Cybersécurité à l’heure du deepfake – Comment agir face à de fausses informations de plus en plus crédibles ? (1/2)

Cyberrisk Management & Strategy Digital Identity

Publié le

Les médias en ligne et réseaux sociaux élargissent la surface d’attaque utilisable par des acteurs malveillants, et le deepfake en est l’arme ultime. Bien connu comme instrument de désinformation de la société, le deepfake engendre d’autres risques à prendre en compte, cette fois, par les entreprises.

Les récents évènements liés au COVID-19 ont démontré la nécessité d’accès à de l’information fiable et véridique par l’ensemble de la société. En plus de l’épidémie, nous avons été sujets à une « infodémie », propagation rapide d’informations fausses ou trompeuses sur les réseaux sociaux, posant la question de la confiance accordée aux plateformes de relai de contenu et de l’authenticité des informations qu’elles relayent.

L’usage des deepfakes est un phénomène d’actualité touchant d’abord le grand public. Il est intrinsèquement lié à l’importance qu’ont pris les réseaux sociaux et médias en ligne dans notre vie quotidienne.

En septembre 2019, on comptait près de 15.000 vidéos deepfake en ligne, soit deux fois plus qu’en décembre 2018. Si 96% étaient des deepfakes pornographiques postés sur des sites spécialisés, l’étendue des sujets touchés augmente pour atteindre tous les réseaux sociaux populaires (Youtube, Vimeo, Dailymotion). Parmi les deepfakes postés sur YouTube, 20% représentaient déjà des politiciens, hommes d’affaires et journalistes[1]. Leur pouvoir de désinformation sur le grand public leur permet d’exercer une influence sur des évènements politiques et sociétaux majeurs dès lors que des personnalités connues y sont représentées.

Et ceux-ci ne cessent de se perfectionner, alors que les outils permettant de les générer se démocratisent (comme Lyrebird, pour les deepfakes audios, ou Zao, pour les face-swapping, et le plus récent Avatarify, intégré à Zoom et Skype, pour la vidéo). Leur pouvoir de nuisance pèse de plus en plus non seulement sur les acteurs et organisations publics, mais également privés, et doit être étudié dans chaque secteur d’activité.

 

Un risque à prendre en compte par les entreprises

Les deepfakes peuvent également être utilisés contre les entreprises. Ils offrent en effet un nouveau terrain de jeu pour les acteurs malveillants, avec notamment deux moyens d’action :

  • Perfectionnement des attaques par fraude au président, dont les impacts et la probabilité sont augmentés avec les deepfakes. La fraude est rendue plus vraisemblable par des photos, vidéos et audios copiant la personne dont l’identité est usurpée. Les collaborateurs ciblés prennent ainsi ces contenus comme une authentification en soi de l’interlocuteur, et les chances de réussite des attaques sont augmentées – ce qui les encourage à demander des sommes plus importantes. De plus, certains outils de généreration de deepfakes étant accessibles au grand public, le recours à ces fraudes par des personnes malintentionnées augmente.
  • La déstabilisation de l’entreprise via de fausses informations relayées peut fortement détériorer son image, entrainant un certain nombre de conséquences, notamment financières et juridiques. On peut se demander quels impacts pourrait avoir le discours vidéo d’un membre du CoMex d’une entreprise diffusant de faux résultats ou orientations stratégiques sur le cours de son action ou la confiance de ses prospects ; ou encore quels seraient ceux d’une révélation d’anomalie produit sur les prises de commandes directes. Qui plus est, le démenti de rumeurs est rendu plus difficile lorsque des deepfakes sont utilisés. Et aujourd’hui les entreprises se sentent pour beaucoup encore loin du sujet : combien se sont déjà demandées quels seraient les impacts que pourrait avoir un deepfake sur leurs activités ?

 

 

Un cadre légal en construction

Les Etats commencent à s’organiser pour répondre à l’enjeu des deepfakes et à légiférer pour encadrer leur diffusion. Certains pays comme la Chine criminalisent la diffusion de deepfakes sans en notifier l’audience (depuis le 1er janvier 2020). Aux Etats-Unis, le traitement de la question des deepfakes s’accélère à l’approche des élections présidentielles de novembre 2020 et se fait à la fois au niveau fédéral (lois interdisant la diffusion de deepfakes en Californie, Virginie et au Texas), et national (le DEEPFAKE Accountability Act[2] est en discussion au congrès pour « combattre la propagation de désinformation à travers des restrictions sur les deepfakes »). En France, la question des deepfakes est intégrée à la loi du 22 décembre 2019 relative à la lutte contre la manipulation de l’information et n’est donc pas encore traitée explicitement.

Ces cadres légaux restent naissants et hétérogènes, et ne représentent qu’une partie de la réponse à apporter à cette technologie. Plus que condamner leur utilisation malveillante, l’enjeu est surtout de pouvoir les détecter et les empêcher.

 

Dans cette première partie, nous avons donné une vision des risques que présentent les deepfakes pour les entreprises. Dans la seconde partie de l’article, nous traiterons des moyens techniques et organisationnels à disposition aujourd’hui pour s’en protéger.

[1] Etude réalisée par Deeptrace en Septembre 2019.

[2] Defending Each and Every Person from False Appearances by Keeping Exploitation Subject to Accountability Act.