La fraude financière utilisant l’hypertrucage, appelé deepfake en anglais, est maintenant bien présente au Québec. Au moins huit victimes ont été signalées ici depuis l’été dernier, avec des pertes de « dizaines de milliers de dollars » pour certaines. Les voix trafiquées grâce à l’intelligence artificielle d’un haut responsable d’entreprise ou d’Elon Musk sont les appâts préférés des fraudeurs. La meilleure parade n’a rien de sophistiqué : il faut être méfiant.
Facile de trouver des vidéos truquées d’Elon Musk sur le web. L’excentrique milliardaire à la tête de Tesla, de SpaceX et du réseau social X est devenu le modèle préféré des fraudeurs depuis que Tesla a annoncé l’achat de bitcoins pour une valeur de 1,5 milliard US en février 2021. La même année, il a en outre fait exploser la valeur d’une autre cryptomonnaie, le dogecoin, en annonçant qu’elle pourrait servir à payer un billet dans l’espace.
Résultat : des vidéos comme celle-ci, où Elon Musk promet un rendement farfelu de 30 % par jour, ou d’autres où il promet de donner deux bitcoins en échange d’un seul circulent dans tous les recoins du web.
En mai 2021, la Federal Trade Commission (FTC), le gendarme américain en matière de fraude financière, a rapporté 7000 victimes d’investissements frauduleux liés aux cryptomonnaies en moins de six mois, pour des pertes se chiffrant au moins à 80 millions US.
« Une réalité chez nous »
Au Québec, ce qui est considéré comme la première utilisation de l’hypertrucage pour la fraude financière a été rapportée par les médias en juillet dernier. On pouvait y entendre la journaliste Anne-Marie Dussault faire la promotion d’un site de jeu en ligne promettant un gain à tout coup. Le 21 novembre dernier, l’Autorité des marchés financiers (AMF) y allait d’un avertissement officiel : des fraudeurs s’activent pour « recréer avec une précision déconcertante la voix de personnalités publiques bien connues ou de vos proches ».
PHOTO ARCHIVES LA PRESSE
Sylvain Théberge, porte-parole de l’Autorité des marchés financiers
Les premiers cas signalés à l’AMF datent de l’été dernier. « Nous avons jusqu’ici six signalements liés clairement à de l’hypertrucage, a précisé à La Presse le porte-parole Sylvain Théberge. L’hypertrucage est maintenant une réalité chez nous. »
Ces signalements sont confidentiels, de sorte que l’AMF ne peut donner de plus amples détails. Tout au plus M. Théberge indique qu’« Elon Musk est le nom principalement cité comme ayant fait l’objet d’hypertrucage de la part de fraudeurs ». « Des gens nous ont contactés pour nous indiquer qu’ils avaient investi des sommes après avoir vu des vidéos, ajoute-t-il. On parle de dizaines de milliers de dollars pour certains. »
-
CAPTURE D’ÉCRAN FOURNIE PAR L’AMF
Le PDG de Tesla et SpaceX, Elon Musk, est devenu en 2021 le modèle préféré des fraudeurs, qui utilisent l’hypertrucage en l’associant à des investissements bidons dans les cryptomonnaies.
-
CAPTURE D’ÉCRAN FOURNIE PAR L’AMF
Le PDG de Tesla et SpaceX, Elon Musk, est devenu en 2021 le modèle préféré des fraudeurs, qui utilisent l’hypertrucage l’association à des investissements bidons dans les cryptomonnaies.
-
CAPTURE D’ÉCRAN FOURNIE PAR L’AMF
Le PDG de Tesla et SpaceX, Elon Musk, est devenu en 2021 le modèle préféré des fraudeurs, qui utilisent l’hypertrucage l’association à des investissements bidons dans les cryptomonnaies.
-
CAPTURE D’ÉCRAN FOURNIE PAR L’AMF
Le PDG de Tesla et SpaceX, Elon Musk, est devenu en 2021 le modèle préféré des fraudeurs, qui utilisent l’hypertrucage l’association à des investissements bidons dans les cryptomonnaies.
Fraude du président 2.0
Chez Norton Rose Fullbright, un cabinet international d’avocats avec une importante antenne au Canada, on a relevé un autre phénomène : une version sophistiquée grâce à l’hypertrucage de la fameuse « fraude du président ». Cette fraude consiste essentiellement à pirater le compte courriel d’un dirigeant d’entreprise et à envoyer au service comptable une demande frauduleuse de transfert de fonds. Le « dirigeant », en fait le cyberpirate, prétexte d’un déplacement ou de communications difficiles pour ne pas utiliser un téléphone, pour cette demande toujours urgente.
La nouveauté, explique Imran Ahmad, chef, technologies et cybersécurité, au cabinet Norton Rose Fulbright Canada, c’est que la demande est renforcée par un message vocal fabriqué de toutes pièces laissé en dehors des heures de bureau.
PHOTO FOURNIE PAR NORTON ROSE FULBRIGHT CANADA
Imran Ahmad, chef, technologies et cybersécurité, au cabinet Norton Rose Fulbright Canada
La personne qui reçoit ça, à partir d’un courriel valide et avec un message où elle ne peut percevoir que la voix qui a été trafiquée par l’IA [intelligence artificielle], elle fait le transfert et l’argent est parti.
Imran Ahmad, chef, technologies et cybersécurité, au cabinet Norton Rose Fulbright Canada
Deux cas au Québec, six au total au Canada, ont été rapportés par des clients de Norton Rose Fulbright Canada dans les six derniers mois. « Je pensais pendant longtemps que c’était de la théorie. Je m’attends à ce que ce soit de plus en plus répandu dans les prochaines années. »
Encore artisanal
Techniquement, il est probable que les cyberpirates ont enregistré un échantillon de voix du dirigeant lors d’un appel téléphonique malicieux. De quelle longueur ? La littérature scientifique n’est pas formelle à ce sujet, certaines expériences rapportant des imitations convaincantes avec seulement quelques secondes d’enregistrement, le consensus tournant plutôt autour de 2 à 15 minutes.
« Les appels qu’on reçoit parfois sur notre cellulaire, à la maison, où tu réponds “Allô” sans que personne ne parle, ça peut être ça : on cherche essentiellement à capter ta voix », affirme M. Ahmad.
David Décary-Hétu, chercheur à l’École de criminologie de l’Université de Montréal et expert de la collecte de données en ligne et du piratage informatique, se veut d’emblée rassurant : on est loin d’une « vague déferlante », d’abord parce que la méthode utilisée requiert beaucoup de travail.
PHOTO HUGO-SÉBASTIEN AUBERT, ARCHIVES LA PRESSE
David Décary-Hétu, chercheur à l’École de criminologie de l’Université de Montréal et expert de la collecte de données en ligne et du piratage informatique
Les délinquants n’ont pas automatisé la collecte d’échantillons de voix et de vidéos pour appeler des proches et faire des fraudes. [...] Pour le moment, cela reste “artisanal”, si on veut, et donc nous sommes un peu protégés.
David Décary-Hétu, chercheur à l’École de criminologie de l’Université de Montréal et expert de la collecte de données en ligne et du piratage informatique
Il reconnaît cependant que ce problème pourrait devenir important avec l’évolution des outils d’hypertrucage. « La technologie n’est pas indétectable, mais elle est difficilement détectable en utilisant les derniers outils. Tout dépend du temps qu’on a pour se préparer et du matériel qui est accessible publiquement sur la personne. »
Les parades
Si tout le monde ne dispose pas de l’attirail informatique pour détecter l’hypertrucage, tous peuvent profiter de quelques conseils de base pour mettre les fraudeurs en échec, rappelle Sylvain Théberge, de l’AMF. Au premier plan : vérifier que votre interlocuteur a le droit de vendre des produits financiers au Québec, en visitant le registre maintenu par l’AMF.
Consultez le Registre des entreprises et des individus autorisés à exercer« Ne communiquez jamais vos informations personnelles et ne transmettez pas d’argent avant d’avoir d’abord validé la fiabilité de votre interlocuteur, précise le porte-parole. Un conseil : raccrochez rapidement et indiquez à votre interlocuteur que vous allez le recontacter en utilisant ses coordonnées officielles affichées au Registre. »
Imran Ahmad donne un conseil semblable pour ne pas tomber dans la fraude du président version 2.0. « Ils exploitent la vulnérabilité humaine, notamment le fait que beaucoup travaillent maintenant en mode hybride. Je rappelle à mes clients de respecter le protocole interne : prendre le téléphone et s’assurer que c’est bien la personne en autorité qui demande le transfert. »
Qu’est-ce que l’hypertrucage ?
Le terme « hypertrucage » a été proposé en février 2019 par l’Office québécois de la langue française (OQLF) pour traduire le concept de deepfake. Cet outil informatique est né d’une branche de l’intelligence artificielle, l’apprentissage profond, et permet de créer de fausses œuvres audiovisuelles avec des outils facilement disponibles sur le web, conçus en entraînant des réseaux de neurones. Le réalisme de ces œuvres varie énormément selon la qualité des échantillons, l’habileté et la puissance des outils. Même si les études sur leur efficacité « ne sont pas unanimes », conclut une note récente du Service canadien du renseignement de sécurité (SCRS) publiée sur le site du gouvernement fédéral, leur évolution rapide « rendra bientôt les hypertrucages impossibles à distinguer des contenus authentiques ». Selon diverses sources, entre 92 % et 98 % des hypertrucages sur l’internet étaient pornographiques. L’un des premiers exemples rapportés est celui de l’actrice Gal Gadot en 2017, dont le visage a été ajouté à une vidéo pornographique par un utilisateur d’un forum Reddit se faisant appeler deepfakes.
-
- 100 000
- Nombre de modèles informatiques répertoriés pouvant produire des hypertrucages ; 3000 servent à les détecter.
Source : KPMG, rapport Deepfakes : Real Threats, 2023- 95 820
- Nombre de vidéos hypertruquées offertes sur l’internet en 2023. Il s’agit d’une hausse de 550 % depuis 2019.
Source : Home Security Heroes, State of Deepfakes 2023