Ce post fait partie de la série sur les tendances numériques 2021 de G2. Lisez-en plus sur la perspective de G2 concernant les tendances de la transformation numérique dans une introduction de Michael Fauscette, directeur de la recherche chez G2, et Tom Pringle, vice-président de la recherche de marché, ainsi qu'une couverture supplémentaire sur les tendances identifiées par les analystes de G2.
Les entreprises de cybersécurité avancent vers la détection des deepfakes
L'usurpation d'identité des dirigeants par le biais d'attaques de compromission de courrier électronique professionnel (BEC) est déjà un énorme problème et il est sur le point de s'aggraver en raison de la montée des médias manipulés connus sous le nom de deepfakes.
PRÉDICTION
En 2021, il y aura une augmentation des entreprises de cybersécurité entrant dans le secteur de la détection des deepfakes pour aider les industries à combattre cette menace préoccupante.
Attaques d'usurpation d'identité des dirigeants, où nous en sommes : compromission de courrier électronique professionnel (BEC)
Les histoires de BEC, où des cybercriminels usurpent l'identité de cadres de niveau C par e-mail pour amener les employés à divulguer des données sensibles ou à prendre des actions contraires aux intérêts de l'entreprise, sont courantes depuis plusieurs années. Selon ZDnet, la perte moyenne par plainte BEC est de 75 000 $. En comparaison, les rançongiciels ont en moyenne 4 400 $ par plainte.
Attaques d'usurpation d'identité des dirigeants, la prochaine génération : les deepfakes
Les attaques BEC sont efficaces car au lieu de s'appuyer sur une technologie sophistiquée mais malveillante comme les rançongiciels, ces attaques reposent sur l'ingénierie sociale ; elles reposent sur la tromperie. La montée des deepfakes convaincants et trompeurs usurpant l'identité de cadres de niveau C à l'aide de médias manipulés générés avec l'aide de l'intelligence artificielle (IA) rend le problème encore plus terrifiant à combattre.
C'est pourquoi les chercheurs du Dawes Centre for Future Crime à l'University College London ont classé les deepfakes d'usurpation audio et vidéo comme la menace criminelle liée à l'IA la plus nuisible dans une étude publiée en août 2020.
Deepfakes audio et vidéo
true{}{}"Qu'est-ce que les Deepfakes ?""Flex - Blog Text Callout Box 2"4171269"Les deepfakes, parfois connus sous le nom de médias synthétiques, sont des médias manipulés par l'IA d'une manière convaincante et difficile à détecter."
Les criminels ciblant les PDG et autres dirigeants utilisent souvent des deepfakes audio et vidéo manipulés de la ressemblance du dirigeant. De faux enregistrements audio de dirigeants pourraient être utilisés pour demander aux employés d'effectuer des virements ou d'acheter des cartes-cadeaux qui sont dirigées vers les cybercriminels.
Une vidéo deepfake générée en utilisant l'actrice Amy Adams comme original avec le visage de l'acteur Nicolas Cage édité sur le sien. (Source : towardsdatascience.com)
Ce n'est pas seulement de la tromperie, c'est aussi du chantage
Les deepfakes sont également utilisés pour des attaques de réputation d'entreprise ; des ressemblances réalistes de dirigeants d'entreprise peuvent être utilisées pour faire chanter l'entreprise. Si une vidéo deepfake montre un dirigeant sous un jour négatif, comme faisant des remarques embarrassantes ou dommageables en format audio, ou faisant quelque chose de répréhensible ou de violent dans une vidéo, les cybercriminels peuvent menacer de divulguer cette information falsifiée au public à moins qu'une rançon ne soit payée.
Pourquoi les PDG sont de bonnes cibles
Les PDG sont particulièrement vulnérables aux attaques de deepfake car beaucoup d'entre eux s'expriment sur des plateformes publiques, ce qui signifie qu'il existe une riche source d'enregistrements audio et vidéo disponibles publiquement pour que l'IA puisse les utiliser afin de générer des deepfakes convaincants.
Pour environ 100 $, un acteur malveillant peut faire générer une vidéo deepfake en utilisant la ressemblance de sa cible, et le retour sur investissement peut être énorme. Par exemple, le Wall Street Journal a rapporté qu'une entreprise a été escroquée de 243 000 $ lorsqu'un enregistrement audio deepfake du PDG a été utilisé pour exécuter un virement à un faux fournisseur.
Comment l'industrie de la cybersécurité se mobilise pour riposter
Il existe deux façons de lutter contre la fraude deepfake : La première est l'aspect humain — en offrant une formation à la prévention de l'ingénierie sociale et de la fraude par tromperie au personnel à l'aide d'outils de formation à la sensibilisation à la sécurité et la deuxième est par la technologie de détection des deepfakes.
|
Vous voulez trouver des outils pour former votre personnel contre la fraude ? Explorez la catégorie logiciels de formation à la sensibilisation à la sécurité de G2. |
Bien que le marché de la détection des deepfakes soit encore naissant, certains grands acteurs entrent dans le domaine. Par exemple, Microsoft a annoncé leur nouvel outil Microsoft Video Authenticator en septembre 2020 pour détecter les vidéos deepfake et McAfee a annoncé le lancement du McAfee Deepfake Lab en octobre 2020.
Les entreprises de cybersécurité traditionnelles prêtes à aborder ce marché
Les entreprises de cybersécurité sont particulièrement adaptées pour s'attaquer au marché de la détection des deepfakes. En développant des outils pour combattre les e-mails et logiciels malveillants, elles sont bien placées pour étendre leurs offres pour combattre les deepfakes malveillants.
Par exemple, Zemana, qui a été fondée en 2007 en tant qu'entreprise de cybersécurité axée sur la protection des points de terminaison et la détection des logiciels malveillants, s'est tournée vers la détection des deepfakes avec leur nouveau produit Zemana Deepware.ai, qui est en version bêta, au moment de l'écriture.
Et après ?
G2 n'a pas (encore) de catégorie pour les deepfakes et autres types de détection de désinformation, mais nous gardons un œil attentif sur ce marché en 2021. Une fois qu'un minimum de six logiciels de détection de deepfakes seront disponibles pour les acheteurs sur le marché, nous ajouterons une nouvelle catégorie pour ce type de logiciel.
Avertissement : Je ne suis pas avocat et je ne donne pas de conseils juridiques. Si vous avez des questions juridiques, consultez un avocat agréé.
Édité par Sinchana Mistry
Vous voulez en savoir plus sur Logiciel de sécurité Web ? Découvrez les produits Sécurité Web.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
