Arnaques dopées à l’IA : faire face

Découverte ces dernières années par le grand public, l’IA générative ne représente pas seulement un risque pour l’information ou la confiance dans les médias. Appliquée aux arnaques en ligne et téléphoniques, elle nourrit des craintes en matière de cybersécurité. Acteurs privés, publics et institutions travaillent déjà à contrer ces nouvelles menaces.

Par Alban Wilfert

L’IA : fausses promesses, vraies arnaques

L’intelligence artificielle permet aux escroqueries de gagner en ampleur et en crédibilité. Les arnaques à la fausse boutique reposent désormais sur des images générées par Midjourney ou DALL-E, empêchant de découvrir la supercherie par la recherche inversée des photos. Jouant de la méconnaissance de l’IA par beaucoup, des escrocs vendent des programmes soi-disant capables de prédire, avec elle, les cours des cryptomonnaies.¹ Un an après l’apparition de ChatGPT, le nombre de mails de phishing aurait augmenté de 1265%² et gagné en vraisemblance grâce aux chatbots WormGPT ou FraudGPT. L’IA générative facilite la tâche des hackers en leur permettant d’« écrire du code malveillant ou d’identifier les systèmes vulnérables », selon Mihoko Matsubara, responsable de la stratégie cybersécurité chez NTT.³ De quoi démultiplier les menaces, notamment des ransomwares.⁴ 70 % des RSSI estimeraient que l’IA va avantager leurs cyberadversaires, et 57 % s’inquiéteraient pour la sécurité des données dans ce contexte.⁵

Le vishing, arnaque reposant sur l’appel téléphonique, s’améliore avec la deep voice, reproduction par IA d’une voix connue de la victime. La « fraude grands-parents », technique déjà éprouvée consistant à appeler des personnes âgées en se faisant passer pour un proche demandant urgemment de l’argent, a déjà fait plus d’un millier de victimes au Canada en 2023. Renforcée par l’IA, cette arnaque redouble de puissance en 2024 au Québec tout comme à l’international, dépassant les barrières linguistiques grâce aux outils de traduction vocale, pour bénéficier in fine au crime organisé, jusqu’au Japon où elle finance les activités des yakuzas.⁶En janvier 2024, de faux JT de TF1 présentés par une vidéo deepfake d’Anne-Claire Coudray promouvaient une application censée faire gagner de l’argent. En particulier, les arnaques au président peuvent rapporter gros. Début février, un employé d’une multinationale hongkongaise transférait non moins de 25 millions de dollars à des escrocs apparaissant, en visioconférence, comme ses collègues.⁷ Au-delà de la prouesse technologique, « il est surprenant qu’un employé puisse prendre une telle décision seul, sans validation à plusieurs étapes. Et cela soulève une problématique de formation de la part des entreprises », souligne Stéphane Chatelain, responsable de la société Trustfull, spécialisée dans le digital footprint et les risques numériques. Confidentialité, distinction des appareils professionnels et personnels, méfiance envers le matériel inconnu… autant de rappels à formuler dès l’embauche et à « rafraîchir » régulièrement. Dans le même temps, l’emploi de passkeys et de technologies retraçant le digital footprint peut aider les entreprises à se prémunir.

Toutefois, « une opération du niveau de technicité de celle de Hong Kong, reposant sur de nombreuses vidéos de chaque personne, représente un investissement financier important mais également beaucoup de temps, qui n’est utile que contre des entreprises ou des Etats. Pour ce qui concerne les particuliers, le phishing s’appuyant sur l’ingénierie sociale est, à ce jour, bien plus rentable », tempère Stéphane Chatelain. Les menaces dites « purement cyber » n’ont pas perdu en efficacité. Fin janvier, le vol de données de 33 millions d’assurés sociaux français reposait sur l’usurpation d’identifiants et de mots de passe de soignants, sans emploi de l’IA.

IA contre IA

Les outils d’IA générative malveillants contournant les filtres antiphishing, le jeu du chat et de la souris pourrait se poursuivre encore longtemps… à moins que l’IA ne soit contrée par l’IA elle-même. Celle-ci est déjà employée contre les arnaques, notamment à travers les applications Onfido ou Finovox. « Des modèles d’IA accessibles aux entreprises peuvent détecter la fraude documentaire, repérer des signaux et apprendre des patterns de fraude », ajoute Stéphane Chatelain. Des initiatives vont plus loin, comme l’IA anti-scam Apate, développée en 2022 par des universitaires australiens menés par Dali Kaafar, professeur à Macquarie University et CEO d’Apate AI. Apate répond aux appels en apparaissant comme la « victime parfaite » mais sans effectuer ce qu’attend le scammer, qui perd du temps et entrave donc sa rentabilité.

Si elle était confrontée à une tentative d’arnaque reposant elle-même sur l’IA, une « course aux armements » s’enclencherait entre IA offensive et IA défensive, obligeant les escrocs à des investissements toujours plus grands, imagine le chercheur. Jusqu’à, potentiellement, dissuader ces arnaques et « casser ce modèle économique ». En décrochant systématiquement, Apate pourrait aussi collecter des renseignements sur les appelants et leurs modes opératoires, et les transmettre rapidement aux institutions financières et étatiques. Ainsi pourrait-on « escroquer les escrocs eux-mêmes », appuie Dali Kaafar.

Législation, innovation et coopération : un triptyque de réponses

Au vu du développement de la criminalité entourant l’IA, les Etats se saisissent de la question sur le plan législatif et judiciaire. Le 31 octobre 2023, un décret de Joe Biden énonçait la nécessité de « protéger les Américains des arnaques et tromperies permises par l’IA » et d’« établir des standards et des pratiques idéales visant à détecter le contenu généré par IA ». Il semblait laisser ministères et agences juger des mesures à prendre.⁸ La Commission fédérale des communications (FCC) a ainsi interdit, en février, les appels faisant usage de voix générées par IA.⁹

Au Vietnam, la messagerie Zalo, très populaire, s’est dotée d’outils d’IA permettant de détecter le recours aux faux documents et photos pour détourner la procédure Know Your Customer et lutter contre les deepfakes.¹⁰ « Lorsqu’un escroc utilise de fausses images de proches de la victime, l’application grâce aux algorithmes d’intelligence artificielle est capable de détecter les vraies photos et de différencier les documents authentiques des créations frauduleuses. », témoigne Zalo. De quoi espérer lutter contre les quelque 350000 cas de fraudes liées à l’usurpation d’identité et 450000 cas de faux documents impliquant des cartes d’identité identifiés par la plateforme sur le seul premier semestre 2023.

Quant à la coopération internationale, elle est une fois de plus l’une des clés du succès face à la criminalité. En novembre 2023, 43 individus appartenant à un réseau d’escrocs qui avaient dérobé 36 millions de dollars à des entreprises asiatiques grâce au deepfake, étaient arrêtés à Dubaï. La police locale avait enquêté sur le gang international avec l’aide de ses homologues hongkongais, singapourien et français.¹¹

Le mois suivant, l’opération HAECHI IV conduite par Interpol, réunissant 34 pays, a permis l’arrestation de 3500 suspects et la saisie de 300 millions de dollars. Une partie avait été obtenue par vishing et sextorsion dopés à l’IA.¹² Interpol a émis une notice mauve afin d’alerter les Etats membres sur les nouveaux modes opératoires d’arnaques employant l’IA, tirant l’alarme internationale. La lutte ne fait que commencer.

1^https://www.cointribune.com/les-escroqueries-a-lia-dans-la-crypto-explosent-alerte-la-cftc/

2^https://slashnext.com/state-of-phishing-2023/

3^https://technews.fr/2024/02/lia-en-2024-inaugure-une-nouvelle-dynamique-de-cybersecurite.html

4^https://www.ncsc.gov.uk/news/global-ransomware-threat-expected-to-rise-with-ai

5^https://www.splunk.com/fr_fr/pdfs/gated/ebooks/ciso-report.pdf

6^https://ici.radio-canada.ca/nouvelle/2044836/intelligence-artificielle-arnaque-urgence-quebec

7^https://www.capital.fr/economie-politique/deepfake-piege-en-visioconference-il-transfert-25-millions-de-dollars-a-des-escrocs-1491622

8^https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/

9^https://droit.developpez.com/actu/353983/La-FCC-juge-illegales-les-voix-generees-par-l-IA-dans-les-appels-automatises-De-mauvais-acteurs-les-utilisent-pour-extorquer-des-membres-de-la-famille-et-desinformer-les-electeurs/

10^https://lecourrier.vn/intelligence-artificielle-lutte-contre-lescroquerie/1195610.html

11^https://www.thenationalnews.com/uae/2023/11/09/dubai-police-arrest-gang-accused-of-using-ai-to-steal-36m/

12^https://www.it-connect.fr/interpol-saisit-300-millions-de-dollars-et-arrete-3-500-cybercriminels/