25 millions de dollars perdus à cause de l’IA

Pour l'employé d'une multinationale de Hong Kong, les dernières semaines ont été sacrements étranges. Le directeur financier de sa société lui a indiqué par courriel qu'il devait effectuer un transfert d'argent et qu'il l'appellerait par vidéoconférence pour lui expliquer les tenants et les aboutissants de la transaction. Comme un bon soldat, l’employé s'est exécuté et a participé, au cours d'une semaine, a plusieurs vidéoconférences avec le directeur financier et d'autres responsables de l'entreprise. Lors de celles-ci, il lui a été ordonné d'effectuer plusieurs virements pour un montant total de 200 millions de dollars Hong Kong, soit 25,6 millions de dollars.

Le problème ? Le directeur financier n'était pas le vrai directeur financier, mais un deepfake. Et il en était de même pour le reste des cadres présents à ces réunions. Comme le souligne le South China Morning Post, lorsque l'employé s'est rendu compte de l'escroquerie, il était trop tard et l'argent avait déjà été transféré. Il a ensuite contacté la police, qui lui a confirmé que l'escroquerie avait été réalisée en recréant numériquement plusieurs dirigeants de l'entreprise.

Une escroquerie de haut niveau

Comme vous l’aurez compris, toutes les personnes présentes lors des appels vidéo, à l'exception de l'employé, étaient des « deepfakes ». La police n'a pas donné de détails sur l'entreprise et les employés impliqués. Le surintendant principal de la police de Hong-Kong, Baron Chan Shun-ching, explique que d’autres cas similaires avaient déjà été rapportés, mais que c’est bien la première fois que toutes les personnes d’une réunion étaient fausses. D'après les déclarations recueillies par la police, les employés qui participaient à l'appel ressemblaient aux personnes réelles que l'employé avait reconnues. Selon le responsable de l’enquête : « Ils ont utilisé la technologie deepfake pour imiter la voix de leurs cibles en lisant un script ». Les vidéos des cadres recréées à l'aide de cette technologie ont été réalisées à partir de vraies vidéos accessibles au public.

Crédit photo : Malte Helmhold (Unsplash)

Pendant la vidéoconférence, les fraudeurs ont demandé à l'employé de se présenter, mais n'ont pas interagi avec lui : ils lui ont simplement donné des ordres et la réunion s'est terminée brusquement. À partir de ce moment-là, ils sont restés en contact avec l'employé par le biais de courriels, d'appels personnels et de messages. Les escrocs ont tenté la même chose avec deux ou trois autres employés au total, mais nous n'en savons pas plus sur ces tentatives et aucune arrestation n'a eu lieu jusqu'à présent.

Ce type d'usurpation d'identité à l'aide de voix IA clonées constitue déjà une menace inquiétante, mais les choses se compliquent encore avec ces appels vidéo dans lesquels nous pouvons également voir la personne et où tout semble donc encore plus réel. Bien qu'il existe des moyens de les détecter, il est de plus en plus difficile de le faire.