Une carte de fidélité pour cybercriminels

« Utilisez notre plateforme Web de rançongiciels et obtenez un rabais de 10 % lors de votre prochaine commande ! » C’est une blague ? Non. C’est l’état du marché pas si obscur des outils de cybercriminalité, dont la popularité ne cessera que le jour où nous prendrons les cybermenaces plus au sérieux.

C’est en tout cas ce que disait à la mi-octobre, durant la conférence MTL connecte, Bronwyn Boyle, spécialiste de la sécurité informatique pour la plateforme bancaire allemande Mambu. Mme Boyle va même plus loin et prévient que notre utilisation toujours plus insouciante de plateformes comme le réseau social TikTok fait l’affaire de bien des gens aux intentions plutôt suspectes comme les groupes cybercriminels.

En utilisant ses filtres, on contribue à améliorer les algorithmes (de trucage vidéo) de TikTok et, dans la foulée, on raffine les outils qu’utilisent les cybercriminels pour piéger d’éventuelles victimes.

« D’ici 2025, la technologie des deepfakes sera utilisée pour créer des filtres sur TikTok », prédit Bronwyn Boyle. « TikTok améliore les algorithmes derrière ces vidéos truquées à partir de l’utilisation qu’on fait de son application. »

Une popularité inquiétante

Les vidéos truquées ne sont pas seulement un outil de cybercriminalité. L’acteur américain Bruce Willis a récemment indiqué qu’il songeait à vendre son image à une agence qui pourra ensuite produire éternellement des vidéos dont il sera la vedette. Il pourra empocher une partie des royautés générée par ces vidéos sans même quitter son fauteuil (ou son éventuel cercueil).

Les amateurs de Star Wars seront peut-être aussi rassurés d’apprendre que James Earl Jones, l’acteur qui prête sa voix à Darth Vader, a vendu sous licence ses inimitables intonations pour qu’une intelligence artificielle les reproduise et pour que le Lord Sith ne perde pas la voix quand James Earl Jones perdra la sienne.

Cette technologie ouvre aussi un peu plus la porte aux contenus contrefaits pour abuser de la naïveté du public ou d’entreprises. Par exemple, un directeur de banque reçoit un appel et reconnaît au bout du fil la voix d’un client important qui lui confirme une demande de virement qui vient de lui être envoyée par courriel.

Ce que le représentant bancaire ne sait pas, c’est qu’aussi bien le courriel que la voix sont générés par des algorithmes trompeurs. Il est la cible d’une fraude bancaire. Ce phénomène ne relève pas de la science-fiction : des fraudes de ce type auraient déjà permis de détourner plus de 26 milliards de dollars américains auprès d’entreprises un peu trop naïves, selon la firme Terranova Security.

L’implication géopolitique de ces technologies truquées est tout aussi grande. Début mars, une vidéo contrefaite du président ukrainien, Volodymyr Zelensky, a été diffusée pour encourager les militaires ukrainiens à laisser tomber les armes et à accueillir l’armée russe à bras ouverts.

Le jour où une armée mordra à un tel hameçon n’est peut-être pas si loin…

Le pire : on n’a aucun moyen d’empêcher l’évolution de ces cybermenaces. Une impuissance renforcée par l’émergence de cryptomonnaies qui sont en fin de compte des outils financiers qui échappent aux autorités et, donc, à toute forme de protection et de recours pour le public en cas de fraude.

Et de la fraude, il y en a plus qu’on pense. On n’a qu’à citer l’exemple du OneCoin, une fraude par cryptomonnaie survenue en 2017 et qui a permis à ses auteurs de subtiliser 4 milliards de dollars américains à des internautes un peu trop naïfs. On recherche encore le cerveau à la tête de cette opération.

« On ne peut qu’en parler et alerter le public sur leur existence », dit la spécialiste Bronwyn Boyle.

Un début

Ce n’est malheureusement qu’un début. La prochaine étape est l’identification par la forme et le mouvement des yeux. C’est notamment la technique privilégiée par des sociétés comme Meta pour authentifier les transactions qui pourraient un jour survenir dans des environnements de réalité virtuelle ou augmentée. Il suffira de pointer une caméra vers le visage des utilisateurs pour les identifier.

Le Quest Pro, le casque que Meta a mis en marché à la fin octobre, a déjà tout ce qu’il faut pour le faire.

Le problème est simple, ajoute Mme Boyle. « On n’a aucun moyen de prouver que les algorithmes utilisés pour identifier les gens par leurs yeux ne seront pas aussi offerts à des cybercriminels qui voudront déjouer les systèmes biométriques des banques ou d’autres entreprises en volant l’identité de leurs clients. »

La solution peut sembler compliquée, mais elle se résume simplement : il faut prendre ces menaces au sérieux avant d’en être la prochaine victime. Terranova Security rappelle que les deux tiers des travailleurs se moquent un peu de la sécurité des données qu’ils manipulent quand ils sont au bureau. C’est la responsabilité du service informatique, pas la leur, disent-ils.

Même chose à la maison : se penser assez peu important pour être la cible d’une attaque sophistiquée, c’est ouvrir la porte aux stratagèmes comme des vidéos truquées et des rançongiciels.

« Tant que l’on continuera à utiliser le mot de passe par défaut de son routeur wifi, les pirates auront la vie très facile », conclut Bronwyn Boyle.

Cela peut difficilement être plus facile que ça : achetez dix rançongiciels, obtenez le onzième gratuitement.

À voir en vidéo