ESET, leader européen en cybersécurité, met en lumière la montée préoccupante des fraudes par appels téléphoniques utilisant des deepfakes audio. Cette menace permet aux escrocs de contourner les systèmes d’authentification, manipulant ainsi les employés et entraînant d’importantes pertes financières.
ESET, la plus grande entreprise européenne de cybersécurité, met en garde contre la surgissante menace des fraudes par des appels téléphoniques qui exploitent des deepfakes audio. Cette méthode innovante permet aux criminels de contourner les mécanismes d’authentification, de manipuler des employés, et de provoquer des fraudes financières dangereusement impactantes.
Aujourd’hui, grâce à l’évolution de l’intelligence artificielle générative (GenAI), la création d’audio synthétique convaincant est devenue largement accessible, permettant aux criminels de cloner des voix à partir de quelques secondes d’enregistrement disponible en ligne.
Les statistiques récentes montrent que des millions de fichiers audio synthétiques circulent actuellement sur le net, témoignant de la rapide démocratisation de cette technologie. Le chiffre réel pourrait être encore plus élevé, en tenant compte de la profusion d’outils disponibles au public.
Fonctionnement des arnaques par appels téléphoniques
D’après Jake Moore, consultant mondial en sécurité chez ESET, lancer une attaque de clonage vocal ciblant une organisation n’a jamais été aussi simple.
Le processus suit généralement un schéma :
- Sélection de l’identité à imiter : souvent un PDG, un directeur financier ou un fournisseur clé.
- Collecte d’échantillons audio publics, souvent disponibles dans des interviews, conférences, réseaux sociaux ou présentations professionnelles.
- Identification de la cible interne, comme des membres de l’équipe financière ou du support technique.
- Contact préalable par e-mail pour établir un contexte et une urgence.
- Appel téléphonique avec deepfake audio, utilisant des scripts prédéfinis ou de la technologie “speech-to-speech” quasi en temps réel.
- L’objectif peut varier : demander des transferts urgents, modifier les coordonnées bancaires des fournisseurs, réinitialiser des identifiants ou contourner l’authentification multifactorielle (MFA).
Dans de nombreux cas, la pression psychologique constitue un élément clé de la stratégie — l’urgence, la confidentialité et l’autorité sont exploitées pour diminuer la pensée critique de la victime.
Raisons de la crédibilité de ces attaques
Les derniers outils de GenAI parviennent à reproduire :
- Rythmes naturels de parole
- Inflexions émotionnelles
- Pausés stratégiques et hésitations
- Bruitage de fond simulé
- Expressions verbales spécifiques
Lors d’une interaction par téléphone, un moyen déjà limité en indices visuels, les incohérences deviennent plus difficiles à détecter. De plus, le fait que l’interlocuteur semble être un cadre supérieur accroît la probabilité de satisfaction immédiate de la demande.
Signes d’alerte à surveiller
Bien que de plus en plus sophistiqués, les deepfakes audio peuvent montrer des indices tels que :
- Un rythme ou un ton légèrement artificiels
- Un ton émotionnel monotone ou inapproprié au contexte
- Une respiration peu naturelle ou absente
- Un son excessivement clair ou avec un bruit de fond uniforme
- Des réponses vagues face à des questions inattendues
- La formation des collaborateurs pour reconnaître ces signes peut s’avérer déterminante pour éviter des pertes.
«Les attaques de fraude à la direction ou à l’email d’entreprise (BEC) sont généralement très bien conçues, grâce aux avancées de l’intelligence artificielle», prévient Ricardo Neves, Responsable du Marketing et de la Communication chez ESET Portugal.
«Pour atténuer ces risques, les organisations doivent mettre en place des mesures solides, telles que des processus de double approbation pour les transferts ou modifications de données bancaires, l’utilisation d’une authentification multifactorielle (MFA) sur les comptes professionnels et une formation régulière des employés pour identifier les signes d’escroquerie et de deepfakes», ajoute-t-il. «Ces recommandations sont cruciales pour protéger les entreprises et les organismes publics, qui seront davantage ciblés à cause de l’adoption massive d’outils IA accessibles.
ESET Portugal souligne que les fraudes par clonage vocal sont peu coûteuses mais très impactantes, nécessitant une vigilance urgente et continue des organisations. La mise à jour régulière des politiques de sécurité et la révision des plans de réponse sont essentielles pour atténuer les risques dans le contexte actuel de la fraude numérique.