Garantir la confiance numrique l're des deepfakes et de l'ingnierie sociale

L'ingnierie sociale et les deepfakes, nouvelles techniques favorises par les avances considrables de l'IA, participent roder la confiance vis--vis de l'cosystme numrique.

Pour y faire face, duquer les utilisateurs, renforcer les mcanismes didentification et faciliter la coopration public-priv devient une urgence stratgique.

Le flau de lingnierie sociale pour les particuliers et entreprises

Qui eut cru que la psychologie sinviterait un jour dans la bote outils numrique des cyberpirates ? Car cest bien par le biais de la manipulation motionnelle que lingnierie sociale atteint ses objectifs : en crant la panique ou la peur pour pousser le consommateur ou le professionnel agir dans le sens souhait par le pirate. Faux conseiller bancaire demandant une action urgente sur lapplication bancaire sous peine de subir un prlvement indu, faux messages doprateurs alertant sur un prlvement ou une rsiliation en cours... Comme toujours en cas de danger, lmotion inhibe la rflexion rationnelle et pousse les consommateurs lerreur. En 2023, 74 % des cyberattaques dans les PME europennes impliquaient une forme dingnierie sociale (1).

Les deepfakes, un march en pleine croissance

Autre manipulation frauduleuse digne de la science-fiction, les deepfakes. Gnrs par lintelligence artificielle, ces vidos ou ces audios imitent la perfection voix, visages et gestes, russissant leurrer les particuliers et parfois mme les professionnels. En fvrier 2024, en usurpant lapparence du CFO pendant une visio-confrence grce un deepfake, un fraudeur a russi se faire transfrer plus de 25 millions de dollars par une entreprise multinationale situe Hong Kong (2). Ce phnomne est en pleine croissance : le march mondial des deepfakes usage malveillant a atteint les 79 millions de dollars fin 2024 (3).

Sensibiliser la fraude numrique: une tape indispensable

Selon une enqute mene par YouGov, 67 % des Franais ne savent pas ce quest un deepfake tandis que 61 % dentre eux ne connaissent pas le terme dingnierie sociale (5). Une ignorance qui sexplique par plusieurs facteurs : dabord, par la complexit des techniques utilises et ensuite, par la raret des campagnes de sensibilisation. Le manque de vigilance peut galement sexpliquer par le retard culturel franais en matire dusages numriques : le fait de scuriser ses identifiants en ligne, avec des mots de passe complexes et uniques ou par le biais dun coffre-fort numrique, nest pas encore entr dans les mSurs des Franais, contrairement au fait de scuriser son domicile. De plus, grce aux informations partages sur les rseaux sociaux, les pirates peuvent profiler prcisment leurs cibles, ce qui facilite les attaques psychologiques.

Biomtrie et identits numriques: remparts de la lutte contre la fraude

Lune des pistes de solutions consiste faire de la vrification didentit une tape systmatique pour accder toute application ou usage numrique. Celle-ci doit tre base sur des documents rels et sappuyer sur des technologies biomtriques. En effet, la double authentification (ou 2FA) - combinant mot de passe et code unique transmis par tlphone - est susceptible dtre contourne par des techniques de manipulation des motions, lindividu paniqu donnant lui-mme ses identifiants bancaires par exemple. Alors que la biomtrie - accs par la reconnaissance du visage, de la main ou de la voix - agit comme un verrou, un deepfake tant incapable de reproduire parfaitement ces lments propres chaque individu. De plus, il existe des systmes d'authentification avancs qui savent dtecter les signes dune injection vido ou la prsence dune personne en arrire-plan, des indices qui signalent une potentielle manipulation ou une coercition. Toutes ces solutions permettent de vrifier que lutilisateur est bien un individu rel, et pas une image synthtique.

Accrotre lducation numrique pour minimiser les risques

Nanmoins, toutes ces technologies ne sauraient remplacer une bonne sensibilisation du plus grand nombre. Celle-ci permettra lutilisateur d'tre plus vigilant et de mieux dtecter les signaux faibles : des demandes inhabituelles, le sentiment durgence excessive ou une pression qui confine au harclement. Certaines entreprises utilisent dores et dj des campagnes de phishing en interne pour tester la vigilance de leurs employs, une pratique vertueuse qui doit tre gnralise. Pour ce qui concerne nos pratiques en ligne, nous devons prendre lhabitude de grer nos actifs numriques (outils informatiques, applications ou sites favoris), comme nous grons nos biens physiques, en dveloppant une culture de la prudence, en matrisant nos paramtres de confidentialit et en adoptant une hygine numrique rigoureuse (utiliser des mots de passe complexes, viter de partager des informations prives sur les rseaux sociaux, etc&).

La rglementation, pilier de la confiance numrique

Enfin, pour radiquer ces pratiques, il est indispensable de mettre en place une coopration troite entre acteurs publics et privs. Comme le fait lANSSI en France, plusieurs initiatives europennes militent dj pour lutilisation de moyens de vrification certifis, plus particulirement pour laccs des services sensibles : transferts financiers, donnes de sant. Ce projet didentit numrique europenne se dcline dj dans lhexagone sur France Connect+, avec le recours des wallets didentit numrique. Leur objectif est dassurer un quilibre subtil entre un niveau de scurit substantiel et une exprience utilisateur fluide et inclusive. En effet, la rglementation doit tre rigoureuse, mais ne doit pas alourdir et complexifier lusage en ligne. Des solutions trop contraignantes nuiraient la bonne adoption de ces usages. Seule une approche concerte, base sur la transparence, la flexibilit et linnovation, est gage defficacit et de rsilience.

Mme si des outils existent pour se prmunir de l'ingnierie sociale et des deepfakes, seules une prise de conscience ainsi quune monte en comptences des consommateurs, jointes une coopration troite entre les entreprises et les pouvoirs publics, permettront de prserver la confiance dans lcosystme numrique. Identification, prvention et pdagogie sont les matres-mots de cette cyberstratgie offensive.

1.ENISA  Threat Landscape 2024 : https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

2.https://www.capital.fr/economie-politique/deepfake-piege-en-visioconference-il-transfert-25-millions-de-dollars-a-des-escrocs-1491622

3.Spiralytics, Deepfake Statistics, 2024 : https://www.spiralytics.com/blog/deepfake-statistics/

4.Etude YouGov x IDnow  Fraude bancaire: enqute sur la confiance des Franais envers leur banque - 2024