GlobalSign Blog

Préparer la sécurité en vue de l’époque des deepfakes

Préparer la sécurité en vue de l’époque des deepfakes

Il y a quelques années, Moody’s publiait un communiqué de recherche officiel avertissant sur la menace que représentaient les deepfakes pour les organisations et les particuliers. Nous étions alors en 2019, autant dire il y a près d’un siècle. Largement ignoré à l’époque, le rapport n’en contenait pas moins des prédictions qui résonnent aujourd’hui de manière étrangement prémonitoire.

Le rapport soulignait notamment un usage des « deepfakes » qui peut s’étendre bien au-delà des vidéos truquées de politiciens. Elles peuvent en effet être utilisées pour saper la crédibilité d’une entreprise, et par conséquent sa santé financière. Sans parler des fausses vidéos utilisées pour falsifier les systèmes de protection physique « intelligents ».

Bien sûr, le problème n’est pas nouveau. Nous évoquions les deepfakes dans nos prévisions pour la cybersécurité en 2021, et en quelques mois, nous avons constaté que leur détection pesait lourdement sur le secteur de la santé. Malgré cela, face à un avenir où les deepfakes deviennent un outil de piratage parmi d’autres, le manque de préparation des ingénieurs en sécurité reste patent. Dans cet article, nous nous pencherons sur les raisons à cela et sur les actions que vous pouvez mener pour protéger votre organisation.

Professionnalisation des deepfakes

Avant d’aller plus loin, attaquons-nous à un mythe, car les deepfakes constituent une menace réelle pour la cybersécurité des consommateurs et des grandes entreprises. Or, jusqu’à présent, la technologie a surtout été utilisée dans un but « récréatif ». Résultat : même les analystes sécurité expérimentés sous-estiment souvent la véritable menace qui se dissimule dans ces vidéos truquées.

Les ingénieurs réseau sont en effet tellement habitués à rechercher les menaces complexes qui ciblent les réseaux qu’ils peuvent perdre de vue les moyens les plus évidents pour compromettre les systèmes. Dans la majorité des cas, l’élément déclencheur d’une cyberattaque n’est pas un malware chiffreur exotique, mais une tentative d’hameçonnage qui aboutit. Avec les deepfakes, le phishing passe au niveau supérieur.

En fait, Moddy’s avait déjà prédit ce danger dans le rapport que j’évoquais plus haut. « Imaginez une vidéo truquée, mais très réaliste, dans laquelle un PDG tiendrait des propos racistes ou se vanterait d’actes de corruption », écrit Leroy Terrelonge, AVP-Cyber Risk Analyst chez Moody’s. « Avec les progrès de l’intelligence artificielle, la création de ces deepfakes va devenir plus facile, et leur démystification plus compliquée. Pour les entreprises victimes d’attaques de désinformation, le préjudice peut être grave. »

En d’autres termes, une attaque à l’échelle du pixel pourrait mettre en danger les actifs tangibles d’une entreprise. Le scénario est crédible. Imaginez qu’une attaque par deepfake ne soit pas – ou mal – contrée. La victime verrait alors sa marque entreprise se dégrader, ses ventes s’effondrer, le cours de ses actions plonger, etc.

Très clairement, ce type de menace – l’utilisation d’un deepfake pour saper la confiance du marché, plutôt que de pirater un système – n’est pas le genre de danger auquel les ingénieurs en sécurité ont l’habitude de se frotter. Pour le combattre, les organisations doivent par conséquent envisager la sécurité dans sa globalité et reconnaître l’ampleur de la menace que représentent les deepfakes.

Des menaces à large spectre

Les universitaires et les analystes commencent tout juste à percevoir l’étendue des possibilités de ces vidéos truquées. Dans un rapport publié l’an dernier, la Brookings Institution a entrepris d’étudier le spectre des risques associés aux deepfakes. Leurs conclusions sont assez apocalyptiques. Les deepfakes pourraient, écrivaient-ils, être utilisés pour « déformer le discours démocratique, manipuler des élections, éroder la confiance dans les institutions, affaiblir le journalisme, exacerber les divisions sociales, attenter à la sécurité publique et nuire à la réputation de personnalités – y compris les élus et les candidats à des mandats électifs – et provoquer des dommages difficilement réparables ».

Dans le monde des entreprises, l’éventail des risques est tout aussi large. Au niveau le plus élémentaire, les deepfakes peuvent être utilisés pour tromper les logiciels de reconnaissance faciale que de nombreux particuliers et entreprises utilisent pour leurs contrôles d’accès. À ce titre, les deepfakes figurent parmi les principales menaces pour la sécurité du cloud. Si l’on considère le nombre de gadgets de domotique et de maisons où sont installées des caméras de sécurité à reconnaissance faciale, les deepfakes font, de toute évidence, partie des grandes menaces pour les données des consommateurs dans leur ensemble.

Sur un plan plus général, les deepfakes peuvent avoir des répercussions plus vastes. À défaut de trouver un moyen efficace pour les combattre, ces vidéos pourraient saper la confiance sur laquelle reposent tous types de communications : la confiance entre les politiciens et leur électorat, mais aussi entre les dirigeants et leurs actionnaires, et entre le grand public et les marques. Dépourvues de moyens efficaces pour détecter les deepfakes et limiter leur impact, de nombreuses entreprises se retrouvent face à une menace existentielle.

Préparer l’avenir

Les outils disponibles pour détecter les deepfakes restent, pour le moment, assez limités. Malgré les plaidoyers d’experts pour que ces outils fassent l’objet de recherches, et malgré certaines avancées prometteuses dans le reverse-engineering de vidéos basé sur l’IA, la plupart des deepfakes restent dangereusement convaincantes.

Autrement dit, pour se préparer à l’ère du deepfake, la plupart des organisations vont devoir intégrer plus largement leurs processus de cybersécurité au niveau de leurs équipes de management et de relations publiques. Dans le jargon actuel, cela pourrait se traduire par la création d’équipes DevSecPR qui pourront :

  • Former les PDG et les autres dirigeants aux dangers posés par les deepfakes, et leur indiquer les stratégies de réponse ;
    Identifier quand et où une organisation est mentionnée dans les médias, et planifier l’atténuation des incidents dommageables en temps réel ;
  • Déployer les outils de détection de deepfakes disponibles pour s’assurer que les informations véhiculées soient contrées et gérées ;
    Élaborer des plans de réponse aux incidents afin de gérer les incidents de type deepfake. Ces plans devront identifier les interlocuteurs clés et préciser le calendrier et les modalités de diffusion des informations sur un tel incident.

En fait, ce n’est qu’en envisageant les choses dans leur globalité que les organisations peuvent espérer atténuer la menace grandissante des deepfakes. Il devient vite évident que le risque dépasse largement le cadre de la simple attaque d’hameçonnage.

En résumé

Bien entendu, il est possible que certaines de ces prévisions ne se réalisent pas et que la généralisation de ces vidéos truquées ne soit pas pour demain. Qui sait, une méthode infaillible de détection pourrait voir le jour et rendre la menace du deepfake obsolète. D’ici là, les organisations doivent cependant prendre la menace au sérieux, non seulement en améliorant la sécurité des données, mais aussi en gérant les conséquences sociales et financières de ces vidéos truquées.

Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign

Share this Post