C’est une crise auditive. L’imitation parfaite de la voix humaine par l’intelligence artificielle (IA) est utilisée par des criminels pour accéder aux organisations, discréditer les gouvernements et les dirigeants, voler des données et de l’argent, et exploiter les gens et les entreprises. Une femme a été piégée en pensant que sa fille avait été enlevée – la voix terrifiée au bout du fil était un faux sonné par l’IA. Un employé d’une multinationale a été escroqué de 25 millions de dollars par des cybercriminels parce qu’il croyait parler au directeur financier de l’entreprise et la voix de Tom Hanks a été clonée pour vendre des assurances dentaires.
Si un fraudeur peut imiter la voix de quelqu’un, il peut contourner les contrôles de sécurité conçus pour utiliser la biométrie vocale. Ils peuvent tromper les gens en leur faisant croire qu’ils parlent à un ami ou un collègue de confiance. Ils peuvent franchir les barrières de sécurité et entrer en contact avec les gens parce que leurs faux sont si bons que personne ne peut faire la différence.
« C’est le facteur de confiance », explique Adrianus Warmenhoven, expert en cybersécurité chez NordVPN. « En tant qu’humains, nous avons des points d’ancrage de confiance implicites – je peux lire votre langage corporel lorsque je vous vois, je peux entendre les inflexions et les réactions dans votre voix au téléphone et cela crée une confiance entre nous. Ces éléments se sont développés à l’école, au travail, en voyant des gens. Maintenant, ils sont utilisés par les criminels pour établir des liens et réaliser des escroqueries fructueuses. »
La voix est un point d’entrée facile. Elle peut être entraînée facilement et il existe de nombreuses applications en ligne. N’importe qui peut télécharger une IA et cloner la voix de quelqu’un. La technologie capable de convertir la voix en texte, le texte en voix et de l’appliquer à tout, des faux appels bancaires aux escroqueries conçues pour hameçonner des mots de passe ou tromper des membres de la famille, est facilement accessible.
« À quel point pouvez-vous capter la voix de quelqu’un ? Les légères différences de ton ne sont-elles pas simplement du bruit de fond ? Et s’ils vous disent qu’ils ne se sentent pas bien ? Ces deux derniers éléments sont les plus importants, représentant plus de 80 % des menaces que nous observons en termes de compromission de la reconnaissance vocale », déclare Vukosi Sambo, directeur des analyses de données et de l’IA chez AfroCentric.
« Nous constatons également des cas où quelqu’un enregistre la voix d’une personne et l’utilise ensuite pour s’authentifier en tant que cette personne afin d’accéder à des informations ou à des systèmes. »
Se procurer la voix d’une personne n’est pas difficile non plus. Les cybercriminels se tournent simplement vers l’outil qu’ils utilisent depuis des années pour perfectionner leur art : les médias sociaux. Comme le souligne Ryan Mer, PDG d’eftsure Africa : « Les gens publient des vidéos sur les médias sociaux, ils partagent des notes vocales sur WhatsApp, et dans le monde des affaires, les personnes clés ont une forme de présence médiatique, qu’il s’agisse d’une interview à la télévision, à la radio ou d’un podcast. »
La technologie est capable de générer un profil vocal légitime en utilisant seulement quelques secondes de ces vidéos et fragments vocaux. Ensuite, cette voix peut être utilisée pour entrer en contact avec des personnes dans l’entreprise, en particulier l’équipe financière, afin de les escroquer pour obtenir des informations sensibles ou les amener à effectuer certaines tâches. Il ne s’agit pas toujours de faire transférer des millions à quelqu’un, il peut aussi s’agir d’essayer d’accéder au système pour obtenir des données qui peuvent être vendues des millions, ou d’infiltrer une entreprise pour commettre une fraude à long terme de l’intérieur.
N’importe qui peut aller sur le dark web et, pour une somme modique, demander une vidéo deepfake disant ce qu’il veut. Personne ne va se demander comment elle sera utilisée. Personne ne se souciera des répercussions de son utilisation. C’est aussi très probablement le prochain terrain de jeu des millionnaires et milliardaires qui ont utilisé l’IA pour atteindre leurs objectifs financiers, aussi malveillants soient-ils.
Sambo ajoute : « Il est important de comprendre ce que l’organisation est autorisée à faire en termes de collecte et de stockage des données vocales.
vous n’êtes pas prudent, vous pourriez violer les droits des individus à la lumière de la menace de l’IA. Les entreprises qui enregistrent des appels à des fins de qualité et de sécurité peuvent-elles vraiment se protéger de ce point de vue ? »
« Étant donné que cette technologie est accessible à tous de nos jours pour presque rien, la sécurité doit adopter une approche multicouche », déclare Lance Fanaroff, cofondateur de iiDENTIFii. « Vous devez gérer le contrôle d’accès en fonction de qui a accès à quoi ; vous devez vous concentrer sur les outils d’accès individuels tels que l’authentification à deux facteurs et la biométrie ; et ensuite investir dans des technologies conçues pour identifier et atténuer les menaces potentielles à un niveau granulaire et individuel. »
Il y a un côté positif à cette conversation – les technologies conçues pour contrer ces menaces évoluent tout aussi rapidement. Elles sont plus résilientes et alertes, capables de s’adapter aux risques potentiels des deepfakes avec agilité. Cependant, les entreprises ne peuvent pas faire grand-chose pour protéger leurs employés et leurs systèmes. Comme le conclut Kabelo Makwane, directeur général de Cloud, Hosting & Security chez Vodacom Business Africa : « Ce qui est devenu important maintenant, c’est de trouver le juste équilibre entre l’exploitation de la technologie, le non-blocage des systèmes et la recherche d’un moyen de superposer la sécurité afin qu’il reste un espace pour la croissance et la productivité. »