Vous devriez réfléchir à deux fois avant de vous connecter à ce visage amical en ligne.

Des chercheurs affirment que de nombreux contacts sur le site de réseautage populaire LinkedIn ne sont pas de vraies personnes. Cela fait partie du problème croissant des « deep fakes », qui consistent à remplacer une personne dans une image ou une vidéo existante par une représentation modifiée par ordinateur.

« Les fausses images sont importantes dans la mesure où elles éliminent effectivement ce qui était traditionnellement considéré comme une méthode infaillible de confirmation de l’identité », a déclaré Tim Callan, directeur de la conformité de la société de cybersécurité Sectigo, dans une interview par courriel. « Si vous ne pouvez pas croire un message vocal ou vidéo de votre collègue de confiance, alors il est devenu d’autant plus difficile de protéger l’intégrité des processus. »

Des liens avec qui ?

L’enquête sur les contacts LinkedIn a commencé lorsque Renée DiResta, chercheuse à l’Observatoire de l’Internet de Stanford, a reçu un message d’un profil répertorié comme étant Keenan Ramsey.

La note semblait ordinaire, mais Renée DiResta a noté des éléments étranges sur le profil de Keenan. D’abord, l’image représentait une femme avec une seule boucle d’oreille, des yeux parfaitement centrés et des mèches de cheveux floues qui semblaient disparaître et réapparaître.

Sur Twitter, DiResta a écrit : « Ce compte aléatoire m’a envoyé un message… Le visage avait l’air généré par l’IA, alors ma première pensée a été le spear phishing ; il avait envoyé un lien ‘cliquez ici pour organiser un rendez-vous’. Je me suis demandé s’il ne prétendait pas travailler pour l’entreprise qu’il prétendait représenter, car LinkedIn n’informe pas les entreprises lorsque de nouveaux comptes prétendent travailler quelque part… Mais ensuite, j’ai reçu un message entrant d’un autre faux, suivi d’une note d’un employé manifestement réel faisant référence à un message antérieur de la première fausse personne, et cela a pris une toute autre tournure. »

DiResta et son collègue, Josh Goldstein, ont lancé une étude qui a trouvé plus de 1 000 profils LinkedIn utilisant des visages qui semblent avoir été créés par l’IA.

Les faussaires profonds

Les deep fakes sont un problème croissant. Plus de 85 000 vidéos deepfake ont été détectées jusqu’en décembre 2020, selon un rapport publié.

Récemment, les deep fakes ont été utilisés pour s’amuser et pour montrer la technologie, notamment un exemple dans lequel l’ancien président Barack Obama a parlé des fake news et des deepfakes.

« Bien que cela ait été formidable pour s’amuser, avec une puissance informatique et des applications adéquates, vous pourriez produire quelque chose que [ni] les ordinateurs ni l’oreille humaine ne peuvent différencier », a déclaré dans un courriel Andy Rogers, évaluateur principal chez Schellman, un évaluateur mondial de la cybersécurité. « Ces vidéos deepfake pourraient être utilisées pour un grand nombre d’applications. Par exemple, les personnes célèbres et les célébrités sur les plateformes de médias sociaux telles que LinkedIn et Facebook pourraient faire des déclarations influençant le marché et d’autres contenus postés extrêmement convaincants. »

Les pirates informatiques, en particulier, se tournent vers les deepfakes parce que tant la technologie que ses victimes potentielles deviennent plus sophistiquées.

« Il est beaucoup plus difficile de commettre une attaque d’ingénierie sociale par le biais d’un courriel entrant, d’autant plus que les cibles sont de plus en plus sensibilisées à la menace du spear phishing », a déclaré M. Callan.

Les plates-formes doivent sévir contre les deepfakes, a déclaré par courriel Joseph Carson, responsable scientifique de la sécurité de la société de cybersécurité Delinea. Il a suggéré que les téléchargements sur les sites passent par des analyses pour déterminer l’authenticité du contenu.

« Si un post n’a pas eu de type de source de confiance ou de contexte fourni, alors l’étiquetage correct du contenu devrait être clair pour le spectateur que la source du contenu a été vérifiée, est toujours en cours d’analyse, ou que le contenu a été considérablement modifié », a ajouté Carson.

Les faux sites profonds sont importants dans la mesure où ils éliminent ce qui était traditionnellement considéré comme une méthode infaillible de confirmation de l’identité.

Les experts recommandent aux utilisateurs de faire preuve de prudence lorsqu’ils cliquent sur des URL ou répondent à des messages LinkedIn. Soyez conscient que la voix et même les images animées de supposés collègues peuvent être truquées, a suggéré M. Callan. Abordez ces interactions avec le même niveau de scepticisme que pour les communications par texto.

Toutefois, si vous craignez que votre propre identité ne soit utilisée dans une fraude profonde, M. Callan a déclaré qu’il n’y avait pas de solution simple.

« Les meilleures protections doivent être mises en place par ceux qui développent et exploitent les plateformes de communication numérique que vous utilisez », a ajouté M. Callan. « Un système qui confirme les [identités] des participants à l’aide de techniques cryptographiques inviolables peut très efficacement miner ce type de risque. »