00:04L'alerte cyber s'arrête aujourd'hui sur les deepfakes armes stratégiques.
00:08On en parle avec Jean-Baptiste Artignan.
00:10Bonjour Jean-Baptiste.
00:11Bonjour.
00:12Vous êtes le CEO, le cofondateur de Blue Secure,
00:14qui est un cabinet spécialisé dans la sensibilisation à la cybersécurité.
00:18Ça tombe bien parce qu'ici on fait de la sensibilisation,
00:20et en particulier dans ce format l'alerte cyber.
00:23Alors pour démarrer, vous êtes venu avec une vidéo.
00:25Je propose qu'on la regarde tout de suite.
00:27Allons-y.
00:28Bonjour à tous, bienvenue dans Smart Cyber.
00:30Avant de commencer l'émission, je souhaitais vous aider à évaluer la robustesse de vos mots de passe.
00:34Pour cela, rien de plus simple.
00:36Envoyez-les en commentaire sous mon dernier poste LinkedIn,
00:39et je me ferai un plaisir de vous aider.
00:40Voilà, donc ce n'est pas moi, on est bien d'accord.
00:43Ceci est un deepfake que vous avez créé de toute pièce,
00:46donc on n'envoie pas ces mots de passe nulle part, à personne.
00:49Ça, c'est bien clair.
00:51Mais alors, ce que vous avez voulu faire comme démonstration,
00:53c'est qu'aujourd'hui, les cyberattaquants, les cybermalveillants
00:56peuvent utiliser des images qui semblent vraies
01:00pour inciter à avoir des pratiques dangereuses, c'est ça ?
01:03Oui, tout à fait.
01:04En fait, aujourd'hui, l'IA est utilisée à des fins malveillantes
01:06pour réaliser des arnaques,
01:08comme on le voit pour créer des fausses images ou des fausses voix.
01:10Et ce qui a changé ces derniers mois,
01:12c'est que ces techniques sont de plus en plus perfectionnées.
01:14Et maintenant, les résultats sont de plus en plus réalistes.
01:16Là, comme on vient de le voir, en quelques minutes,
01:18avec des outils du marché,
01:19on peut cloner une voix, cloner un visage,
01:21et faire dire quelque chose à quelqu'un qui ne l'a pas dit réellement.
01:23Oui, absolument.
01:24Alors, moi qui me connais bien, je vois que ce n'est pas moi.
01:28Et pareil, je ne reconnais pas ma voix.
01:31Mais c'est vrai que ça peut tromper facilement.
01:34Et alors là, cette vidéo, ce deepfake,
01:36vous l'avez réalisée avec quel outil ?
01:38Alors là, on trouve maintenant des outils sur le marché.
01:40C'est justement ça qui a changé,
01:41c'est que c'est de plus en plus accessible.
01:42C'est que même des grands donneurs d'ordre comme Google
01:45sortent des plateformes comme VO3 qui permettent de générer des vidéos.
01:48Vous avez des solutions comme Evenlabs, qui est la plus connue,
01:50qui permet de cloner des voix, qui existent.
01:52Et aujourd'hui, en combinant plusieurs outils du marché
01:55qui vont générer à la fois la vidéo, la voix et la synchronisation aussi des lèvres,
01:59on obtient des résultats qui sont très réalistes.
02:02Et si on regardait un peu vite, oui, qui peuvent être donc très trompeurs.
02:05Quel type de fraude on peut imaginer demain avec les deepfake ?
02:09Oui.
02:09Alors la plus fréquente, c'est une fraude qui existait déjà,
02:11qui est la fraude au président.
02:12Donc c'est quelqu'un qui va se faire passer pour un dirigeant de l'organisation
02:15et demander l'exécution d'un virement urgent.
02:18Donc ça, ça existe depuis plusieurs années.
02:19Seulement avec l'IA aujourd'hui, avec le clonage de voix, le clonage de visage,
02:23ça rend ces attaques de plus en plus réalistes pour les victimes de ces attaques.
02:28On a déjà des chiffres sur les deepfakes et les dégâts que ça peut causer ?
02:32Oui, alors, on y a un chiffre, c'est qu'en 2020, enfin l'année dernière,
02:35il y a eu une augmentation de 1400% des attaques, notamment par clonage de voix.
02:40Donc c'est énorme.
02:41Voilà, on voit que c'est de plus en plus utilisé et encore une fois, de plus en plus perfectionné.
02:46Moi, j'ai vu justement une étude qui a été publiée par Sirchak,
02:51qui donne une estimation du coût que représente aujourd'hui la fraude par deepfake.
02:55Mais finalement, on découvre que la France ne s'en sort pas si mal.
02:59En tout cas, on est loin dans le classement.
03:01On est de loin le pays les moins touchés.
03:05Comment est-ce que vous expliquez ça ?
03:06Est-ce que, pourtant, on est plutôt, malheureusement,
03:11dans les principales victimes aujourd'hui de cybermalveillance,
03:14mais très peu sur les deepfakes pour l'instant ?
03:16La France a été un des premiers périls à être visé, notamment par la fraude au président.
03:21Donc certaines organisations ont mis en place des processus,
03:23qui sont par exemple le fait d'avoir un contre-appel,
03:26c'est-à-dire quand on a une demande de virement ou d'une opération importante,
03:28d'appeler la personne qui est à l'origine de la demande via un autre canal
03:32et via ses coordonnées habituelles, surtout.
03:34Vous avez des systèmes de double signature, par exemple,
03:36qui ont été mis en place sur les virements.
03:38Donc on a un certain nombre d'organisations
03:40qui avaient déjà eu des tentatives de fraude au président
03:43et qui ont mis en œuvre des processus pour se protéger contre ce type de menace.
03:46Donc ça veut dire qu'on est un petit peu préparé quand même,
03:49aujourd'hui, à l'arrivée des deepfakes, c'est ça que vous nous dites ?
03:51Oui, sauf qu'en fait, les attaquants sont toujours très créatifs.
03:54Et donc là, on parle d'un cas qui est la fraude au président.
03:56Seulement, le fait d'utiliser une fausse voix ou une fausse vidéo,
03:59ça peut être utilisé à d'autres types de fraudes
04:01que simplement l'arnaque au président
04:03pour tout simplement réussir à rentrer dans l'organisation.
04:06Qu'est-ce que vous conseillez aujourd'hui alors ?
04:07Oui.
04:08Alors, il y a ce qu'on vient d'indiquer sur les doubles signatures, vérifications.
04:13Mais globalement, c'est surtout relever son seuil de vigilance
04:15et qu'on donne à des demandes qui sont urgentes, anormales,
04:18effectivement, d'aller revérifier, de partager ses doutes avec ses collègues.
04:21Et globalement, au niveau de l'organisation,
04:23c'est ce qu'on fait nous aujourd'hui,
04:23c'est sensibiliser tous les utilisateurs de l'organisation
04:26à ce type de risque,
04:27en leur montrant justement à quel point c'est élaboré
04:29et quel type de fraude peuvent être élaborées
04:31pour relever son seuil de vigilance
04:33et le moment venu, quand on est confronté à l'attaque,
04:35avoir les bons réflexes.
04:36Et vous constatez une différence avant et après la sensibilisation sur les pratiques ?
04:41Oui, tout à fait.
04:41Alors souvent, pour que les sensibilisations soient le plus efficaces possible,
04:44il faut marquer les esprits.
04:46Donc justement, ça nous est arrivé dans des entreprises
04:48d'aller réaliser un deep fact, par exemple, du PDG
04:50et d'utiliser cette vidéo en communication interne
04:53pour montrer à quel point, du coup, c'était réaliste.
04:55Et quand certains collaborateurs n'ont pas fait la différence
04:58et ont cru que c'était vraiment un de leurs dirigeants,
05:00ils se sont dit, voilà, ça peut m'arriver demain
05:01avec un appel, avec un appel en visio.
05:03Là, je me suis fait avoir.
05:05Donc, il faut vraiment que je relève mon seuil de vigilance.
05:07Bon, si je reçois des mots de passe sur l'Indic,
05:09c'est que, voilà, il faut vraiment qu'on relève notre niveau de vigilance.
05:13Merci beaucoup, Jean-Baptiste Artignon.
05:14Je rappelle que vous êtes le CIO et cofondateur de Blue Secure.
05:18Merci encore.
05:19Nous, on passe à l'interview RSSI.
05:21CIO et cofondateur de Blue Secure
Commentaires