayant de l’expérience dans ce domaine.
– Roger Grimes, évangéliste de la défense axée sur les données, KnowBe4
Loukides explique que lorsqu’une personne postule à un emploi, l’entreprise ne dispose d’aucun identifiant d’authentification, encore moins d’identifiants biométriques. Et je suppose également qu’une fois que vous embauchez quelqu’un, il peut créer ou obtenir de fausses informations d’identification comme des empreintes digitales, des scans rétiniens, etc. Les données biométriques, tout comme les mots de passe, proviennent en fin de compte de la personne qui s’authentifie. Je ne pense pas que la biométrie en tant que telle joue un grand rôle ici. Une fois que vous avez laissé quelqu’un entrer par la porte d’entrée, il est à l’intérieur.
Meilleures pratiques pour se protéger contre les deepfakes sophistiqués générés par l’IA
La menace deepfake est bien réelle en effet, en juin 2022, le FBI a même émis un Message d’intéret public pour alerter les organisations de la menace des employés deepfakes. Les organisations ne doivent pas être complaisantes. L’intégration réussie d’un criminel se faisant passer pour un employé pourrait provoquer des cyberattaques de grande envergure et dommageables, des vols de données et des atteintes à la réputation beaucoup plus difficiles à récupérer. Les experts suggèrent les pratiques suivantes pour se protéger des attaques deepfake :
- Paul Bischoff, défenseur de la confidentialité chez Comparitech, suggère que les organisations peuvent mettre en œuvre la détection de la vivacité pour identifier les deepfakes. Cette technologie compatible avec la caméra recherche les signes d’un être humain réel ou de son absence, tels que les mouvements dans les yeux et la texture de la peau. L’utilisateur peut être invité à exécuter des instructions simples afin que la caméra puisse obtenir une représentation 3D de son visage. C’est un peu comme un CAPTCHA mais pour les deepfakes au lieu des bots.
- Amlani pense que pour lutter contre les deepfakes, les organisations doivent vérifier si la personne interrogée est la bonne personne, une personne réelle et s’authentifiant en ce moment. La technologie biométrique faciale, utilisée pour vérifier les candidats par rapport à un document d’identité lors de la candidature et avant un entretien en direct, est le moyen le plus efficace pour une organisation de s’assurer que le candidat est authentique et présent en temps réel.
- Grimes pense que l’éducation est la clé. Le simple fait d’être conscient qu’ils se produisent est l’étape 1 et l’un des meilleurs moyens de les prévenir. Deuxièmement, l’intervieweur peut essayer de poser des questions auxquelles le candidat deepfake ne peut pas répondre facilement ou facilement. Troisièmement, tous les employés potentiels doivent faire l’objet d’une enquête approfondie sur leurs antécédents par une organisation d’enquête de confiance ayant de l’expérience dans les enquêtes sur les antécédents des employés là où se trouve l’employé supposé. Cette dernière défense est un excellent moyen de ne pas se laisser facilement berner. Essayez toujours d’avoir quelqu’un avec une connaissance approfondie et une familiarité avec la maison et/ou le pays actuel des employés présumés, car ils seront beaucoup plus conscients des sous-titres autrement potentiels qu’un locuteur non natif pourrait manquer.
- Kime pense que les professionnels des ressources humaines et les entreprises technologiques doivent commencer à réfléchir à la détection des deepfakes dans les prochaines années. Aujourd’hui, les équipes RH doivent travailler en étroite collaboration avec les responsables du recrutement pour préparer les enquêteurs à détecter les candidats non authentiques. Par exemple, le candidat prétend être dans votre fuseau horaire, mais il y a un manque notable de lumière du jour à sa fenêtre.
Votre entreprise est-elle équipée pour détecter les manipulations deepfake ? Faites-le nous savoir sur LinkedIn, Facebook, et Twitter. Nous aimerions avoir de vos nouvelles!
EN SAVOIR PLUS SUR LES DEEPFAKES