L’IA rend l’arnaque au CEO plus sophistiquée
En Suisse, les escrocs ont non seulement cloné la voix d’un dirigeant d’entreprise mais ont aussi créé un double virtuel en vidéo de leur victime. Avec toujours le même but: obtenir des transferts de fonds importants
C’est une arnaque ancienne, dont les origines remontent à une vingtaine d’années environ. On l’appelle l’arnaque au CEO, ou arnaque au président. Le principe est très simple: un faux dirigeant ou responsable financier d’une entreprise contacte l’un de ses subalternes et le presse d’effectuer un versement urgent vers une entité à l’étranger. Et l’argent parvient ensuite sur le compte d’escrocs.
Ces derniers mois, les hackers ont perfectionné leur technique pour tenter de se montrer de plus en plus convaincants. Ils utilisent toutes les ficelles de ce que l’on appelle «l’ingénierie sociale», soit tous les moyens pour mettre en confiance leurs victimes. Ils envoient des e-mails et téléphonent également. Et comme l’explique cette semaine l’Office fédéral de la cybersécurité (OFCS), les escrocs emploient désormais des services d’intelligence artificielle très perfectionnés.
En visioconférence
Il vaut la peine de raconter cette tentative d’arnaque récente survenue en Suisse. Comme le détaille l’OFCS, l’affaire démarre lorsqu’un soi-disant avocat contacte le responsable financier d’une entreprise helvétique par téléphone. L’escroc l’invite même à une vidéoconférence avec son chef dans les minutes suivantes. Le directeur financier reçoit alors un e-mail contenant les données d’accès à la réunion. Celle-ci démarre. Et le responsable financier a bien face à lui, sur l’écran, son patron qui lui parle en visioconférence. Lors de l’entretien, le faux patron tente d’obtenir le numéro de téléphone portable de son subordonné et de le convaincre de déclencher des transactions financières.
Heureusement, détaille l’OFCS, l’escroquerie a été découverte assez rapidement. «Les cybercriminels s’étaient limités à la manipulation du visage du chef. Sa tenue vestimentaire ne correspondait pas du tout à ses habitudes. La voix n’était pas non plus très bien imitée», expliquent les spécialistes en cybersécurité. Aucun transfert de fonds n’a été effectué.
Pour cette tentative d’arnaque, les pirates ont utilisé les moyens les plus modernes à disposition: la vidéo du faux directeur a été créée à l’aide de l’intelligence artificielle. Comment les hackers ont-ils pu la concevoir? Selon l’OFCS, ils ont certainement utilisé comme matériel de base des vidéos du dirigeant disponibles publiquement sur internet et ont employé un logiciel spécialisé – mais facilement accessible – pour créer sur cette base une fausse vidéo, appelée «deepfake».
Ce n’est pas tout, puisque la voix a elle aussi été clonée. Pour la créer, les hackers ont sans doute passé des appels en amont. «Plusieurs entreprises ont signalé avoir reçu dernièrement des appels téléphoniques d’inconnus leur demandant diverses informations les concernant. Outre les informations obtenues qui pourraient être utilisées pour des attaques ciblées, ces appels peuvent permettre, au moyen de l’intelligence artificielle ou d’une technique de deepfake, de copier la voix du patron», estime l’OFCS.
Alertes en Valais
Face à des hackers de plus en plus ingénieux, la plus grande prudence est de mise. L’OFCS estime qu’«on peut s’attendre à ce que les cyberattaques soient de plus en plus souvent menées à l’aide de l’intelligence artificielle». La Confédération recommande notamment de sensibiliser le personnel au fait que des attaques ciblées peuvent être menées avec des informations disponibles publiquement. L’OFCS avertit: «Sur votre site internet, publiez le strict nécessaire en matière d’informations concernant votre personnel. Cela vaut également pour les vidéos.»
On se souvient qu’en janvier, la police cantonale valaisanne informait qu’une entreprise s’était vu dérober près de 300 000 francs via une arnaque au président impliquant des appels téléphoniques classiques. En automne 2023, cette même police cantonale valaisanne faisait état de plusieurs cas d’escroqueries et de tentatives d’arnaque au président depuis la mi-septembre, avec là aussi des pertes de plusieurs centaines de milliers de francs pour une autre société.
A l’étranger, les premiers cas d’arnaque au président avec des deepfakes commencent à apparaître. Début février, on apprenait qu’un salarié d’une multinationale de Hongkong avait transféré 25,6 millions de dollars appartenant à son entreprise à des escrocs. La victime avait participé à une vidéoconférence à laquelle étaient connectés plusieurs participants. Tous leurs visages avaient été générés par des systèmes d’intelligence artificielle... ■