Dupé par le deepfake de son supérieur alimenté par l’IA, un employé a envoyé 25 millions de dollars à un voleur. L’assaillant l’avait invité dans une réunion en vision où l’identité de ses collègues était usurpée. Il était le seul humain de l’appel.
- Dupé par le deepfake basé sur l’IA, l’employé d’une multinationale à Hong-Kong a envoyé 25 millions de dollars à un voleur
- L’assaillant l’a invité dans un appel où tous ses collègues, dont son supérieur, ont eu leur identité usurpée par l’IA
- Mis en confiance par le visage de son supérieur, l’employé a procédé à plusieurs virements
- Le pirate a sans doute nourri son IA pendant des mois pour effectuer cette attaque
Les dangers du deepfake n’ont rien de nouveau. Les autorités préviennent régulièrement à ce propos et même le visage des célébrités est usurpé pour diffuser des virus. L’histoire du jour est à peine croyable puisque cette technologie a permis à un assaillant de dérober… 25 millions de dollars !
À lire > L’identité de Joe Biden a été usurpée par l’IA pour inviter les électeurs à ne pas voter
Le seul humain dans une réunion visio peuplée de robots
Le deepfake avait déjà permis à quelqu’un de dérober 600 000 euros mais là, ça va plus loin. L’employé d’une grande entreprise à Hong-Kong s’est fait avoir pendant un appel professionnel en visio où toutes les personnes présentes n’étaient pas réelles, sauf lui. Il s’agissait de collègues dont l’identité a été usurpée par l’IA pour le mettre en confiance.
Lors de cette réunion, il lui a été demandé par un supérieur d’effectuer plusieurs virements bancaires à hauteur de 25 millions de dollars, en tout. Mis en confiance par des visages familiers de l’entreprise, l’employé n’a fait qu’obéir aux ordres. Mais ne pensez pas que c’est à la portée de tous, loin de là.
Pour réussir à usurper l’identité des collègues de l’employé, le pirate (ou les pirates) s’est basé sur des vidéos de salariés collectés pendant de longs mois, sans aucun doute, pour nourrir son intelligence artificielle. Entre le visage et la voix, le commanditaire a fait beaucoup d’efforts pour ce casse spectaculaire effectué à distance.
Le commanditaire de ce vol est d’autant plus malin qu’il a réussi à inviter l’employé en question à une réunion via un faux mail. Malheureusement, c’est après les faits que ce dernier a compris la supercherie en s’adressant aux personnes soi-disant présentes lors de l’appel.
Le deepfake, futur danger pour les petites et grosses entreprises ?
Cette histoire alerte sur les dangers et dérives de l’IA qui ne cesse de se perfectionner à une vitesse folle. Les attaques risquent de prendre une nouvelle ampleur ces prochaines années, il ne fait aucun doute que les employés doivent être formés. Notamment dans les secteurs qui brassent beaucoup d’argent. L’entreprise hongkongaise visée est une multinationale, le pirate ne l’a pas sélectionnée au hasard.
Mais il faudra aussi s’attendre à ce que, comme les ransomwares, les petites structures soient de plus en plus visées car moins protégées. Plusieurs petites sommes collectées permettent d’obtenir un gros butin.
