Deepfake : l’escroquerie Ferrari déjouée

Security Awareness
19 août 2024
deepfake-ferrari-truffa

Quand le « facteur humain » fait la différence et éloigne les criminels!

Il faut certes féliciter le directeur de Ferrari qui a déjoué une tentative d’escroquerie à l’encontre de la société basée à Maranello, mais, après tout, il a fait ce que tout le monde devrait faire : il était vigilant, conscient, s’est méfié et a mis en place un stratagème très simple qui a immédiatement éliminé le risque.

Cela s’est passé par une chaude journée de juillet.
Le directeur a reçu plusieurs messages sur WhatsApp de la part du PDG Benedetto Vigna, l’avertissant d’une prétendue grande reprise. Les messages provenaient toutefois d’un numéro inconnu et non reconnaissable. La raison en était la nécessité de maintenir la plus grande discrétion.

« Soyez prêts à signer l’accord de non-divulgation que notre avocat vous enverra dès que possible. L’autorité italienne de régulation des marchés et la Bourse de Milan ont déjà été informées. Tenez-vous prêt et faites preuve de la plus grande discrétion ».
Telle était la teneur des messages, qui étaient suivis d’un appel téléphonique par la voix très réaliste de Vigna. Même avec l’accent de Basilicate de l’annonceur. Mais dans le son de la voix, le responsable a perçu des bruits métalliques étranges, une sonnette d’alarme qui, avec le numéro inconnu et la photo de profil différente, a déclenché le geste salvateur : une question très simple, hors sujet et très amicale :

« Excusez-moi Benedict, quel est le titre du livre que vous avez recommandé ?

Une douche froide pour le criminel qui réalisait l’escroquerie en utilisant les dernières techniques de deepfake. Une douche si froide que l’appel s’est immédiatement interrompu et que le pirate a immédiatement abandonné sa tentative de fraude.

L’épisode, rapporté par Bloomberg, souligne d’une part à quel point l’outil du deepfake est de plus en plus utilisé par les hackers, et d’autre part à quel point il est possible de se défendre contre ce type d’attaque. D’une part parce que les techniques utilisées par les malfaiteurs ne sont pas encore parfaites et peuvent donc être reconnues avec un peu d’attention, et d’autre part parce qu’une stratégie simple a suffi à bloquer une attaque qui aurait fait beaucoup de dégâts.

Il s’agit de photos, de vidéos et de sons créés par des logiciels d’intelligence artificielle qui, à partir d’un contenu réel, peuvent modifier ou recréer les traits et les mouvements d’un visage ou d’un corps et imiter fidèlement une voix. Ce type d’attaque est de plus en plus utilisé et réussit généralement à atteindre ses objectifs criminels. Il suffit de penser à l’attaque en février dernier d’une entreprise de Hong Kong qui s’est fait escroquer avec une fausse vidéoconférence ou à l’arnaque des deux comédiens russes Vovan et Lexus qui se sont fait passer pour le président de la Commission de l’Union africaine, Moussa Faki, pour téléphoner à plusieurs dirigeants européens.

Le point qui préoccupe le plus les experts est que cette technologie, bien qu’elle présente encore des faiblesses aujourd’hui, pourrait, dans un avenir assez proche, devenir de plus en plus perfectionnée, rendant presque impossible la reconnaissance des faux par rapport à la réalité. C’est un risque non seulement pour les entreprises, mais aussi pour les particuliers qui peuvent facilement être trompés s’ils sont attaqués sur le front de l' »émotion ». Imaginez, par exemple, des parents recevant un appel d’un enfant qui a besoin d’argent, ou des personnes qui ne sont pas suffisamment au fait de la technologie recevant des appels téléphoniques de parents ou d’amis en détresse.

Il s’agit d’un risque très élevé pour tous et qui peut toucher tout le monde, à tel point que le Garante della Privacy lui-même a élaboré une fiche d’information pour sensibiliser les utilisateurs aux risques liés à l’utilisation malveillante de cette technologie et pour déjouer l’usurpation d’identité tant redoutée.

Parmi les points essentiels énumérés par le garant, on peut lire :

  • Évitez la diffusion incontrôlée d’images personnelles ou d’images d’êtres chers. En particulier, si vous publiez des photos sur les médias sociaux, n’oubliez pas qu’elles peuvent rester en ligne pour toujours ou que, même si vous décidez plus tard de les supprimer, quelqu’un peut déjà se les être appropriées.
  • Bien que ce ne soit pas facile, on peut apprendre à reconnaître un deepfake. Certains éléments peuvent aider : l’image peut sembler pixellisée (c’est-à-dire quelque peu « granuleuse ») ; les yeux des personnes peuvent parfois bouger de manière anormale ; la bouche peut sembler déformée ou trop grande lorsque la personne dit certaines choses ; la lumière et les ombres sur le visage peuvent sembler anormales.
  • Si l’on a le doute qu’une vidéo ou un fichier audio est un deepfake réalisé à l’insu de la personne concernée, il faut absolument éviter de le partager (afin de ne pas multiplier les préjudices causés aux personnes par sa diffusion incontrôlée). On peut aussi décider de le signaler comme un faux possible à la plateforme qui l’héberge (par exemple, un média social).
  • Si vous pensez que le deepfake a été utilisé de manière à commettre une violation de la vie privée, vous pouvez vous adresser aux autorités de police (par exemple, la police postale) ou à l’autorité chargée de la protection des données, selon le cas.

D’une manière générale, la recommandation de rester présent et conscient, de ne jamais entreprendre d’actions dictées par l’impulsivité et de ne jamais faire aveuglément confiance à qui que ce soit, en particulier lorsque l’on reçoit des demandes d’argent, reste toujours d’actualité.
Même si c’est notre chef suprême qui nous écrit, il est difficile de dire non. Mieux vaut toujours vérifier en appelant la personne concernée et s’assurer de l’authenticité de la demande.

Ces comportements ne sont pas difficiles à adopter, il s’agit de développer une attention et une sensibilité qui peuvent certainement être entraînées par une formation efficace et sur mesure dans laquelle il est plus important que jamais d’investir du temps et des ressources.

Il suffit d’une attaque réussie pour ruiner une entreprise, tant sur le plan financier qu’en termes de réputation.

Le dernier cas de Ferrari le prouve : un manager avec une posture numérique appropriée a sauvé l’entreprise d’une mauvaise aventure. Une confirmation que le facteur humain, maillon faible de la chaîne, reste le plus visé. Le renforcer, c’est vraiment sécuriser les personnes et les entreprises.

Articles connexes

Rapport Clusit 2024 : données préoccupantes

Rapport Clusit 2024 : données préoccupantes

En Italie, l'industrie manufacturière est visée, mais les attaques contre les soins de santé augmentent de 83 % par rapport au premier semestre 2023. La centralité du facteur humain. Aucune bonne nouvelle ne vient du front cybernétique. Au contraire, la guerre (car...

lire plus