8 juillet 2022
En juin 2022, le FBI a publié un message d'intérêt public pour alerter les organisations sur un nouveau risque de cybersécurité : les faux employés. Selon cette alerte, les cybercriminels utilisent de plus en plus de "faux employés et des informations personnelles identifiables (PII) volées pour postuler à une variété de postes de travail à distance et de travail à domicile".
Les "deepfakes" sont des vidéos ou des images créées à l'aide d'un logiciel alimenté par l'IA pour montrer des personnes disant ou faisant des choses qu'elles n'ont ni dites ni faites. Dans ce cas, les attaquants utilisaient des informations nominatives pour voler des identités et créer des "deepfakes" dans le but d'obtenir des emplois.
Le FBI a indiqué que les pirates avaient utilisé des "deepfakes" pour postuler à des emplois dans le domaine des "technologies de l'information et de la programmation informatique, des bases de données et des fonctions liées aux logiciels".
Pourquoi les criminels utilisent-ils des "Deepfakes" pour postuler à des emplois ?
Les cybercriminels utilisent de plus en plus les deepfakes pour commettre des délits en ligne. Par exemple, les deepfakes peuvent être utilisés pour donner de la crédibilité à des identités synthétiques, lorsque le criminel crée de fausses personnes qui n'existent pas. Les deepfakes peuvent également être utilisés pour la prise de contrôle de comptes, où une deepfake d'une personne réelle est utilisée pour accéder à ses comptes.
Dans les deux cas, l'objectif est généralement d'obtenir un gain financier - ouvrir une carte de crédit et la débiter au maximum, ou voler de l'argent sur le compte de quelqu'un.
Alors pourquoi utiliser un deepfake pour acquérir un rôle dans la technologie ? Ce n'est pas seulement pour obtenir un salaire mensuel. La véritable menace réside dans le fait qu'en obtenant un poste de technicien au sein de l'entreprise, l'attaquant a alors accès aux "informations personnelles des clients, aux données financières, aux bases de données informatiques de l'entreprise et/ou aux informations exclusives", selon le FBI.
Les attaquants peuvent ensuite utiliser ces données volées pour demander une rançon à l'entreprise ou mener d'autres attaques.
Comment connaissons-nous les employés de Deepfake ?
Le FBI a eu connaissance de ces incidents frauduleux lorsqu'il a reçu plusieurs plaintes IC3 (Internet Crime Complaint Center) de la part des organisations chargées des entretiens. Les plaignants ont indiqué qu'ils avaient détecté des vidéos de spoofing et de deepfake lors des entretiens avec les candidats. Des phénomènes étranges se produisaient pendant les appels, comme des bouches et des lèvres qui ne correspondaient pas aux mots prononcés à l'écran.
Ces "deepfakes" semblent donc assez faciles à repérer. Mais n'oublions pas qu'il s'agit des tentatives de deepfake qui ont échoué. Ce qui n'est pas clair dans l'annonce, c'est le nombre de tentatives réussies.
Les entretiens vidéo permettent-ils de repérer un Deepfake ?
La pandémie mondiale n'a pas donné naissance au travail à distance, mais elle l'a certainement rendu plus courant. Avec la mise en place de mesures de distanciation sociale, les travailleurs du monde entier ont troqué le bureau pour le domicile.
Si les règles d'éloignement social appartiennent désormais au passé dans de nombreux pays, il n'en va pas de même pour le travail à distance.
Le travail à distance présente de réels avantages. Pour les employeurs, il élargit le vivier de talents. Les obstacles tels que la distance géographique ne sont plus un problème. Les responsables de l'embauche peuvent recruter les meilleurs talents où qu'ils se trouvent dans le monde.
De plus, les employés veulent travailler à distance. Selon une enquête du Pew Research Centre, 61 % des travailleurs américains ont déclaré qu'ils travaillaient à distance par choix.
Mais les opportunités s'accompagnent de menaces. La nature même du travail à distance crée une distance entre l'employeur et l'employé. Il se peut qu'ils ne se rencontrent jamais en personne. Il devient très difficile de vérifier qu'une personne est bien celle qu'elle prétend être lorsqu'elle postule à un emploi.
On pourrait penser que parler à quelqu'un par le biais d'un appel vidéo résoudrait ce problème. En tant qu'êtres humains, nous sommes certainement assez compétents pour faire la différence entre un être humain réel et une imitation numérique de celui-ci.
Mais ce n'est pas le cas. L'apparition de "deepfakes" de plus en plus convaincants a mis à mal notre capacité à distinguer une personne réelle d'un "deepfake". Par conséquent, le fait de se fier à nos capacités - ou à celles de nos collègues - pour faire cette distinction crée un risque. Cela remet également en question l'efficacité de tout type d'entretien vidéo en tant que mesure de sécurité. L'œil humain peut être trompé. Pouvons-nous être totalement sûrs que la personne à qui nous parlons est réelle ?
Les "deepfakes" sont également de plus en plus faciles à produire. Avec un simple plug-in, les pirates peuvent créer ce que l'on appelle un "deepfake en temps réel". Il s'agit de superposer des images pour déformer une vidéo. Cette vidéo peut ensuite être diffusée dans les canaux de communication des appels de vidéoconférence.
La nature rapide, facile et abordable des deepfakes et des deepfakes en temps réel signifie qu'ils constituent une méthode évolutive pour commettre des activités frauduleuses. À mesure que nous continuerons à travailler et à embaucher à distance, les cybercriminels mettront au point des "deepfakes" de plus en plus convaincants pour accéder à des postes de travail.
Comment l'authentification biométrique peut-elle aider les employeurs à lutter contre les "deepfakes" ?
Les employeurs de tous les secteurs d'activité devraient s'inquiéter de cette menace croissante. Mais il existe une solution.
La technologie biométrique faciale peut être utilisée pour vérifier qu'une personne est bien celle qu'elle prétend être lorsqu'elle effectue une activité en ligne, comme ouvrir un compte bancaire ou postuler à un emploi.
Dans ce cas, le demandeur peut se vérifier lui-même lorsqu'il soumet sa demande. Il peut scanner une pièce d'identité avec photo, comme un permis de conduire, un passeport ou une carte d'identité, puis scanner son visage pour prouver qu'il est bien celui qu'il prétend être.
Toutefois, cela ne prouve pas qu'ils sont réels. Un visage ne peut pas être volé, ce qui rend la biométrie très sûre, mais un visage peut être copié avec une photographie ou un "deepfake".
Si vous voulez vous prémunir contre les "deepfakes", vous devez vérifier qu'une personne est bien la bonne, mais qu'elle est aussi une personne réelle et qu'elle s'authentifie en ce moment même.
La vivacité permet-elle de détecter les faux employés ?
L'authenticité est une forme de vérification faciale qui permet de détecter si le visage présenté à la caméra est un être humain réel et vivant. Elle permet également de déterminer s'il s'agit de la bonne personne.
La détection de présence permet donc de repérer si quelqu'un présente une photo, un enregistrement ou un masque de la victime à la caméra. Elle peut également identifier un deepfake s'il est présenté à la caméra.
Ce que le caractère vivant ne peut pas faire, cependant, c'est protéger contre les attaques évolutives injectées numériquement. Ces attaques peuvent contourner complètement les capteurs de l'appareil. Voir comment fonctionnent les attaques par injection numérique.
Comment la dynamique du caractère vivant peut-elle détecter les "deepfakes" ?
La vivacité dynamique est le seul moyen de vérifier qu'une personne distante, qui affirme son identité, est la bonne personne, une personne réelle, et qu'elle s'authentifie en ce moment même.
Le système Dynamic Liveness est capable de déterminer si une personne affirmant son identité est un être humain réel. Mais elle est également conçue pour détecter les attaques par injection numérique, c'est-à-dire celles qui utilisent souvent des imitations profondes pour contourner les capteurs de l'appareil et usurper le système.
Alors que les solutions de base en matière de vivacité peuvent protéger contre les menaces connues - essentiellement des menaces de présentation (artefacts physiques et numériques affichés sur un écran) - la vivacité dynamique offre des défenses contre les attaques par injection numérique synthétique connues, nouvelles et en évolution.
Pour ce faire, il utilise la technologie Flashmark™ d'iProov, qui illumine le visage de l'utilisateur distant avec une séquence de couleurs unique et aléatoire. Cela atténue le risque de rediffusion ou de manipulation synthétique, empêchant ainsi l'usurpation d'identité.
La menace des "deepfakes" : Une course aux armements
À mesure que les "deepfakes" deviennent plus sophistiqués, la sécurité biométrique utilisée pour les combattre devrait l'être également.
Chez iProov, nous utilisons des technologies d'apprentissage automatique, du personnel et des processus pour détecter et bloquer les cyberattaques, y compris les "deepfakes". Ce faisant, nous tirons constamment des enseignements de ces attaques. Cela permet de prévenir la fraude, le vol, le blanchiment d'argent et d'autres formes graves de criminalité en ligne, aujourd'hui et demain.
Les fausses offres d'emploi Deepfake : Résumé
- Le FBI a mis en garde contre l'utilisation de "deepfakes" par des criminels pour postuler à des emplois techniques à distance.
- En obtenant un poste au sein d'une organisation, le criminel accède aux systèmes et aux informations confidentielles, ce qui peut conduire à des vols de données et à des rançongiciels.
- Le travail à distance est là pour rester. Mais les entretiens vidéo ne sont pas une méthode efficace pour détecter les "deepfakes", car l'œil humain peut être trompé.
- Si les entreprises veulent continuer à recruter à distance, elles doivent mettre en place des mesures de protection pour vérifier que les candidats sont bien ceux qu'ils prétendent être.
- Le dynamisme d'iProov et son engagement dans la lutte contre les "deepfakes" et autres attaques synthétiques ou injectées numériquement atténuent ces risques.
Si vous souhaitez en savoir plus sur la manière dont iProov peut vous aider à vous protéger contre le deepfake crime en utilisant la technologie biométrique du visage, téléchargez dès aujourd'hui notre rapport complet Work From Clone (Travailler à partir d'un clone) :