Démystifier la fraude par « deepfake » : comment le coût de la technologie détermine les cibles

L'apprentissage automatique continue de révolutionner le mode de fonctionnement des fintechs et des banques, notamment en matière de lutte contre la fraude. Si les progrès de l'IA laissent entrevoir des perspectives prometteuses en matière de prise de décision efficace en matière de risques, depuis le lancement de ChatGPT par OpenAI, les acteurs malveillants trouvent de nouveaux moyens de contourner le système.

« L'escroquerie, ça va être le secteur le plus porteur de tous les temps », a déclaré nul autre que l’investisseur Warren Buffett récemment lors de son assemblée générale annuelle, après avoir visionné une vidéo « deepfake » le mettant en scène. Le milliardaire légendaire a ajouté que le génie était sorti de la lampe et qu’il allait changer notre monde à jamais.

Face à la recrudescence des fraudes par « deepfake », l'inquiétude grandit tant chez les particuliers que chez les entreprises ; de nombreux responsables de la prévention de la fraude estiment d'ailleurs que l'intelligence artificielle joue désormais un rôle majeur dans l'usurpation d'identité.

En tant qu'acteur de la gestion des risques, il est désormais essentiel de comprendre comment et pourquoi un cybercriminel audacieux pourrait décider de commettre une fraude en recourant à la technologie du « deepfake ». Cet article passe en revue les différents types de fraudes par « deepfake » ainsi que les enjeux économiques qui les sous-tendent.

La plupart des fraudeurs sont des acteurs économiques rationnels. Chaque activité frauduleuse peut être considérée comme une opération dans laquelle le gain doit compenser les coûts, le temps et l’énergie consacrés à la mise en œuvre du stratagème. C’est pourquoi certaines activités sont plus courantes que d’autres : elles sont moins coûteuses à mener à bien ou plus faciles à déployer à grande échelle, comme le piratage de comptes à l’aide du « credential stuffing ».

Afin de mieux comprendre et de se préparer à faire face aux acteurs malveillants utilisant l'IA, les banques et les entreprises de fintech devraient se familiariser avec :

1. Les coûts liés à la mise en œuvre d'une attaque,

2. Les surfaces d'attaque potentielles sur lesquelles une attaque donnée peut être étendue,

3. La faisabilité du projet et le rendement escompté.

Ci-dessous, nous analysons en détail les coûts opérationnels liés aux différents types de fraudes par « deepfake », car ceux-ci peuvent fortement influencer les différentes techniques qui s’enchaînent pour mener à bien des activités frauduleuses sophistiquées.

Les coûts dépendent avant tout de la technique d'IA utilisée, qui se répartit en trois grandes catégories : les textes, les voix et les images.

La fraude par génération de textes est le cas d'utilisation le plus courant de l'IA ; celle-ci est généralement déployée sous forme de chatbots ou de génération massive de textes à des fins de marketing ou de vente.

La génération de texte coûte extrêmement peu cher. OpenAI propose son ChatGPT 3.5 Turbo à environ 1,5 dollar pour 1 million de tokens de sortie, ce qui correspond à environ 750 000 mots. Pour entraîner le modèle linguistique sur un corpus de taille similaire, un fraudeur n’a qu’à débourser 0,50 dollar.

Dans ce contexte, l'utilisation malveillante concerne notamment le phishing et d'autres formes d'escroqueries par SMS, où l'IA peut aider un cybercriminel à rédiger des messages convaincants et personnalisés, ou simplement pallier la barrière linguistique pour un criminel issu d'un pays en développement ciblant des consommateurs des pays développés.

Dans le monde des affaires, les fraudeurs ont souvent recours à la génération de textes pour se faire passer pour un client existant, commettre des fraudes à la facturation ou mener des attaques de type « Business Email Compromise » (BEC). 

À l'heure actuelle, des outils d'IA spécialisés sont vendus sur le dark web pour commettre ces trois types d'actes.

Un modèle GPT entraîné à la détection des fraudes coûte 200 dollars par mois et aide les cybercriminels non seulement à envoyer des e-mails de hameçonnage, mais, comme il a été entraîné sur du code malveillant, il fait en réalité office de hacker virtuel à louer.

Des groupes criminels ont également mis au point une suite d’outils facilitant la fraude à l’encontre des entreprises via le BEC. L’outil de substitution de factures d’entreprise repose sur le fait que le cybercriminel ait accès à des comptes de messagerie compromis ; l’IA analyse ensuite ces comptes à la recherche d’opportunités de substitution de factures, moyennant un prix exorbitant de 2 000 dollars par semaine. Ils proposent également des kits de phishing permettant de mener des attaques sur mesure contre les clients d’une entreprise, disponibles pour la modique somme de 999 dollars.

Si la génération de textes est suffisamment peu coûteuse pour que tout fraudeur sachant contourner les dispositifs de sécurité puisse s’en servir pour « perfectionner » ses techniques de fraude, les outils spécialisés représentent en revanche des investissements considérables pour les organisations criminelles professionnelles. 

De ce fait, leurs cibles doivent être importantes : qu'il s'agisse d'entreprises complexes où ils peuvent commettre des fraudes à la facturation en toute impunité, ou, dans le cas des campagnes de hameçonnage, d'une liste de clients suffisamment importante pour justifier leur investissement.

On parle de fraude par synthèse vocale lorsqu'un fraudeur utilise l'intelligence artificielle pour imiter la voix d'une personne.

Plus la qualité et le volume des échantillons utilisés pour entraîner le système sont élevés, plus le résultat est crédible. Ainsi, les tarifs varient de 20 dollars par mois pour un abonnement à plusieurs centaines, voire milliers de dollars pour un clone parfait, comme « Sky Voice » d’OpenAI.

Dans le secteur des services financiers, les fraudeurs utilisent cette technologie pour faciliter le piratage de comptes, obtenir davantage d'informations sur leurs cibles ou imiter la voix des conseillers du service client en vue de nouvelles attaques.

La synthèse vocale semble être un terrain propice aux escroqueries. Non seulement cette technique est relativement peu coûteuse, mais les entreprises ont peu de moyens de vérifier de manière fiable l'identité de leur interlocuteur lors d'un appel téléphonique. Par conséquent, ce type de fraude connaît un essor massif, tant dans le cadre d'escroqueries ciblant les consommateurs que celles visant les employés d'entreprises, car il est généralement assez facile de la mettre en œuvre à grande échelle.

La fraude par génération d'images correspond à ce que le grand public appelle communément un « deepfake » : il s'agit d'utiliser l'intelligence artificielle pour créer une représentation d'une personne, sous forme d'image fixe ou, plus couramment, de vidéo.

Tout comme pour le clonage vocal, si les clones d'images simples ne coûtent pratiquement rien, les contrefaçons de haute qualité coûtent entre 200 et 20 000 dollars la minute. 

On a ainsi assisté à une prolifération rapide des escroqueries utilisant des « deepfakes », dans lesquelles des personnalités de premier plan ont été mises en scène dans des publicités frauduleuses afin d’inciter les victimes à divulguer leurs données personnelles ou à transférer de l’argent à des criminels.

Il va sans dire que le processus d'intégration dans le secteur des services financiers est particulièrement exposé aux acteurs malveillants recourant à la fraude par génération d'images. Les « deepfakes » ont rendu les identités synthétiques nettement plus difficiles à détecter. 

En ce qui concerne les contrôles KYC lors de la procédure d'inscription, les deepfakes prennent généralement deux formes : la présentation et l'injection.

La « présentation » est une technique relativement rudimentaire, puisqu’elle consiste à utiliser une image imprimée ou un deuxième écran pour présenter le deepfake au système afin de le tromper, tandis que l’« injection » désigne la manipulation du flux au sein même du logiciel. 

La rapidité avec laquelle ces attaques se généralisent doit être mise en balance avec des méthodes traditionnelles qui ont fait leurs preuves, comme le vol ou la falsification de documents, qui permettent d’obtenir le même résultat. Une carte d’identité américaine accompagnée d’un selfie, par exemple, ne coûte que 110 dollars, ce qui la rend compétitive par rapport aux solutions plus high-tech disponibles sur le marché. En revanche, des investissements considérables, comme la production de vidéos « deepfake » de plusieurs minutes, nécessitent des dépenses exceptionnelles.

Il est évident que l'IA fait désormais partie intégrante de l'arsenal des cybercriminels, principalement en raison d'incitations économiques. En substance, les fraudeurs opteront toujours pour les outils qui offrent une efficacité maximale à un coût minimal.

Cependant, les entreprises sont aujourd’hui mieux armées que jamais pour lutter contre la fraude basée sur l’IA. Cela s’explique non seulement par leurs budgets consacrés aux technologies de pointe, mais aussi par les procédures mises au point au fil de décennies de lutte contre la cybercriminalité.

Pour garder une longueur d'avance sur la fraude alimentée par l'IA, il est nécessaire de mettre en place des processus solides permettant de déterminer, d'identifier, de filtrer et d'intégrer de nouveaux clients ou de nouvelles entreprises. Comme il n'existe pas de solution universelle pour y parvenir, les acteurs proactifs de la lutte contre la fraude se tournent de plus en plus vers des plateformes avancées de gestion de la fraude et des risques. Ces plateformes, telles que la plateforme de décision en matière de risques de nouvelle génération de Taktile, permettent d'expérimenter et d'adapter rapidement des politiques automatisées de détection et de prévention de la fraude, aidant ainsi les équipes à identifier les fraudeurs plus efficacement et plus rapidement.

Q : Qu'est-ce que la fraude par « deepfake » et quel est son impact sur les services financiers ?

R : La fraude par « deepfake » consiste à utiliser des images, des vidéos ou des voix générées par l'IA pour usurper l'identité de personnes à des fins d'escroquerie, de piratage de comptes ou de contournement des procédures de vérification d'identité (KYC). Les établissements financiers sont confrontés à un risque croissant, car les fraudeurs recourent de plus en plus à l'IA pour mener des attaques sophistiquées.

Q : Comment les fraudeurs choisissent-ils les attaques basées sur l'IA qu'ils vont utiliser ?

R : Les fraudeurs évaluent le coût, l'évolutivité et le gain escompté des outils d'IA. La génération de texte est peu coûteuse et évolutive pour le hameçonnage, le clonage vocal présente un coût modéré pour l'ingénierie sociale, tandis que les vidéos « deepfake » de haute qualité ciblent des victimes de grande valeur.

Q : Comment les banques et les fintechs peuvent-elles se prémunir contre la fraude liée à l'IA ?

R : Les plateformes avancées de prévention de la fraude surveillent les schémas transactionnels, détectent les identités synthétiques et automatisent les règles de détection. En utilisant l'IA de manière responsable, les équipes peuvent identifier rapidement les attaques par « deepfake » et réduire les pertes liées à la fraude. 

Q : Quelles sont les formes courantes de fraude liée à l'IA dans le secteur des services financiers ?

R : Les types les plus courants sont le phishing par SMS, le clonage vocal visant à prendre le contrôle de comptes, ainsi que les « deepfakes » (fausses images ou vidéos) utilisés pour contourner les procédures de vérification d’identité (KYC) ou dans le cadre d’escroqueries par identité synthétique. L’ampleur de chaque méthode varie en fonction du budget et des cibles du fraudeur.

Q : Pourquoi la gestion proactive de la fraude est-elle essentielle à l'ère de l'IA ?

R : La fraude basée sur l'IA évolue rapidement ; les mesures réactives ne suffisent donc pas. Les plateformes proactives permettent une expérimentation, une automatisation et une adaptation continues, ce qui permet aux établissements financiers de garder une longueur d'avance sur les cybercriminels. Demandez une démonstration pour découvrir comment garder une longueur d’avance sur la criminalité financière grâce à la plateforme décisionnelle basée sur l’IA de Taktile.