La démocratisation de l’intelligence artificielle nourrit beaucoup de fantasmes, mais peu d’exemples concrets permettaient de révéler jusque-là certains dangers. Jake Moore, consultant cybersécurité chez ESET, et ancien policier britannique contre le cybercrime, s’est mis dans la peau d’un cybercriminel et a tenté de pirater un ami, avec l’aide des nouveaux outils intelligents en ligne. Rencontré lors d’une conférence du groupe ESET à Athènes ce 25 octobre, il nous explique comment il a dérobé 290 euros en moins d’une minute.
Jake Moore a d’abord obtenu le consentement de son ami – appelons le « Adam » – pour l’utiliser comme cobaye, sans lui expliquer pour autant l’étendue de son projet. Adam est directeur d’une agence immobilière spécialisée dans les demeures de luxe sur la côte britannique.
Ce quadragénaire a pour habitude d’exposer les impressionnantes villas en vente dans des vidéos sur YouTube qu’il commente. Aucun souci, donc, pour télécharger sa voix et déposer les fichiers MP3 dans une célèbre application de montage basée sur l’IA. Cette dernière permet de recréer une voix artificiellement et la réutiliser dans un cadre « professionnel ».
Jake est maintenant en possession du ton, des expressions et de l’accent particulier d’Adam. Il peut générer un discours entier en proposant un texte qui sera lu par le « clone » de son ami.
Des infos récupérées sur les réseaux sociaux
La seconde étape est un peu plus technique, mais à portée de tous. L’expert en cyber parvient à dérober le numéro de téléphone d’Adam grâce au procédé du SIM swapping. Pour capturer un numéro de téléphone, les cybercriminels contactent généralement un opérateur et se font passer pour l’abonné ciblé, prétextant qu’il a perdu leur smartphone.
Jake Moore peut désormais envoyer des messages depuis le numéro d’Adam. En examinant les photos Instagram de ce dernier, il apprend que le directeur de l’agence a pour habitude de manger dans un restaurant sur la côte. Un jour où Adam publie sur les réseaux une photo de son déjeuner, Jake Moore envoie un message sur WhatsApp à sa directrice financière. Il laisse une note vocale, copiant la voix de son ami, et demande de transférer la somme de 250 livres (environ 290 euros) à « J Moore ou H Moore », feignant de ne plus bien connaitre le destinataire. L’associée confirme que J Moore fait bien partie de ses contacts et envoie sur le champ 250 livres.
« Peu de moyens » pour contrer cette arnaque
De retour de son déjeuner, Adam appelle Jake lui demandant si ce dernier « a usurpé son p*tain de numéro ? », avant de comprendre qu’il a également recopié sa voix. Une fois que le stratagème a été révélé à la directrice, cette dernière confirme qu’elle aurait aisément envoyé plusieurs milliers d’euros si « Adam » le lui avait demandé par note vocale.
Dans une affaire similaire, un criminel a d’ailleurs tenté d’extorquer 50 000 euros à une mère de famille cette année en usurpant la voix de sa fille et faisant croire qu’elle a été kidnappée.
Comment se protéger d’une telle arnaque ? « Peu de moyens existent, à vrai dire » nous confie Jake Moore. « En tant qu’ancien enquêteur, j’ai appris à toujours réfléchir comme un criminel pour comprendre qu’ils agissent. Les voix reproduites grâce à l’IA sont une probable menace à l’avenir. Pour le vol de numéro, une double authentification peut déjà aider à bloquer une connexion malveillante à une appli. En ce qui concerne les clones de voix, si vous avez un doute, tentez de poser une question dont seul l’interlocuteur aura la réponse », recommande l’expert en cyber. N’hésitez donc pas à demander le plat préféré de votre collègue ou le nom de leur animal de compagnie.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
