Dans ce cas d'escroquerie, les frontières entre la réalité et la fiction s'estompent: en effet, les cybercriminels utilisent les technologies les plus récentes pour prendre leurs victimes au dépourvu. Un tel cas vient d'être signalé à l'Office fédéral de la cybersécurité (OFCS). Il s'agit du premier cas de ce type en Suisse.
Dans le scénario digne d'un film, un directeur financier d'une entreprise suisse a été contacté par téléphone par un avocat. Celui-ci l'a invité à une vidéoconférence. L'invitation à cette rencontre surprise a été envoyée par e-mail, accompagnée des données d'accès. Lorsque le directeur financier a accepté l'invitation et s'est connecté, il a vu son patron à l'écran et a entamé une conversation avec lui.
D'autres arnaques dont il faut se méfier
Une tenue qui éveille les soupçons
L'appel vidéo était parfaitement orchestré: Pendant la conversation, le prétendu chef a tenté d'obtenir le numéro de téléphone portable du responsable financier afin de le convaincre de déclencher des transactions financières. Mais ce dernier s'est méfié. En effet, les vêtements portés par son interlocuteur lors de l'appel vidéo ne correspondaient pas aux habitudes de son patron, écrit l'OFCS. Lors de l'appel, le prétendu PDG portait une chemise et une cravate. La voix était également étrange.
En effet, les ingénieux escrocs avaient cloné le patron à l'aide de l'intelligence artificielle. L'apparence et la voix de n'importe quelle personne peuvent être reproduites à l'aide d'enregistrements originaux. On ne sait pas exactement comment la vidéo dite deepfake a été réalisée dans ce cas. L'OFCS part du principe que l'arnaque a été réalisée à l'aide du matériel vidéo disponible publiquement.
Des conversations téléphoniques pourraient également avoir servi de source pour copier la voix. Une pratique qui semble devenir de plus en plus populaire chez les arnaqueurs. Ainsi, l'OFCS écrit que ces derniers temps, plusieurs entreprises ont signalé que des inconnus avaient obtenu des informations sur leurs sociétés par téléphone.
Un cas qui se distingue des autres attaques
Ce que l'on appelle la fraude au PDG est une arnaque connue depuis longtemps. En règle générale, elle se fait par e-mail. Le cas actuel se distingue de ces attaques de masse, écrit l'OFCS. Cependant, le faux PDG de l'IA n'était pas parfait, ce qui a permis au directeur financier de se rendre compte de la fraude. Cet exemple spectaculaire montre toutefois que les fraudeurs n'ont aucun scrupule à utiliser les nouvelles technologies. Mais l'escroquerie à l'IA avec un faux PDG a déjà été couronnée de succès. En février, des cybercriminels se sont emparés d'un total de 22 millions de francs à Hong Kong grâce à un stratagème similaire.
«Comme toute technologie, elle peut d'une part être utilisée à des fins utiles, mais d'autre part aussi causer des dommages», explique Gisela Kipfer de l'OFCS. Il n'est donc pas étonnant, selon elle, que les cybercriminels utilisent également l'intelligence artificielle à leurs profits. Sur la base des cas signalés, l'OFCS part toutefois du principe que l'IA n'est pas encore utilisée systématiquement par les cybercriminels. «Il s'agit plutôt d'essais par lesquels les escrocs sondent ce qui est possible, et ce qui est rentable», explique Gisela Kipfer.
Comment se protéger
L'OFCS a publié des mesures concernant cette affaire. La protection commence déjà avant la fraude proprement dite. Car pour cloner des personnes, il faut des modèles. Les entreprises doivent donc faire très attention aux informations qu'elles mettent en ligne. En outre, l'OFCS donne les conseils suivants pour la prévention:
- Sensibiliser les collaborateurs à la fraude au PDG. Les collaborateurs des services financiers et des postes clés doivent notamment être informés de ces méthodes d'attaque. Dans les associations, tous les membres ayant une fonction de président ou de trésorier doivent être formés.
- Sensibiliser les collaborateurs au fait que de telles attaques peuvent être menées avec des informations disponibles publiquement.
- Limiter les informations sur les collaborateurs sur les sites web au strict nécessaire. Cela vaut en particulier pour les vidéos.
- Ne pas divulguer d'informations internes, que ce soit par e-mail ou par téléphone.
- Faire attention aux demandes de paiement: ne pas répondre à des demandes de paiement inhabituelles.
- Les processus qui concernent le trafic des paiements devraient être clairement réglementés en interne et respectés par les collaborateurs dans tous les cas, par exemple un principe de double contrôle ou une signature collective à deux.