Passe au contenu principal

La cybercriminalité basée sur l’IA :
la prochaine frontière ?

La technologie de l’IA a connu une année spectaculaire en 2023. Maintenant, des groupes cybercriminels misent sur l’IA pour automatiser et améliorer leurs activités, travailler plus rapidement et être plus audacieux que jamais dans leurs tactiques d’attaque.

  • Le lundi 29 janvier 2024, un commis d’une firme d’ingénierie a signalé aux autorités de Hong Kong qu’il avait assisté à une vidéoconférence où il s’était fait berner. Il avait alors versé 200 millions de dollars de Hong Kong (20 millions de livres sterling) de l’entreprise à un fraudeur³. Peu de temps après le début de l’enquête par la police de Hong Kong, le surintendant principal Baron Chan a réalisé que cette entreprise avait subi l’un des vols les plus audacieux à ce jour au moyen de l’IA.

    En moins d’une semaine, M. Chan a envoyé un avertissement au monde entier, avisant les médias qu’il s’agissait d’une attaque d’hypertrucage contre l’entreprise⁴. Voici ce qu’il a déclaré : « Les personnes de la vidéoconférence ressemblaient aux vraies personnes. L’informateur a donc effectué 15 transactions en suivant leurs directives… Je crois que le fraudeur a téléchargé des vidéos à l’avance, puis utilisé l’IA pour ajouter de fausses voix. »

  • On a appris plus tard que cet employé travaillait pour Arup, une société multinationale britannique qui compte 18 500 employés dans 40 pays. Bien que cet incident chez Arup soit maintenant connu sous le nom de « Zoom of Doom », l’entreprise n’est pas la seule à faire face à la menace que représentent les hypertrucages. La plus grande entreprise de publicité au monde, WPP, a été exposée à un hypertrucage lorsque des escrocs ont cloné la voix du chef de la direction, Mark Read. Ils ont utilisé un faux profil WhatsApp pour tenter d’amener des collègues à révéler des renseignements financiers et personnels . De même, en avril, un employé de LastPass a déjoué une cyberattaque perpétrée par des criminels utilisant un hypertrucage audio pour se faire passer pour son chef de la direction, Karim Toubba⁶.

    Bien que l’IA ait suscité de l’enthousiasme, ces exemples montrent comment des cybercriminels organisés utilisent maintenant cette technologie pour tromper des employés et voler des millions de dollars à des entreprises vulnérables. Les employés ne peuvent plus croire ce qu’ils voient et entendent. Des techniques d’authentification plus élaborées sont nécessaires pour prévenir ce genre d’attaques.

  • « La question de l'authenticité va constituer un défi majeur pour les chefs d'entreprise et les tribunaux dans les années à venir. Comment vérifier des informations et des données telles que des voix et des images dans un monde où l'IA trompe facilement les gens? Les problèmes de “deepfake” se manifesteront par des piratages, des transferts d'argent et des “fake news” qui proliféreront dans les années à venir. »

    Melissa Collins
    Responsable du groupe de réflexion sur les sinistres, Cyber et technologie, sinistres aux tiers, chez Beazley 

³ https://www.theguardian.com/world/2024/feb/05/hong-kong-company-deepfake-video-conference-call-scam 
https://www.theguardian.com/technology/article/2024/may/17/uk-engineering-arup-deepfake-scam-hong-kong-ai-video
https://www.ft.com/content/308c42af-2bf8-47e4-a360-517d5391b0b0 
https://www.scmagazine.com/news/lastpass-thwarts-attempt-to-deceive-employee-with-deepfake-audio 

ᵛⁱⁱ Le sondage de cette année a été mené du 5 au 15 janvier 2024 auprès de 3 500 chefs d’entreprise dont les sociétés de diverses tailles sont établies au Royaume-Uni, aux États-Unis, au Canada, à Singapour, en France, en Allemagne et en Espagne, et qui exercent leurs activités dans 9 grands secteurs à l’échelle internationale.