L’affaire du faux Brad Pitt a fait sourire, mais elle n’incarne que la partie émergée d’un iceberg terrifiant, celui de l’utilisation de l’intelligence artificielle pour des arnaques toujours plus sophistiquées, réalistes et coûteuses. Voix clonées, visages usurpés, vidéos truquées et des millions d’euros envolés, bienvenue dans l’ère où vos yeux et vos oreilles ne suffisent plus.
Ce n’est pas la première fois que Brad Pitt joue les arnaqueurs, mais, cette fois, ce n’était pas du cinéma et cette fraude par deepfake a coûté environ 830.000 euros à la victime. En Belgique, ces trucages dopés à l’IA ont explosé de… 2.950% entre 2022 et 2023, plaçant le pays dans le top 4 mondial (contre plus 781% en Europe). Au niveau mondial, le coût de la cybercriminalité devrait atteindre la somme vertigineuse de 15,630 milliards de dollars d’ici 2029, soit une augmentation de 6.400 milliards par rapport à 2024. Le deepfake n’est plus une curiosité technologique, c’est devenu une arme d’usurpation massive à portée des organisations criminelles, même sans être des génies de l’informatique.
Une fausse visio qui coûte 24 millions de dollars
De Florent Pagny à Taylor Swift, en passant par Donald Trump, Tom Cruise ou la doudoune du pape François, les deepfakes ont quitté les films de science-fiction. Le stratagème est souvent le même: utiliser des outils d’IA générative pour manipuler des contenus audio, vidéos ou images, afin de tromper la cible et extorquer d’importantes sommes d’argent. En février 2024, une affaire avait fait grand bruit… À Hong Kong, un employé d’une multinationale britannique participe à une visioconférence avec son directeur financier et des collègues, tous basés à Londres. Tout semble normal: les visages, les voix, les intonations, le discours. Pourtant, comme Fantomas grimé en Louis de Funès, tous les participants sont des deepfakes! Grugé, l’employé transfère 24 millions d’euros à la demande de son faux directeur financier. Cette attaque spectaculaire illustre le niveau de sophistication atteint par les fraudeurs, capables de créer des avatars en temps réel, de cloner la voix, mimer les gestuelles, etc.
Des coûts financiers et des coûts cachés
L’industrialisation des deepfakes est en marche, notamment sur le dark web, créant une confusion croissante entre réalité et illusion. Les PME sont particulièrement vulnérables, car elles disposent de moins de moyens pour lutter contre la fraude numérique. Au-delà du choc initial et de la perte financière directe, une attaque par deepfake génère des dégâts collatéraux considérables. Selon une étude internationale, le coût financier moyen avoisine les 420.000 euros, mais l’addition ne s’arrête pas là: impact néfaste sur la réputation de l’entreprise, détérioration de la confiance des clients, des partenaires et des investisseurs, déstabilisation des équipes internes, etc. Sans oublier les coûts de remédiation: réparations, enquêtes, renforcement de la sécurité, accompagnement juridique. Devant ce fléau, l’urgence n’est plus à la prise de conscience, mais bien à la vigilance collective avancée, à la prévention active et aux mesures concrètes.
La détection, mission (presque) impossible
Partenaire, collègue, client ou fournisseur, comment distinguer un vrai visage d’un deepfake? Comment distinguer une voix clonée d’une voix réelle? Soyons clairs, c’est très compliqué, tant les expressions faciales, le rythme d’élocution ou encore les tics de langage sont reproduits avec un réalisme bluffant. Alors, comment faire? Face aux deepfakes boostés à l’IA, votre cybersécurité passe par trois piliers complémentaires.
- Focus sur la formation et la sensibilisation
Vos collaborateurs constituent la première ligne de défense, mais pour cela, ils doivent pouvoir repérer certains signaux faibles (mouvements de lèvres décalés, clignement des yeux anormal, qualité audio ou vidéo inégale), mais aussi être alertés par des demandes urgentes et inhabituelles. Sessions de formation régulières, simulations d’attaques pour sensibiliser, etc. - Renforcer les protocoles de sécurité
Au sein de votre PME, il devient impératif d’établir de bonnes pratiques et des règles strictes pour toutes les opérations sensibles, en s’appuyant sur la double authentification systématique, une approche Zero Trust, la vérification par canaux différents (téléphone et email) pour tout transfert d’argent ou transmission de données confidentielles ou encore la validation en plusieurs étapes pour les demandes inhabituelles, etc. - Rester attentif aux outils techniques
Les outils de détection de deepfakes permettent d’analyser les contenus pour tenter de détecter des signes de manipulation par IA, mais force est de constater que les cybercriminels ont toujours une longueur d’avance. Comme vos autres solutions de cybersécurité, ces logiciels, qui peuvent être intégrés à votre infrastructure, doivent être mis régulièrement à jour.
