Les Deepfakes deviennent de plus en plus réalistes : voici ce que cela signifie pour la sécurité en ligne

21 septembre 2023  |  W. Perry Wortman

L'essor de l'IA générative s'accompagne d'une série de préoccupations en matière de sécurité et de craintes liées au déplacement des emplois. 

Ces préoccupations se chevauchent dans un secteur spécifique : les « médias synthétiques ». Cela comprend les deepfakes (vidéos hyper-réalistes générées par l'IA) et le clonage vocal ou les deepfakes audio (synthèse vocale générée par l'IA destinée à reproduire la voix de personnes spécifiques). 

Les promoteurs des médias synthétiques soulignent leurs avantages : réduction des coûts de production des films et de la publicité et accessibilité accrue grâce à des outils de création moins coûteux et plus faciles à utiliser. Pourtant, les aspects négatifs sont bien plus préoccupants.

Les Deepfakes menacent la sécurité biométrique, y compris la technologie de reconnaissance faciale et vocale, qui pourrait entraîner la fraude et avoir un impact à la fois sur la sécurité individuelle et nationale. Les deepfakes sophistiqués sont plus difficiles à détecter comme étant faux, ce qui favorise la mésinformation et la désinformation dans les médias. 

La réglementation gouvernementale de l'IA générative et des médias synthétiques, ainsi que des alternatives à la sécurité biométrique, peuvent contribuer à lutter contre ces vulnérabilités. 

Voici comment la technologie du deepfake progresse, ce qu'en disent les législateurs et comment prendre en main votre propre sécurité. 

Le terme « deepfake » est un amalgame de la « technologie deep learning » et des vidéos « fake » ou synthétiques. Cette technologie est beaucoup plus avancée que les outils comme Photoshop et les éditeurs vidéo, et rend la création de vidéos beaucoup, beaucoup plus rapide.

Tout comme les grands modèles linguistiques tels que ChatGPT sont formés sur des sources accessibles au public sur Internet, l'IA est entraînée pour les deepfakes sur des sources vidéo afin de reproduire les mouvements des personnes dans des vidéos réelles. Les créateurs peuvent inviter l'outil d'IA à substituer un visage pour un autre, par exemple, et le logiciel modifiera la vidéo ou l'image jusqu'à ce qu'elle semble réaliste. Le clonage vocal ou les deepfakes audio utilisent la même technologie, mais au lieu de dupliquer les mouvements, ils sont formés sur les sources audio pour imiter des éléments tels que le ton et l'intonation d'un orateur. 

Non seulement les résultats sont très avancés, mais dans certains cas, ils peuvent être générés en quelques minutes. 

De nombreux utilisateurs ont créé des deepfakes inoffensifs juste pour le plaisir (voir : Jim Carrey dans The Shining). Les marques expérimentent également les vidéos générées par l'IA, et Gartner prévoit que d'ici 2025, 30 % des messages marketing sortants pour les grandes entreprises s'appuieront sur des vidéos synthétiques.

Mais les deepfakes néfastes sont très répandus. En 2017, un Redditor a sensibilisé le public à la technologie du deepfake lorsqu'il a utilisé un logiciel basé sur l'IA pour créer de fausses vidéos pornographiques qui semblaient provenir de célébrités. Selon un article publié par The Guardian en 2020, la firme d'IA Deeptrace, a découvert que 96 % des vidéos deepfake en ligne en 2019 étaient pornographiques.

Les deepfakes sont également utilisés pour les subversions politiques, comme cette fausse vidéo du président Biden, dans laquelle il semble annoncer un projet de déploiement de soldats américains en Ukraine. Si la mésinformation a longtemps été propagée par le biais d'articles et de publications sur les réseaux sociaux, les deepfakes sont un autre moyen plus probant de diffuser de fausses informations.

Des criminels ont déjà utilisé des médias synthétiques pour usurper l'identité d'autres personnes, ce qui a donné lieu à des fraudes importantes. Les entreprises sont la cible d'escrocs qui utilisent une technologie basée sur l'IA pour se faire passer pour un membre de l'entreprise et demander des transferts de grandes sommes. 

En 2019, un escroc a persuadé un PDG de transférer 243 000 euros en utilisant une technologie basée sur l'IA ; en 2020, une entreprise de Hong Kong a été dupée par clonage vocal pour autoriser 35 millions d'euros en transferts frauduleux. Les fraudes liées au Deepfake ne cessent de se multiplier. Elles ont doublé entre 2022 et 2023, et représentaient 2,6 % des fraudes au cours du premier trimestre 2023 rien qu'aux États-Unis.

Ces attaques générées par l'IA ciblent également les particuliers, les escroqueries à l'imposteur totalisant 2,6 milliards d'euros en pertes chez les clients en 2022, selon la FTC. 

Les tactiques de clonage vocal peuvent être utilisées pour contourner les mesures de sécurité telles que la vérification vocale, utilisée pour les comptes bancaires et autres comptes sensibles. En février 2023, un journaliste de Motherboard a expliqué comment il avait pu cloner sa propre voix grâce à la technologie basée sur l'IA pour accéder à son compte bancaire. 

La technologie de reconnaissance faciale est également vulnérable aux attaques deepfake. The Verge a signalé que les « tests de vitalité », une forme de reconnaissance faciale qui compare le visage d'un utilisateur dans l'appareil photo par rapport à sa photo d'identité, peuvent être facilement reproduits par les deepfakes. 

The Verge note que les mesures de sécurité comme Face ID d'Apple, qui vérifie les identités en fonction de la forme du visage d'un utilisateur, ne peuvent pas être contournées par les deepfakes. Ce type de sécurité biométrique vérifie le visage ou l'empreinte digitale d'un utilisateur par rapport à ce qui est stocké dans l'appareil de l'utilisateur, plutôt qu'une base de données de sécurité. De plus, ces mesures nécessitent que l'utilisateur soit physiquement présent et ne peuvent pas être déverrouillées par une photo ou une vidéo. 

En plus d'utiliser des logiciels (comme le FakeCatcher d'Intel) pour détecter les escroqueries deepfake, les entreprises peuvent mettre en place de nouvelles procédures pour protéger leurs actifs. Par exemple, créer une politique interdisant de demander ou d'autoriser des transferts par téléphone ou par appel vidéo peut aider à prévenir les escroqueries deepfake. 

Pour les particuliers, The Atlantic suggère d'établir des codes pour les amis et la famille dans l'éventualité où vous recevriez un appel d'un escroc se faisant passer pour un proche demandant de l'argent.  

À la différence des autorisations de reconnaissance faciale ou vocale, les mots de passe forts et l'authentification multifacteur (MFA) sont des moyens sécurisés de protéger vos comptes sensibles. 

Les mots de passe forts restent la meilleure défense face aux attaques de cybersécurité, et il existe de nombreuses mesures que les particuliers et les entreprises peuvent prendre pour s'assurer que leurs mots de passe sont uniques et difficiles à déchiffrer. 

La solution de gestion des mots de passe de Dashlane propose un générateur de mots de passe qui utilise un algorithme appelé ZXCVBN pour évaluer et améliorer les mots de passe des utilisateurs, tout en vous permettant également d'ajuster les mots de passe en fonction des exigences individuelles du compte (c'est-à-dire la longueur et l'utilisation des caractères spéciaux). 

Les entreprises peuvent mettre en œuvre l'authentification unique (SSO). Avec la SSO, les employés ont moins de mots de passe à retenir et les administrateurs informatiques ont plus de contrôle sur la sécurité de l'entreprise et peuvent repérer les connexions superflues. 

Une autre solution serait d'opter pour des connexions sans mot de passe, un projet sur lequel Dashlane travaille actuellement. Cette méthode utilise en option la reconnaissance faciale (un type de reconnaissance qui ne peut pas être imité) ou un code PIN unique, stocké localement sur l'appareil de l'utilisateur, plutôt qu'un mot de passe Maître. Elle résiste ainsi aux attaques de phishing, car elle nécessite à la fois l'appareil et l'utilisateur lui-même pour accéder au compte. 

Les préoccupations relatives à l'IA générative et au marché du travail, ainsi qu'à la sécurité, ont été exprimées au Congrès. Lors d'une audition au Sénat en mai, Sam Altman, le directeur général d'OpenAI, a exhorté les législateurs américains à créer une réglementation autour de l'IA générative pour atténuer les dommages potentiels. 

Bien que l'on ne sache pas exactement comment les législateurs américains vont procéder, certains pays ont déjà adopté des mesures pour faire face aux risques posés par l'IA. Le Royaume-Uni finance la recherche pour la détection du deepfake et envisage de mettre en place une loi prescrivant l'étiquetage des photos et des vidéos générées par l'IA, tandis que des nations comme la Chine et la Corée du Sud ont déjà mis en place des lois complètes qui imposent la divulgation des deepfakes, ainsi que le consentement de l'utilisateur.   

Pour l'heure, la prolifération et le perfectionnement des deepfakes obligent les particuliers et les entreprises à faire preuve de discernement pour prévenir les fraudes et les attaques basées sur l'identité. Vous pouvez même tester votre propre capacité à détecter un deepfake via le site Web Detect Fakes, créé dans le cadre d'un projet de recherche MIT pour rester au fait des escroqueries potentielles du phishing et des ingénieries sociales. 

Utiliser des alternatives à la vérification vocale et faciale, comme les connexions sans mot de passe et les mots de passe, peut aider à réduire votre risque de subir des cyberattaques. 

W. Perry Wortman

En savoir plus