Deepfakes : qu’est-ce que c’est et comment les reconnaître ?

Comment les identifier et s’en prémunir, en particulier lorsqu’on est une PME ? net+ vous propose un tour d’horizon de la problématique.

Les progrès fulgurants de l’intelligence artificielle ont rendu possible l’émergence d’outils capables de créer toutes sortes de contenus plus vrais que nature. Certains d’entre eux ont pour vocation de tromper leur destinataire, c’est par exemple le cas des deepfakes. Ces vidéos, images ou enregistrements audio modifiés ou générés entièrement par l’IA imitent à la perfection des personnes réelles, au point même de tromper certains yeux avertis.

Initialement perçus comme de simples curiosités technologiques, les deepfakes sont aujourd’hui un véritable enjeu, y compris pour les PME. Leur accessibilité croissante, couplée à leur qualité toujours plus convaincante, en fait un vecteur de désinformation redoutable et un outil de plus à la panoplie des cybercriminels. À l’heure où la fiabilité des contenus numériques est plus que jamais mise à mal, il est crucial de comprendre ce phénomène, notamment pour préserver sa cybersécurité et sa réputation.

Le mot deepfake est la contraction de deep learning (une technologie d’apprentissage boostée à l’IA) et fake (faux). Derrière ce terme se cache une méthode sophistiquée de manipulation numérique, capable de recréer des visages, des voix ou des comportements humains à partir d’un entraînement sur de larges volumes de données. Si l’on pense immédiatement aux vidéos truquées, les deepfakes concernent en réalité tout un éventail de supports : messages vocaux, images, avatars numériques, ou même textes générés pour imiter le style d’écriture d’une personne ou d’une institution.

Certains exemples ont fait grand bruit par le passé : en 2018, une vidéo où Barack Obama semble insulter Donald Trump sème le doute sur la toile, jusqu’à ce que l’on révèle qu’il s’agit en réalité d’un deepfake. En 2019, en Allemagne, une entreprise subit une escroquerie après que des cybercriminels ont imité à la perfection la voix du CEO pour exiger un transfert d’argent. Ce genre d’exemples ne relève plus de la science-fiction : ils illustrent une menace bien réelle.

Contrairement à ce que l’on pourrait croire, les deepfakes ne ciblent pas uniquement les grandes entreprises ou les personnalités. Les PME sont elles aussi concernées. Celles-ci sont d’ailleurs souvent plus vulnérables en raison de moyens de protection limités et d’une culture de la cybersécurité parfois lacunaire. Les risques des deepfakes pour les PME sont les suivants : 

• Escroqueries ciblées : Messages vocaux imitant un dirigeant pour demander des transferts d’argent ou encore photos montées utilisées à des fins de chantage, les cybercriminels peuvent intégrer les deepfakes dans des scénarios d’ingénierie sociale convaincants.
   
• Désinformation et atteinte à la réputation : Une vidéo truquée d’un employé, un discours falsifié attribué à une entreprise, un message audio malveillant... Ce type de contenu peut être diffusé et entacher la crédibilité d’une PME.

Les deepfakes sont toujours plus réalistes, mais certains signes permettent heureusement encore de les détecter. Soyez attentifs à la présence d’un ou de plusieurs de ces différents types d’indices : 

• Indices visuels (dans les vidéos)
  1. Clignements des yeux anormaux (trop rares ou trop mécaniques)
  2. Mouvements des lèvres en décalage par rapport à la parole
  3. Détails incohérents dans les arrière-plans
  4. Transitions floues, effets étranges sur les cheveux ou les mains
      
• Indices auditifs (dans les enregistrements vocaux)
  1. Voix légèrement métallique ou robotique
  2. Intonations ou cadence peu naturelles
  3. Distorsions à certains moments
      
• Indices contextuels
  1. Contenu provenant d’une source inconnue ou peu fiable
  2. Contenu émotionnellement chargé
  3. Message qui semble inhabituel venant de cet émetteur

Il est également possible d’avoir recours à des solutions techniques pour détecter les deepfakes. Des programmes ou outils en ligne comme Deepware ou Sensity peuvent analyser des fichiers vidéo ou audio et détecter de potentielles manipulations à l’IA.

Les PME peuvent et devraient se protéger face à ce phénomène. Voici quelques recommandations concrètes pour ce faire :

• Former les équipes : Comme pour tout enjeu de cybersécurité, il convient de sensibiliser et de former l’ensemble des collaborateurs de l’entreprise. Les failles de sécurité proviennent souvent de facteurs humains, chacun doit donc savoir que faire en cas de doute.
   
• Vérifier les sources : Avant de réagir ou de diffuser un contenu suspect, mieux vaut prendre le temps de le vérifier. Si possible, contactez directement l’émetteur supposé du message via un autre canal.
   
• Consulter des experts : En cas d’incident ou de suspicion, il peut être judicieux de faire appel à un prestataire en cybersécurité. Ces spécialistes pourront analyser le contenu, sécuriser les systèmes et conseiller sur la réaction à adopter.
   
• Rester à jour : L’IA, et les technologies numériques plus généralement, évoluent très rapidement. Se tenir informé des nouvelles avancées, des outils de détection et des pratiques frauduleuses en vogue permet de mieux rester sur ses gardes.
   
• Réagir en cas d’attaque : Si vous êtes victime d’un deepfake, documentez tout : captures d’écran, URL, métadonnées… Contactez ensuite la plateforme concernée pour signaler le contenu, puis déposez plainte auprès des autorités compétentes.

Les deepfakes sont bien plus qu’un simple gadget technologique. Ils incarnent une nouvelle ère de manipulation numérique à laquelle aucune entreprise ne devrait rester aveugle. Pour les PME, la réponse passe avant tout par l'information et la vigilance. Rappelons-le : face à l’intelligence artificielle, l’intelligence