Les fausses vidéos qui mettent dans la bouche de personnalités des propos qu’elles n’ont jamais tenus prêtent généralement à rire. Surtout sur les réseaux sociaux. Une belle illustration est celle de la vidéo de l’ancien président Barack Obama. Mais le deepfake amuse aussi les escrocs informatiques. Une société allemande l’a appris à ces dépens. La fausse voix synthétisée du CEO d’une entreprise a permis à des arnaqueurs futés de détourner 220.000 euros. Et cette technique semble effrayer les géants du web.
Deepfake -traduit en français par hypertrucage- est un mot-valise créé à partir des mots anglais ‘deep learning’et ‘fake’. Il a fait son entrée dans le vocabulaire geek à la fin 2017 lorsque des célébrités semblaient apparaître dans des clips pornographiques. Le vrai danger des deepfakes est moins la manipulation des images qui a toujours existé que la possibilité de rendre cette manipulation accessible au plus grand nombre. Et c’est à cela que l’on assiste aujourd’hui.
C’est le Wall Street Journal qui a révélé cette " fraude au président " réalisée en Europe et particulièrement bien préparée. Pour convaincre l’employé d’effectuer un versement, les pirates ont utilisé une version synthétisée de la voix du patron de l’entreprise. Une bonne imitation semble-t-il, puisque le virement a été illico dirigé vers un compte externe à l’entreprise. Une seconde tentative d’extorsion auprès du même groupe n’a toutefois pas été couronnée de succès. Chat échaudé craint l’eau froide.
Renseignements pris, auprès de la cyber crime unit belge et de l’éditeur de logiciels de sécurité Eset, il n’y aurait pas eu, à ce jour, de cas semblable en Belgique, mais une tentative aurait été signalée voici un an en France. Dans un reportage de la BBC, Symantec, une autre entreprise de sécurité dit pourtant avoir traqué au moins trois attaques fomentées contre des entreprises privées utilisant l’identité du patron pour obtenir des transferts d’argent. Et si ce n’était qu’un début ?
La version technologique d’une fraude ancestrale
Pour Jean-Michel Merliot, responsable informatique chez Eset, cette nouvelle escroquerie, basée sur " la fraude au président " est l’une des premières tentatives qui atteint son but. Selon lui, ce n’est finalement que la version technologique d’une fraude ancestrale basée sur l’imitation vocale jusqu’alors réservée aux spécialistes du genre. "Techniquement c’est assez simple à faire. Générer une voix qui ressemble à celle d’une personne est facile, mais dans certains cas la qualité laisse à désirer."
De l’analyse de programme à l’analyse de données
Selon lui, le Deepfake s’inscrit dans la même problématique que la retouche d’image. " Il existe des algorithmes statistiques qui permettent de voir si une photo a été modifiée. On distingue que la structure d’une couleur est trop régulière pour être vraie. " A l’avenir, il en ira de même pour la vidéo et le son. Mais, explique l’expert en sécurité, il s’agit non plus de l’analyse de programmes, qui est le fonds de commerce des développeurs d’antivirus, mais de l’analyse de donnée. " Là, on va devoir s’y mettre ", résume Jean-Michel Merliot pour qui ce nouveau type de piratage permettrait, par exemple, de contourner les procédures de protection d’accès basées sur le visage ou la voix. Mais le plus grave pourrait être la capacité des hackers de détruire la réputation d’une personne en lui faisant tenir des propos indignes.
