Qu'est ce qu'un Deepfake ?

Définition de Deepfake

Le terme « deepfake » est un mélange de « deep learning » et de « faux », et a été inventé en 2017 par un utilisateur de Reddit. Un deepfake est une image, une vidéo ou un enregistrement vocal factice où l’apparence d’une personne est remplacée par celle d’une autre. Ils sont conçus pour tromper ou divertir les gens. Grâce à l’apprentissage automatique avancé, les deepfakes peuvent sembler très réalistes. Auparavant, les deepfakes étaient principalement connus pour leur utilisation humoristique sur les réseaux sociaux. Cependant, leur potentiel d'abus est rapidement devenu évident et les faux profonds sont désormais une préoccupation importante pour la confidentialité, la sécurité et les informations. 

Vidéos Deepfake

Les vidéos deepfakes créent des vidéos réalistes et crédibles, de plus en plus difficiles à identifier comme étant générées par l’IA, et présentent ainsi un risque important pour la sécurité des données. Elles représentent souvent des personnes connues, comme des personnalités politiques et des célébrités, mais elles peuvent également capturer l'apparence d'autres personnes. Selon l’objectif de leur créateur, elles peuvent être utilisées pour répandre de la désinformation, escroquer une personne ou une organisation, ou demander des données sensibles et/ou des fonds. 

Les vidéos deepfakes sont générées via une analyse complexe du contenu source. Des détails essentiels, comme les traits et les mouvements du visage, les dimensions, la couleur de la peau, des cheveux et des yeux, et le langage corporel sont fournis à l’IA pour qu’elle génère une représentation aussi précise que possible. Cela concerne également l'arrière-plan : si le bureau, la salle ou un autre cadre dans lequel le sujet apparaît est bien connu, l'acteur malveillant s’efforcera de le reproduire de la manière la plus fidèle possible, à l’aide d’images et de vidéos source. 

Clonage vocal

Semblable à la génération de vidéos deepfakes, l’audio peut être généré avec l’IA grâce au support d’entraînement disponible en ligne. Les sources de référence comprennent souvent des messages vocaux, des appels téléphoniques, des apparitions d'invités dans les podcasts et les enregistrements d'actualités, et des vidéos authentiques contenant de l’audio d’une personne clé ou d'un groupe. 

L'audio généré peut paraître très convaincant et est très proche du support source pour être aussi crédible que possible. L’outil d’IA générative utilisé par l'acteur malveillant analyse plusieurs détails clés, notamment le ton, l’intonation, le schéma de discours, la clarté, l’énonciation et l’émotion audible des personnes qui s’expriment dans les supports de référence.

Faux pas chers 

L’IA générative permet de créer des deepfakes d'audio et de vidéo, mais les cheapfakes renoncent à l’utilisation de ces technologies. Ils sont généralement créés manuellement pour tromper des personnes ou des groupes. Il s'agit souvent d’illusions optiques, audio ou textuelles conçues pour tromper les personnes qui ne sont pas très attentives, par exemple en créant un sentiment d’urgence ou une détresse émotionnelle. Comme indiqué par l’U.S. Department of Homeland Security, les cheapfakes précèdent l’ère du numérique, ce qui signifie que les acteurs malveillants s'appuient sur plusieurs siècles pour apprendre mutuellement et affiner leurs capacités. 

Approches pas chères

  • Découpe physique et collage de film 
  • Écoute téléphonique et/ou collage de fragments de phrases enregistrées et/ou de phrases complètes 
  • Ralentissement ou accélération du contenu vidéo et/ou audio pour créer l’effet ou la suggestion souhaité(e) 
  • Tournage et/ou enregistrement de personnes ressemblantes, physiquement ou vocalement, et posant comme la personne visée 
  • Image de synthèse à petit budget et de mauvaise qualité, technologie de motion capture et fonds verts 

Comment les Deepfakes sont-ils fabriqués ?

La création de deepfakes implique l'utilisation de programmes informatiques avancés appelés Generative Adversarial Networks (GAN) pour créer de fausses images qui semblent réelles. Il existe quatre étapes principales : 

Collecte de données : Tout d’abord, le contenu multimédia (images, vidéos ou audios) de la personne cible est recueilli. Cette collection est utilisée pour former le programme informatique. 

Formation au modèle : Le GAN est formé aux données collectées. Une partie du GAN crée de fausses images, tandis que l’autre partie vérifie si elles semblent réelles. 

Raffinement : Des techniques telles que les repères du visage et la capture de mouvement sont utilisées pour rendre le faux profond naturel, avec des expressions et des mouvements réalistes. 

Production finale : Le deepfake fini est ensuite combiné avec le support original, créant un élément de faux contenu transparent et convaincant. 

Bien que ce qui précède puisse sembler un peu complexe, le fait est que n’importe qui peut faire un faux profond, étant donné le grand nombre d’applications logicielles accessibles au public, de DeepFaceLab à DALL-E et Midjourney (bien que ces dernières aient des garanties en place).

Pourquoi se soucier de Deepfakes ?

Il est facile de considérer la cybersécurité comme un concept abstrait, retiré de la vie quotidienne, mais les implications d’une utilisation malveillante de contrefaçon profonde affectent l’individu et la société en général :

Votre vie privée

Deepfakes peut violer votre vie privée en créant un contenu non consensuel et souvent nuisible. Cela est particulièrement préoccupant dans les cas de pornographie factice, où les visages des individus sont superposés à du contenu explicite sans leur consentement. 

Votre sécurité et vos finances

Les appels vidéo Deepfake peuvent être utilisés pour usurper l’identité de personnes, souvent dans l’intention de vous tromper en vous donnant de l’argent ou des informations sensibles. N'importe qui peut être victime d'une escroquerie approfondie et subir de graves conséquences, telles que la fraude financière et l'usurpation d'identité.

Stabilité politique

Les Deepfakes peuvent être armés pour créer des troubles politiques. Des vidéos fabriquées de politiciens faisant des déclarations incendiaires ou s'engageant dans des activités illicites peuvent influencer l'opinion publique et perturber les processus démocratiques.

Préoccupations juridiques et éthiques

La création et la distribution de deepfakes soulèvent des questions juridiques et éthiques importantes. Les questions de consentement, de propriété intellectuelle et de droit à l’image d’une personne sont au centre des débats sociétaux en cours.

Intégrité des médias

Les journalistes et les organisations de médias font face à de nouveaux défis pour vérifier l’authenticité du contenu. Les Deepfakes peuvent nuire à la crédibilité des médias d’information

Menaces et conséquences des Deepfakes

Les Deepfakes représentent plusieurs menaces pour la cybersécurité :

Usurpation d'identité et escroqueries par appel vidéo

Les cybercriminels peuvent utiliser des faux profonds lors d'appels vidéo pour se faire passer pour des personnes. Qu’il s’agisse d’un ami, d’un membre de la famille, d’un partenaire potentiel ou d’un entretien d’embauche en ligne, les appels vidéo offrent une occasion idéale à l’escroc de mener une attaque approfondie, en usurpant l’identité de la cible et en vous piégeant pour vous faire don d’argent ou d’informations personnelles.

Mauvais renseignements/désinformation

Les Deepfakes peuvent être utilisés pour créer du contenu convaincant mais faux, diffusant la désinformation. Cela peut nuire à la confiance du public dans les médias, influencer les élections et déstabiliser les sociétés.

Vol d'identité

Deepfakes peut faciliter l’usurpation d’identité en créant de fausses identités réalistes ou en compromettant celles existantes, ce qui entraîne des dommages financiers et réputationnels.

Le chantage et l'extorsion

Les acteurs malveillants peuvent créer de fausses vidéos compromettantes pour chanter ou extorquer des individus, en tirant parti de la puissance des preuves fabriquées.

Érosion de la confiance

L’existence de deepfakes peut éroder la confiance dans le contenu numérique. Les gens commencent à douter de l’authenticité des médias légitimes, ce qui conduit à une crise plus large de confiance dans les communications numériques.

Comment repérer une vidéo Deepfake

La détection des deepfakes devient de plus en plus difficile à mesure que la technologie s’améliore. Que vous regardiez une vidéo en ligne, écoutiez un clip audio ou organisiez un appel vidéo avec quelqu’un, suivez votre instinct et soyez à l’affût des éléments suivants :

Mouvements du visage non naturels

Les Deepfakes peuvent présenter de subtiles incohérences dans les expressions et mouvements du visage. Recherchez les clignements non naturels, les problèmes de synchronisation des lèvres ou les tics du visage étranges.

Éclairage incohérent

Prêtez attention à l'éclairage et aux ombres. Si l'éclairage sur le visage ne correspond pas à l'éclairage dans le reste de la scène, il peut s'agir d'un faux profond.

Problèmes sonores

Soyez attentif aux changements soudains de ton et aux pauses inhabituelles ou à l’intonation qui ne reflètent pas le discours normal de l’orateur. Des incohérences dans le bruit de fond ou des changements soudains dans les sons ambiants peuvent également indiquer un faux profond.

Brouillage

Les Deepfakes sont souvent légèrement flous sur les bords du visage, en particulier lors de mouvements rapides.

Décalages audiovisuels

Écoutez les différences entre les éléments audio et visuels. Des mouvements des lèvres et un son non concordants peuvent être le signe d’un faux profond. 

Incohérences contextuelles

Si le contenu semble dénaturé pour la personne ou non plausible compte tenu des circonstances, il peut s’agir d’un faux profond. Par exemple, si la personne que vous connaissez bien a une demande urgente et inhabituelle, comme de l’argent ou des informations personnelles, et que vous vous sentez obligé d’agir rapidement, il s’agit d’un signal d’alerte.

Mesures de protection 

Vous pouvez mettre en place plusieurs étapes pour réduire le risque d’être ciblé par un deepfake ou un cheapfake. Il s'agit notamment des mesures suivantes, dont plusieurs sont recommandées par la National Cybersecurity Alliance : 

  • Filtrage des appels entrants de numéros inconnus pour les laisser tomber sur le répondeur 
  • Configuration de l’authentification multifacteur sur tous les comptes en ligne 
  • Utilisation de mots de passe uniques, longs et complexes 
  • Mise en place d’une webcam avec un obturateur physique pour couvrir l’objectif lorsque vous ne l’utilisez pas 
  • Ajout d’un filigrane numérique à vos photos et/ou vidéos avant de les partager 
  • Confirmation de détails en personne qui ont été divulgués en ligne ou par téléphone (si faisable) 
  • Détection des détails dans les emails suspects, comme la ponctuation, le ton et les fautes d’orthographe 
  • Utilisation des principes de Zero Trust et des solutions de détection de deepfakes 

Dans le monde de la cybersécurité, il est essentiel d'adopter une approche Zero Trust. En matière de protection contre les deepfakes, ses principes peut être considérés comme un modèle pour minimiser les risques. Par exemple : 

  • S'assurer que les processus d'authentification et d'autorisation sont en place et respectés 
  • Réguler et surveiller de manière proactive l’accès des utilisateurs aux données et aux réseaux 
  • Supposer une violation lors de la détection d’une menace et minimiser l'impact 

En outre, des solutions d’inspection et de détection de deepfakes peuvent aider à protéger l’identité, le bien-être et les données des utilisateurs. Ces outils sont essentiels à l’ère de l'innovation de l’IA en accélération constante, car les deepfakes sont souvent difficiles à détecter manuellement pour des humains. « Nous pouvons nous attendre à ce que la tâche de détection devienne plus difficile à mesure que les algorithmes de synthèse vocale s'améliorent et deviennent plus réalistes », selon un rapport détaillé de la National Library of Medicine de 2023 sur le sujet. « La difficulté à détecter les deepfakes vocaux confirme leur potentiel d’utilisation malveillante et indique que des défenses contre cette menace sont essentielles. ».

Exemples de dommages causés par des faux profonds

Exemple Deepfake

En février 2024, une société de Hong Kong a été escroquée par le biais d’une vidéoconférence qui a exploité Deepfakes. Il a été signalé que 25 millions de dollars avaient été transférés à un groupe de fraudeurs qui se sont fait passer pour le directeur financier de la société. La vidéoconférence a eu lieu avec plusieurs autres participants en plus de l'employé qui a été escroqué, mais tous les participants étaient de faux collègues générés par des faux profonds, et l'employé escroqué n'a pas réalisé que tous étaient faux.

Exemple de faux pas cher

En avril 2023, un incident d’enlèvement virtuel s’est produit en Arizona, aux États-Unis. Une personne anonyme a demandé à une femme de payer une rançon de 1 million de dollars pour sa fille de 15 ans. La femme aurait entendu les pleurs, les cris et les plaidoiries de sa fille au téléphone avec l’auteur. Il a été révélé que la fille n’avait pas été effectivement kidnappée dans ce cas, mais était un kidnapping virtuel. On pense qu'une voix clonée créée en fonction de la voix de la fille a été utilisée lors de l'appel téléphonique avec l'auteur dans ce cas. En fait, la Federal Trade Commission des États-Unis a émis un avertissement sur les escroqueries utilisant des voix clonées de membres de la famille.

Meilleures arnaques approfondies 

Escroquerie romantique

Nous avons tous entendu parler d’escroqueries de romance en ligne dans lesquelles des escrocs se font passer pour quelqu’un d’autre, comme un membre du service militaire basé à l’étranger, et demandent de l’argent en ligne. Bien que la plupart d’entre nous pensent connaître tous les trucs et ne soient pas victimes, les escrocs utilisent de nouvelles tactiques utilisant une technologie de contrefaçon avancée pour exploiter les personnes. 

Historiquement, l'un des signaux d'alarme d'une escroquerie à la romance est que les escrocs ne se joindront pas à un appel vidéo ou ne vous rencontreront pas en personne. Cependant, avec les applications DeepFake Face-Swapping, les escrocs peuvent désormais passer des appels vidéo. Ils peuvent gagner facilement votre confiance grâce à un faux visuel qui vous fait croire que la personne qui participe à l’appel vidéo est réelle. 

C’est ainsi que les « Yahoo Boys » ont mis à niveau leurs tactiques. Réputés depuis la fin des années 1990, les Yahoo Boys envoyaient des e-mails Yahoo frauduleux pour mener diverses escroqueries telles que le phishing et la fraude à la facturation avancée. Aujourd’hui, les Yahoo Boys utilisent de faux appels vidéo alimentés par une technologie de contrefaçon profonde, gagnant la confiance des victimes sur les sites de rencontre et les réseaux sociaux. 

Ces types d'arnaques de romance factice peuvent devenir assez créatives. En 2022, Chikae Ide, une artiste japonaise du Manga, a révélé qu’elle avait perdu 75 millions de yens (près d’un demi-million de dollars américains) à cause d’un faux « Mark Ruffalo » en ligne. Bien qu’elle ait été suspecte au début, c’est l’appel vidéo profond et factice qui a permis d’éliminer ses doutes sur le transfert d’argent.

Escroquerie au recrutement

Grâce à la technologie DeepFake, les escrocs peuvent se faire passer pour N’IMPORTE QUI, par exemple, en usurpant l’identité de recruteurs sur des sites d’emploi populaires tels que LinkedIn.   

Les escrocs proposent ce qui peut sembler être un entretien d’embauche légitime en ligne. Ils utilisent la technologie DeepFake Audio et Face swapping pour vous convaincre que l’enquêteur provient d’un employeur légitime. Une fois que vous avez reçu la confirmation d’une offre d’emploi, il vous est demandé de payer le pack de démarrage et de partager vos informations personnelles, telles que les coordonnées bancaires pour la mise en place du salaire. 

Ils se font également passer pour des candidats interrogés. Le FBI a averti que les escrocs pouvaient utiliser une technologie de contrefaçon profonde et les IPI volées par les personnes pour créer de faux profils de candidats. Les escrocs postulent à des emplois à distance, dans le but d’accéder à des données sensibles sur les clients et les employés de l’entreprise, ce qui entraîne une exploitation ultérieure. 

Escroquerie à l'investissement

Les Deepfakes sont également couramment utilisés pour la fausse approbation de célébrités dans les escroqueries d’investissement.  En 2022, de fausses vidéos profondes avec Elon Musk donnant des crypto- jetons ont diffusé en ligne. Ces faux profonds font la publicité d’opportunités d’investissement trop bonnes pour être vraies et mènent à des sites Web malveillants. Vous trouverez ci-dessous un exemple récent d’un faux flux en direct YouTube d’un faux profond Elon Musk promouvant des opportunités de goutte d’air de crypto-monnaie.

Sample Elon Musk Deepfake livestream video on YouTube.

Même avec des applications mobiles légitimes et populaires, il existe la possibilité de faux profonds. Vous trouverez ci-dessous Elon Musk qui fait à nouveau la promotion des « opportunités d'investissement financier » dans une publicité vue sur Duolingo. Si vous tombez dans l’escroquerie et cliquez sur la publicité, elle vous mène à une page qui, une fois traduite, offre des « opportunités d’investissement ; investissez 250 €, gagnez à partir de 1 000 € ». Dans d'autres cas, les malware peuvent même commencer à se télécharger une fois que vous cliquez. Soyez prudent ! 

A deepfake of Elon Musk in a Duolingo ad.

La solution d'IA de Trend Micro

Découvrez notre hub sur l’IA, qui associe une technologie innovante à une sécurité de premier niveau. Découvrez comment l’IA permet aux équipes de sécurité de prévoir, anticiper et détecter rapidement les menaces. Consultez régulièrement le Hub pour avoir accès aux ressources mises à jour concernant l’impact transformateur de l’IA sur la cybersécurité. Gardez ainsi une longueur d'avance face aux menaces émergentes et déployez des solutions d’IA en toute sécurité.

Recherches associées

Articles associés