.jpg)
Les exploits de type Business Email Compromise (BEC) sont depuis longtemps l’un des favoris des acteurs malveillants qui cherchent à accéder aux réseaux d’entreprise par l’intermédiaire de leur personnel. L’idée est simple : utiliser de faux courriels pour inciter les employés à envoyer de l’argent ou des informations en usurpant l’identité d’une personne en position de force. Il s’agit de un vecteur d’attaque de longue date qui cible les entreprises depuis plus de dix ans.
Alors que les employés sont devenus plus avertis face à ce type d’attaque, les acteurs malveillants ont renforcé leur jeu avec une nouvelle arme dans l’arsenal : le deep fake phishing basé sur l’intelligence artificielle (IA).
Un deepfake est une simulation de la voix et/ou de l’image d’une personne réelle et connue. Les deepfakes peuvent être efficaces là où d’autres attaques d’ingénierie sociale échouent. Même les personnes bien formées pour se méfier des courriels entrants peuvent ne pas considérer les mêmes risques lorsque la communication semble provenir d’une source digne de confiance. Après tout, ils ne savent peut-être pas que ce qui semble être un extrait sonore d’un collègue de confiance, ou même un extrait vidéopeut ne pas être authentique.
À mesure que la technologie deepfake se répand, ces types d’attaques deviendront de plus en plus fréquents en 2023, et les implications en termes de cybersécurité sont sérieuses. Par exemple, l’un des principaux problèmes pour les experts en identité est le chatbot d’IA ChatGPT et son potentiel – en combinaison avec la synthèse vocale pilotée par l’IA – de créer et d’imiter avec précision des voix légitimes pour produire des fausses identités de plus en plus crédibles. L’IA générative n’en est qu’à ses débuts, mais même à ce stade, elle a bouleversé les entreprises et les organisations, du monde universitaire au gouvernement. Il ne fait aucun doute que la technologie va progresser et que l’IA générative va s’imposer dans le monde entier. les mauvais acteurs en tireront parti.
Comment les Deepfakes se font-ils passer pour des identités légitimes ?
Pour comprendre pourquoi les deepfakes sont si efficaces, il est essentiel de traiter l’identité comme le nouveau périmètre de sécurité. Ce périmètre, qui n’est plus constitué par les murs des bureaux et protégé par du matériel sur site, est désormais composé de tous les humains et de toutes les machines autorisés à accéder au réseau de l’entreprise, où qu’ils se trouvent. Dans la nouvelle réalité du travail à distance, il peut s’agir de n’importe quel endroit. Ce paradigme offre beaucoup plus de flexibilité, mais cette flexibilité s’accompagne de faiblesses potentielles : lorsque les personnes ne sont pas ensemble et ne communiquent pas dans l’espace physique, de mauvais acteurs exploitent ce modèle distribué avec des usurpations d’identité sophistiquées pour se voir accorder un accès indu.
Prenons les formes les plus omniprésentes de communication d’entreprise à distance. Pratiquement tous les s’appuie sur le courrier électronique et la vidéoconférence comme formes fondamentales de communication, et cette dépendance n’a fait que croître à l’ère du travail hybride.
Les cybercriminels sont conscients de cette dépendance et ont appris à déployer plusieurs tactiques pour surmonter la confiance établie à partir d’un canal traditionnellement fiable où l’identité n’était pas mise en doute. Ils peuvent s’infiltrer dans des modes de communication traditionnellement fiables, en utilisant leur statut bien ancré dans l’entreprise à des fins malveillantes.
Le terme “deepfake” vient de la technologie sous-jacente, “deep learning”, qui est une forme d’IA. La technologie Deepfake permet aux utilisateurs de créer des des usurpations d’identité d’une précision étonnante. Dans l’actualité, nous voyons des exemples d’imitations profondes concernant des célébrités ou des hommes politiques, mais tout le monde peut être une cible. Par exemple, un responsable des relations publiques de Binance a affirmé que des cybercriminels avaient créé un “faux” hologramme d’IA à son effigie pour escroquer des projets de crypto-monnaie par le biais d’appels vidéo Zoom.
Comment ces attaques fonctionnent-elles ? Les acteurs malveillants fabriquent des autoencodeurs – une sorte de réseau neuronal avancé – qui analysent les vidéos et les fichiers vocaux, recueillant des images et des enregistrements d’individus afin d’apprendre leurs caractéristiques et attributs distinctifs. Ils rassemblent ensuite ces éléments dans des images, des enregistrements vocaux et des vidéos qui semblent extrêmement fidèles à la réalité. Ces “deepfakes” sont ensuite utilisés dans le cadre d’escroqueries d’ingénierie sociale, où l’auteur les utilise pour usurper l’identité d’une personne.
Les origines : Comment l’hameçonnage nous a amenés à nous méfier des identités
Si les attaques de type “deepfake” s’appuient sur une nouvelle technologie et sont relativement récentes, les usurpations d’identité sont loin d’être nouvelles. Le phishing, bien sûr, est l’une des escroqueries les plus anciennes de l’ère Internet, et le Bureau fédéral d’enquête des États-Unis a inventé le terme “Business Email Compromise” (BEC) pour décrire une forme spécifique d’attaque par spear-phishing. Dans une attaque BEC, l’auteur se fait passer pour une personne légitime au sein de l’organisation ou de son réseau afin de tromper le destinataire et de l’amener à verser des fonds à un compte ou à une personne non autorisés. C’est ce que les attaques BEC ont en commun avec leur cousin moderne, les deepfakes : la partie importante de l’attaque BEC consiste à usurper l’identité d’une personne de confiance pour escroquer un employé peu méfiant. Pour le reste, il s’agit simplement d’adapter la stratégie d’ingénierie sociale de base aux dernières plates-formes utilisées. Les “deepfakes” s’appuient simplement sur cette idée initiale, mais il y a eu, et il y aura, de nombreux autres vecteurs.
Lorsque le FBI a inventé ce terme, le courrier électronique était le principal vecteur de cette attaque. Par la suite, il y a eu des campagnes similaires où l’acteur malveillant utilisait les textos téléphoniques, les messages vocaux, les plateformes de chat comme Slack, et maintenant les plateformes de vidéoconférence comme Skype et Zoom. Comme ces attaques ne sont pas basées sur le courrier électronique, on peut dire qu’elles ne sont pas techniquement des BEC. Mais elles constituent la nouvelle génération de la même stratégie de base.
Identités cryptographiques incassables
Le BEC est un vecteur d’attaque extrêmement efficace : le FBI estime que ces attaques ont coûté 43 millions de dollars au cours des dernières années. Les “deepfakes” ne font qu’aggraver le problème de la confiance, en dissolvant davantage les limites d’une identité fiable et en incitant les destinataires à faire confiance à des communications qu’ils ne devraient pas. La seule solution consiste à appliquer une méthode infaillible pour authentifier, confirmer et sécuriser les identités – une méthode qui ne repose pas sur l’intuition humaine.
Heureusement, les certificats numériques constituent une stratégie éprouvée d’authentification de l’identité dans les environnements professionnels modernes. Ces certificats sont à la base des stratégies modernes de défense en profondeur telles que l’accès au réseau sans confiance et le périmètre défini par logiciel.
En utilisant des plateformes de gestion du cycle de vie des certificats pour automatiser le déploiement, la surveillance et le renouvellement de ces certificats, les entreprises seront en bonne position pour restaurer la confiance, malgré les efforts des acteurs malveillants et leurs outils d’attaque de plus en plus avancés.
Tim Callan est directeur de l’expérience chez Sectigo
Tu peux aussi lire :
Construire une stratégie de sécurité axée sur l’identité:
___________________________________________________________________________________________
Si tu aimes ce site web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel : £5 par mois ou £50 par an. S’inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé, organisé et accessible
