Ces dernières années, l’irruption des « deepfakes » dans l’ère numérique a fait bouger la frontière entre réalité et fiction. Autrefois cantonnés au divertissement, ces médias artificiels de plus en plus sophistiqués et boostés par l’IA posent aujourd’hui de sérieux risques en matière de désinformation et de fraude.
De nouveaux acteurs sont récemment apparus et les capacités toujours plus fortes de l’IA ont mis cette technologie à la portée du plus grand nombre. La fiabilité de ce qu’on peut voir sur Internet n’a jamais été aussi faible et fragile.
Alors, comment fonctionnent les « deepfakes », quels sont les risques et surtout quelles stratégies et mesures les entreprises peuvent-elles mettre en place pour se prémunir contre cette nouvelle menace ?
Qu’est-ce qu’un « deepfake » ?
Les « deepfakes » exploitent des technologies sophistiquées d’intelligence artificielle (IA) et d’apprentissage automatique, en particulier les réseaux antagonistes génératifs (GAN). Ces systèmes de machine learning impliquent deux modèles d’intelligence artificielle : le générateur qui a pour objectif de créer des contenus aussi réalistes que possible et le discriminateur qui évalue en permanence leur authenticité, ce qui a comme conséquence une amélioration rapide de la qualité et de la crédibilité des faux générés.
À l’origine, les « deepfakes » ont trouvé leur place dans les divertissements et les médias sociaux, offrant de nouvelles façons de créer du contenu, comme des vidéos superposant des visages de célébrités sur d’autres corps ou l’imitation de voix réalistes. Cependant, le potentiel de cette technologie est rapidement passé du statut de simple nouveauté à celui d’outil puissant de désinformation et de manipulation.
Les nombreux risques de cybersécurité liés aux « deepfakes »
De la désinformation politique à la fraude financière, les « deepfakes » ont de multiples applications parmi lesquelles :
> La désinformation politique
Les « deepfakes » présentent un risque important en diffusant de faux récits et en manipulant l’opinion publique, en particulier lorsqu’ils sont utilisés pour créer des représentations trompeuses de personnalités politiques. Le premier exemple notable s’est produit en 2018, lorsque BuzzFeed a publié un « deepfake » du président Obama.
Depuis, de nombreux autres ont été dévoilés, comme une vidéo mettant en scène une fausse capitulation du président Volodymyr Zelensky, appelant les Ukrainiens à déposer les armes. Destinée à tromper et à démoraliser le public, la vidéo a été identifiée fausse en raison de certaines anomalies.
> Le fraude en entreprise
Dans le monde de l’entreprise, les « deepfakes » sont devenus des outils de fraude et de tromperie susceptibles d’entraîner des pertes financières considérables. Une entreprise d’énergie basée au Royaume-Uni a perdu 220 000 euros. Un logiciel d’IA avait été utilisé pour imiter la voix du PDG de la filiale allemande de l’entreprise qui ordonnait au PDG britannique de transférer des fonds de toute urgence.
> Le vol d’identité et le harcèlement
Les droits personnels peuvent également être affectés par les faux médias lorsqu’ils sont utilisés pour commettre des vols d’identité et des actes de harcèlement. Les créations malveillantes peuvent être d’un réalisme alarmant.
En Allemagne, la menace des « deepfakes » a tellement préoccupé le gouvernement qu’il a lancé une campagne publicitaire soulignant les dangers et mettant en garde les parents contre les risques associés à ces technologies.
> La manipulation des marchés financiers
Au-delà des dommages causés à des personnes ou à des entreprises, les « deepfakes » peuvent aussi perturber des marchés financiers entiers en influençant les décisions des investisseurs et les sentiments du marché. La vidéo « deepfake » décrivant une prétendue explosion près du Pentagone a brièvement affecté les marchés boursiers américains.
> L’utilisation abusive sur le plan juridique et judiciaire
Dans le domaine juridique, les « deepfakes » pourraient également être utilisés pour fabriquer de fausses preuves, pouvant conduire à des erreurs judiciaires et porter atteinte à l’intégrité de la justice. Bien qu’il n’existe pas encore d’exemple précis et généralisé dans ce domaine, la possibilité d’une telle utilisation des « deepfakes » soulève des inquiétudes quant à la fiabilité des preuves vidéo et audio dans les salles d’audience et à la nécessité de renforcer les mesures de vérification.
> Détection et lutte contre les « deepfakes »
Comme toute technologie, l’IA peut être utilisée à bon escient ou pas, et des actions sont en cours pour développer des méthodes basées sur l’IA afin de détecter et combattre les « deepfakes ». Beaucoup d’entre elles se concentrent sur l’analyse des expressions faciales et la biométrie vocale afin de repérer les anomalies indétectables à l’œil nu.
La blockchain apparaît également comme un outil efficace. Elle permet de vérifier la source et l’authenticité des contenus numériques, de retracer la manière dont ils ont été utilisés, voire modifiés. Associée à une IA capable de signaler un contenu frauduleux, la blockchain peut déclencher un processus de révision ou alerter les autorités et parties prenantes concernées.
D’autres outils sont en cours de développement. Par exemple, SynthID de Google peut intégrer des « filigranes » inaudibles dans le contenu audio généré par l’IA. Ce genre de méthode vise à garantir que le contenu généré par des outils d’IA reste détecté de manière fiable comme étant généré artificiellement, même après avoir été manipulé par des humains ou autres logiciels d’édition.
Enfin, comme dans d’autres domaines de la cybersécurité, les campagnes d’éducation et de sensibilisation sont également primordiales.
Les bonnes pratiques pour les entreprises et leurs employés à l’ère des deepfakes
Alors que le paysage des menaces façonné par les « deepfakes » continue d’évoluer, il est de plus en plus important d’adopter des stratégies efficaces pour atténuer les risques associés à l’utilisation abusive de la technologie de l’IA.
> Sensibilisation et formation
L’éducation est la clé de voute de la protection contre les « deepfakes ». Organiser régulièrement pour les employés des sessions de formation axées sur les subtilités de ce type de média et les dernières évolutions des « deepfakes », peut réduire de manière significative le risque de tromperie
> Mise en œuvre de processus de vérification robustes
Pour les communications stratégiques, en particulier dans les contextes financiers et juridiques, la mise en œuvre d’une authentification multifactorielle et de processus de vérification rigoureux est indispensable. Par exemple, les confirmations d’appels vocaux et vidéo pour les transactions à fort enjeu ou le partage d’informations sensibles peuvent s’avérer efficaces.
> Utiliser des solutions de cybersécurité avancées
Il est possible d’ajouter à l’IA des solutions de cybersécurité avancées dotées de capacités de détection des fraudes. Les outils utilisant l’IA et l’apprentissage automatique pour analyser et signaler les « deepfakes » potentiels ajoutent une couche importante de sécurité.
> Mises à jour régulières des logiciels et de la sécurité
Mettre à jour régulièrement les logiciels, y compris les solutions de sécurité, peut réduire considérablement la probabilité d’atteintes à la sécurité. En effet, les mises à jour contiennent souvent des correctifs pour des vulnérabilités récemment identifiées qui pourraient être exploitées par des « deepfakes » et autres cybermenaces.
> Collaborer avec des experts externes
Pour les entreprises, le partenariat avec des experts externes en sécurité permet de leur offrir une meilleure protection. Ces professionnels peuvent fournir les dernières informations sur les menaces et aider à élaborer des stratégies spécialement conçues pour contrer les « deepfakes » et autres risques cybernétiques émergents.
> Vigilance personnelle
En tant qu’individus, il est important que chacun reste vigilant. Il s’agit notamment de faire preuve de scepticisme à l’égard des contenus sensationnels ou controversés et de vérifier les sources avant de partager ces informations ou de réagir.
L’utilisation d’outils et d’extensions de navigateur qui aident à détecter les « deepfakes » peut aussi contribuer à renforcer les pratiques personnelles de cybersécurité.
Enfin, il convient également de rappeler que, comme toute autre création, certains « deepfakes » sont plus perfectionnés que d’autres. Certains facteurs permettent de détecter les moins sophistiqués, dont les mouvements oculaires non naturels, les problèmes de synchronisation audio-vidéo (certains « deepfakes » ne parviennent pas à synchroniser les lèvres avec les mots prononcés), les incohérences au niveau des couleurs et des ombres, les mouvements corporels inhabituels.
L’avenir des « deepfakes » et de la cybersécurité
Les « deepfakes » existent, il faut composer avec car ils seront de plus en plus répandus et perfectionnés. La meilleure approche est donc d’atténuer leur impact en mettant au point des réponses efficaces. Outre le développement continu d’outils d’authentification avancés, les leaders de l’industrie devront établir des lignes directrices éthiques et garantir des mécanismes de défense solides contre les menaces de « deepfake ».
La prolifération inévitable des « deepfakes » exige une approche multidimensionnelle, combinant les innovations technologiques, les pratiques éthiques de l’industrie, des mesures législatives éclairées et l’éducation du public. Nous ne sommes à la merci de la technologie que lorsque nous ne prenons pas le temps de comprendre son impact et de mettre en place les contrôles appropriés. Concernant l’IA et les « deepfakes », tout est encore possible.
