Les hypertrucages peuvent‑ils porter préjudice aux entreprises canadiennes?

Au moyen de la technologie d’hypertrucage, une personne malveillante peut se faire passer pour n’importe qui et parler ainsi de n’importe quel sujet dans le but de perturber et d’influencer la société.

En bref

• L’hypertrucage représente la falsification d’un contenu numérique comme une vidéo ou un enregistrement sonore, et est de plus en plus utilisé pour usurper l’identité de personnalités publiques, transmettre de fausses informations et commettre de la fraude commerciale.
• À l’heure où l’intelligence artificielle générative et les technologies disruptives évoluent sans cesse et sont de plus en plus accessibles, les auteurs de cybermenaces peuvent produire rapidement et facilement des hypertrucages très persuasifs, à peu de frais, mais qui entraînent des coûts élevés pour les gouvernements et les entreprises du monde entier.
• Il devient nécessaire d’aborder la question afin d’éviter de tomber dans les pièges de l’hypertrucage, et de perdre ainsi la confiance des parties prenantes et nuire à l’image de marque, à la réputation et aux résultats de l’entreprise.

Imaginez que votre équipe communique avec vous pour faire le suivi d’un message vocal que vous avez laissé. Celle‑ci vous confirme que le paiement urgent que vous avez demandé pour l’un de vos plus importants fournisseurs a été traité, et ce, conformément aux nouvelles modalités et aux nouveaux renseignements bancaires que vous avez fournis. Vous n’avez toutefois jamais laissé de message ni formulé de telle demande.

Compte tenu de l’évolution et de la croissance rapide de l’apprentissage profond et de l’IA générative, des escrocs tirent parti de l’hypertrucage pour se faire passer pour des chefs d’entreprise grâce à des programmes sophistiqués de production vidéo en ligne qui peuvent coûter aussi peu que 24 $ par mois¹. Les cybercriminels se servent de l’hypertrucage pour leurrer et menacer le personnel et voler des renseignements et des fonds aux entreprises.

À l’heure actuelle, certains algorithmes permettent de créer des hypertrucages crédibles et réalistes. Il suffit d’un échantillon de voix de trois secondes pour reproduire la voix d’une personne, puis de jumeler cette voix clonée à un masque virtuel. Les coûts liés à la cybercriminalité devraient atteindre 10,5 billions de dollars d’ici 2025, et jusqu’à 80 % des entreprises déclarent que les hypertrucages audio et vidéo représentent une menace réelle à leurs activités^{2, 3}. La lutte contre les hypertrucages devrait être une priorité du programme de gestion des risques de votre entreprise. 

Les dangers de l’hypertrucage : des tactiques de guerre au sein des conseils d’administration

La légitimité et le réalisme apparents de ce type de supercheries numériques déclenchent des signaux d’alarme dans le monde entier. Les experts estiment que 90 % du contenu en ligne pourrait être généré par de l’intelligence artificielle d’ici 2026⁴.

Prenons par exemple des hypertrucages vidéo dans lesquels de faux dirigeants politiques répandent de la désinformation; une tactique de guerre moderne de plus en plus utilisée. Non seulement l’hypertrucage se trouve en tête de liste des priorités des agences gouvernementales, mais il a fait son entrée dans le monde des affaires :

• Au moyen d’une technologie de synthèse vocale, des cybercriminels ont réussi à voler près d’un quart de million de dollars à une société britannique du secteur de l’énergie en se faisant passer pour le chef de la direction⁵.
• De la même façon, aux Émirats arabes unis, une société qui était sur le point de faire une acquisition s’est fait dérober 35 millions de dollars après que de faux courriels et des hypertrucages audio se rapportant à l’acquisition ont convaincu un employé de transférer des fonds vers un compte bancaire appartenant à des fraudeurs⁶.
• Nous découvrons également que les hypertrucages réussissent à contourner l’authentification à deux facteurs, la reconnaissance vocale et d’autres fonctionnalités de sécurité utilisées par les grandes entreprises de divers secteurs d’activités⁷.

Ces exemples ne représentent que la pointe de l’iceberg en ce qui concerne les façons dont les cybercriminels utilisent les hypertrucages à des fins malveillantes. Les entreprises qui détiennent des contrôles étendus liés à la connaissance de la clientèle ou celles qui comptent sur des données visuelles à des fins d’authentification pourraient être exposées à des risques.

Par exemple, les plateformes de négociation de cryptoactifs et les plateformes de jeux de hasard et de loteries qui utilisent des technologies de reconnaissance d’images dans leur processus d’intégration de client pourraient accepter à leur insu des images d’usagers générées par synthèse. Les entreprises et notamment les institutions financières qui adoptent des technologies d’authentification par la voix à plus grande échelle sont plus à risque d’une attaque par usurpation d’identité.

De plus, des cybercriminels peuvent tirer parti du temps et de la distance pour s’en prendre à une entreprise. Ils peuvent entre autres attendre la nuit, usurper l’identité d’un employé de la division asiatique d’une entreprise nord‑américaine et demander l’accès à des systèmes internes, une situation qui pourrait causer beaucoup de dégâts et où la différence d’heures entre les deux marchés est à l’avantage des fraudeurs.

Détecter l’hypertrucage

Tout comme la technologie d’hypertrucage, les solutions pour lutter contre cette pratique évoluent. À l’heure actuelle, les solutions commerciales qui se trouvent sur le marché ne sont pas assez avancées pour détecter de manière fiable les attaques par hypertrucages et protéger les entreprises contre celles‑ci. Les variations importantes dans les voix et les environnements sonores, comme les bruits de fond et les accents, compliquent la détection. En plus de l’évolution rapide des modèles d’intelligence artificielle générative, de nouveaux algorithmes pour produire des hypertrucages audio et vidéo sont continuellement mis au point. L’évolution des technologies rendra les hypertrucages à venir de plus en plus difficiles à détecter. Il sera donc nécessaire que les logiciels de détection évoluent au même rythme.

Agissons ensemble

Chez EY, nous savons que la curiosité en matière d’intelligence artificielle n’est pas synonyme de confiance absolue. Nous avons investi 1,4 milliard de dollars américains dans le développement de solutions en intelligence artificielle à l’échelle mondiale, et nous travaillons avec des entreprises dans le domaine afin d’accroître nos capacités pour mieux servir nos clients.

Notre expérience en intelligence artificielle dans le domaine de l’analyse de la fraude et de la sécurité des données démontre la faisabilité de l’entraînement de modèles d’apprentissage profond permettant la détection d’hypertrucages audio. De plus, sur le plan des politiques, nous proposons des mesures pour lutter contre les menaces, notamment que des exigences d’identification soient imposées sur le contenu généré par intelligence artificielle et que les hypertrucages fassent l’objet d’une interdiction formelle.

Il ne fait aucun doute que les hypertrucages représentent une menace. Étant donné que 63 % des gens sont déjà convaincus que les dirigeants d’entreprise leur mentent, selon le Baromètre de la confiance d’Edelman, l’incapacité de garder une longueur d’avance sur les personnes malveillantes et l’évolution des technologies pourrait avoir des répercussions importantes à long terme sur les entreprises et la société dans son ensemble⁸.