Les fausses vidéos qui mettent dans la bouche de personnalités des propos qu’elles n’ont jamais tenus prêtent généralement à rire. Surtout sur les réseaux sociaux. Une belle illustration est celle de la vidéo de l’ancien président Barack Obama. Mais le deepfake amuse aussi les escrocs informatiques. Une société allemande l’a appris à ces dépens. La fausse voix synthétisée du CEO d’une entreprise a permis à des arnaqueurs futés de détourner 220.000 euros. Et cette technique semble effrayer les géants du web.

Deepfake -traduit en français par hypertrucage- est un mot-valise créé à partir des mots anglais ‘deep learning’et ‘fake’. Il a fait son entrée dans le vocabulaire geek à la fin 2017 lorsque des célébrités semblaient apparaître dans des clips pornographiques. Le vrai danger des deepfakes est moins la manipulation des images qui a toujours existé que la possibilité de rendre cette manipulation accessible au plus grand nombre. Et c’est à cela que l’on assiste aujourd’hui.

C’est le Wall Street Journal qui a révélé cette  » fraude au président  » réalisée en Europe et particulièrement bien préparée. Pour convaincre l’employé d’effectuer un versement, les pirates ont utilisé une version synthétisée de la voix du patron de l’entreprise. Une bonne imitation semble-t-il, puisque le virement a été illico dirigé vers un compte externe à l’entreprise. Une seconde tentative d’extorsion auprès du même groupe n’a toutefois pas été couronnée de succès. Chat échaudé craint l’eau froide.

Renseignements pris, auprès de la cyber crime unit belge et de l’éditeur de logiciels de sécurité Eset, il n’y aurait pas eu, à ce jour, de cas semblable en Belgique, mais une tentative aurait été signalée voici un an en France. Dans un reportage de la BBC, Symantec, une autre entreprise de sécurité dit pourtant avoir traqué au moins trois attaques fomentées contre des entreprises privées utilisant l’identité du patron pour obtenir des transferts d’argent. Et si ce n’était qu’un début ?

La version technologique d’une fraude ancestrale

Pour Jean-Michel Merliot, responsable informatique chez Eset, cette nouvelle escroquerie, basée sur  » la fraude au président  » est l’une des premières tentatives qui atteint son but. Selon lui, ce n’est finalement que la version technologique d’une fraude ancestrale basée sur l’imitation vocale jusqu’alors réservée aux spécialistes du genre. « Techniquement c’est assez simple à faire. Générer une voix qui ressemble à celle d’une personne est facile, mais dans certains cas la qualité laisse à désirer.« 

De l’analyse de programme à l’analyse de données

Selon lui, le Deepfake s’inscrit dans la même problématique que la retouche d’image.  » Il existe des algorithmes statistiques qui permettent de voir si une photo a été modifiée. On distingue que la structure d’une couleur est trop régulière pour être vraie.  » A l’avenir, il en ira de même pour la vidéo et le son. Mais, explique l’expert en sécurité, il s’agit non plus de l’analyse de programmes, qui est le fonds de commerce des développeurs d’antivirus, mais de l’analyse de donnée.  » Là, on va devoir s’y mettre « , résume Jean-Michel Merliot pour qui ce nouveau type de piratage permettrait, par exemple, de contourner les procédures de protection d’accès basées sur le visage ou la voix. Mais le plus grave pourrait être la capacité des hackers de détruire la réputation d’une personne en lui faisant tenir des propos indignes.

Zao et FacApp : les applis qui ne font plus rire

Mais déjà, la machine à Deepfake semble mise en route. Le 30 août, dernier, l’application chinoise ZAO a donné une nouvelle dimension à la technologie Deepfake en permettant le téléchargement gratuit (sur l’App store chinois uniquement) d’un logiciel permettant de remplacer n’importe quel visage d’une photo par celle de l’internaute. Une simple photo numérique permet de calquer sa propre photo sur celle d’un acteur connu. Très vite, Zao a atteint les sommets en termes de téléchargements.

Avec un sérieux bémol, puisque les conditions d’utilisation de l’appli précisent que les utilisateurs accordent à ZAO, le droit d’utiliser leurs photos et de vidéos synthétisées. Ce qui a suscité une levée de boucliers des utilisateurs, faisant chuter l’appréciation de l’appli à 1,9 étoile sur 5.

Un problème qui rappelle celui soulevé par l’application russe FaceApp à la fin du mois de juillet. L’application permet ici de  » vieillir  » un individu sur une photo grâce à des filtres. Même succès auprès des internautes, mais même critiques sur le manque de protection des données personnelles offertes par l’application.

La manipulation audio fait des émules

La manipulation audio est loin d’être anecdotique. Des applications maîtrisent déjà synthèse vocale partir d’une suite d’extraits audio fournis c’est le cas de la société Lyrebird, qui permet de créer une copie vocale en quelques minutes. Il suffit de lire à haute voix 30 extraits de texte en anglais. Il est ensuite possible à un escroc de faire lire n’importe quel texte à l’avatar vocal. C’est aussi le cas d’un générateur de texte baptisé GPT2, que ces développeurs ont toutefois décidé de ne pas rendre la version complète du logiciel.

Les Gaffa s’emparent de l’affaire

Plus encore que l’arnaque allemande, les géants du net craignent les débordements d’applis chinoises telle que Zao.

Ainsi Facebook et Microsoft ont décidé d’investir 10 millions de dollars pour répondre au « défi de détection Deepfake », peut-on lire dans le Financial Times. La mission de ce projet est de stimuler la création d’outils capables de repérer des vidéos manipulées. Les deux entreprises se sont associées à des chercheurs en intelligence artificielle d’Oxford et Berkeley et d’autres pour détecter les vidéos dites « profondes », qui menacent de créer des campagnes de désinformation de plus en plus réalistes.

Avec, en prime, un nouveau partenariat au pays de l’intelligence artificielle, une coalition qui compte deux autres Gafa parmi ses membres : Google et Apple, et les universités Cornell Tech et MIT. L’objectif est de concevoir des systèmes capables de détecter les légères imperfections d’une image falsifiée pour mettre en garde les internautes contre des messages détournés de la réalité. La principale crainte est de voir arriver sur les réseaux sociaux des vidéos ou des sons capables de tromper les électeurs sur les messages des politiciens. Mike Schroepfer, directeur technique chez Facebook, évoque sur son blog la crainte de voir les techniques de « deepfake » détruire la crédibilité des informations publiées en ligne.

Rien, jamais, ne remplacera le bon sens

C’est peut-être une nouvelle génération d’arnaque que la webosphère découvre désormais. Un monde où le détournement d’argent pourrait devenir moins grave que le détournement de réputation. Difficile, après avoir subi l’attaque d’une vidéo mensongère, de prouver sa bonne fois. Surtout lors d’une campagne électorale par exemple.  » Mentez, mentez, il en restera toujours quelque chose  » disait Voltaire. Et face à une ‘arnaque au président’, il n’y a qu’une arme efficace, conclut Jean-Michel Merliot :  » c’est la technique du bon sens, il faut pouvoir dire non à son patron, surtout s’il demande de verser une somme importante sur un compte à l’étranger « .

Source : RTB par Jean-Claude Verset