On entend de plus en plus souvent parler de deepfake. Ces contenus générés par des algorithmes défrayent la chronique et font régulièrement les gros titres de la presse. Récemment, on apprenait d’ailleurs qu’une entreprise d’Hong Kong avait perdu des millions de dollars à cause de la technologie deepfake.
Mais, malgré tout, vous ne savez pas encore tout à fait ce que ce sont les deepfakes ? Vous êtes tombés au bon endroit pour en savoir plus et tout apprendre sur ces contenus imaginés par des logiciels. Pour faire le point sur le sujet, nous avons recueilli l’avis d’un expert : Eny Sauvêtre, cofondateur de BRAIN Cybersecurity Awareness, une entreprise française spécialisée dans la sensibilisation à la cybersécurité.
À lire aussi : Taylor Swift victime de deepfakes pornographiques – on vous explique la polémique
C’est quoi un deepfake ?
Concrètement, un deepfake est une vidéo, une photo ou un contenu audio généré par intelligence artificielle qui imite une personne réelle. Cette appellation combine « deep learning » (l’apprentissage profond), une branche clé de l’IA, et « fake » (faux). L’apprentissage profond permet à un système d’IA d’imiter des comportements humains complexes, comme la parole ou les expressions faciales, en s’appuyant sur une montagne de données sans l’aide d’un programmeur. On retrouve un fonctionnement analogue au cœur des modèles linguistiques, comme GPT d’OpenAI.
Avec l’essor de l’IA générative, il est devenu de plus en plus facile pour n’importe quel internaute de produire des images factices d’une personnalité, d’un proche ou d’un inconnu. Sur le web, on trouve une pléthore d’outils, simples à prendre en main, qui permettent de cloner la voix de quelqu’un, d’imiter le visage d’une personne ou de trafiquer une image.
Le danger des deepfakes
Avec les deepfakes, les cybercriminels disposent d’une arme de plus dans leur arsenal. C’est un outil redoutable dans le cadre d’opérations reposant sur l’ingénierie sociale. Ce type d’offensives exploite les faiblesses des êtres humains plutôt qu’une faille dans un système informatique. Dans ce contexte, un deepfake permet de tirer parti des émotions humaines, comme la curiosité, la peur, la confiance ou le désir d’aider autrui, pour voler des données ou gagner de l’argent.
« Le deepfake, ça fait partie d’une cyberattaque, c’est utilisé par les hackers en ce moment, par les cybercriminels dans une chaîne d’attaque », explique Eny Sauvêtre, assurant que des attaques sont en cours en ce moment.
L’expert distingue deux cas d’utilisation du deepfake à des fins malveillantes. Il y a tout d’abord les deepfakes de masse. Il s’agit d’un « deepfake d’information » qui usurpe l’identité d’une personnalité publique. Les attaquants vont « prendre quelqu’un et de lui faire dire quelque chose qu’il n’a pas dit et en général, c’est quelqu’un qui a du pouvoir ».
On trouve aussi des deepfakes utilisés dans des attaques dites de « spear phishing », c’est-à dires des opérations d’hameçonnage qui visent spécifiquement des individus ou des organisations, en utilisant des informations précises. Dans le cadre de ces attaques sophistiquées, le deepfake est « utilisé de manière précise sur une cible avec des informations personnelles de la cible ».
En clair, les pirates vont concevoir des contenus usurpant l’identité d’un proche ou d’un collègue. Par exemple, un cybercriminel peut cloner la voix d’un proche. Il suffit de quelques minutes à un logiciel pour copier le timbre d’une personne et s’en servir pour lui faire dire tout et n’importe quoi.
Quelles astuces pour les identifier ?
La plupart des deepfakes peuvent être décelés en s’attardant sur certaines caractéristiques. Notre interlocuteur cite des éléments comme les lèvres. Certaines vidéos générées par l’IA ne sont pas capables de synchroniser correctement les lèvres avec les paroles du protagoniste. Il peut y avoir un petit décalage entre le mouvement des lèvres et la voix.
Il faut également s’attarder sur les expressions du visage. Si le faciès de votre interlocuteur apparaît un peu figé et statique, il est possible que vous ayez à faire à un deepfake. De même, certains des contenus générés par l’IA ont négligé les clignements des yeux. Sur certaines vidéos factices, les protagonistes ne clignent jamais les yeux.
« En tant qu’être humain, on sait détecter si en face de nous, on a quelqu’un qui est réel ou pas », déclare le cofondateur de Brain.
Citons aussi la couleur de la peau. Bien souvent, les deepfakes ont du mal à reproduire la manière dont la lumière se reflète sur la peau d’un être humain. Enfin, le grain de l’image peut aussi trahir l’existence d’un contenu généré par l’IA. Des différences de qualité ou de résolution entre le visage et le reste de la vidéo peuvent vous mettre la puce à l’oreille.
Du côté des deepfakes audio, on vous recommande de poser une question privée à votre interlocuteur. Si celui-ci est incapable de vous répondre, il est possible que vous parliez avec une voix clonée par l’IA. De même, attardez-vous sur le vocabulaire choisi par la personne qui vous demande de faire quelque chose. Si les mots employés ne cadrent pas avec ses habitudes, méfiez-vous.
Une technologie qui évolue vite
Malheureusement, la technologie évolue à une telle vitesse que les indices permettant d’identifier une image factice tendent à disparaître. Selon lui, « aujourd’hui, on peut donner des conseils sur les deepfakes, mais qui n’auront plus aucune valeur dans quelques mois à la vitesse où ça va ». De plus, les cybercriminels inondent sciemment le web avec de piètres deepfakes pour berner les internautes :
« En fait, c’est une technique de hackers de laisser traîner plein de deepfakes qui sont de très mauvaise qualité. Comme ça, les gens, ils s’habituent à se dire « Ok, bon, celui-là, je sais le reconnaître, celui-là, je sais ce que ça peut être ». En fait, ils font la même chose avec les phishings. Ils balancent en masse plein de phishings qui sont reconnaissables, mais en fait dans ces phishings, il y a des phishings en fait qui sont impossibles à reconnaître ».
Une fois que l’être humain a été habitué à certaines caractéristiques récurrentes, « ils utilisent en fait les meilleurs logiciels, les meilleurs algorithmes pour que ce soit impossible de le reconnaître ». Dès lors, les potentielles victimes sont plus susceptibles de tomber dans un piège.
Des outils pour détecter un deepfake
Sur la toile, on trouve pléthore d’outils promettant de vous aider à identifier des contenus deepfake. Nous avons testé plusieurs logiciels avec des images factices, et les résultats ont été plutôt mitigés. Citons notamment
dont l’interface sur le web est très simple d’utilisation. Cette plateforme est spécialisée dans la détection de vidéos factices. Pour scanner une séquence, il suffit d’en glisser l’URL sur le site. La plupart des vidéos YouTube que nous avons testé ont été correctement interprétés par l’IA.
Comme on l’a remarqué, ces outils sont loin d’être infaillibles. En miroir des outils permettant de détecter si un texte a été rédigé par ChatGPT ou un autre chatbot, ces logiciels peuvent se tromper. Ils peuvent par exemple déterminer qu’un deepfake n’est pas un contenu factice, mais une image réelle.
De même, certains outils ont parfois des doutes sur la véracité d’une image réelle. C’est le cas de la plateforme Illuminarty. Nous avons rentré plusieurs photos 100 % réelles sur le site, et dans certains cas, Illuminarty estime qu’il est possible que l’IA soit intervenue. Le site pense qu’il y a plus de 40 % de chances que l’intelligence artificielle ait généré notre portrait par exemple,. Par contre, un deepfake de Macron n’obtient la note que de 37 %. On est donc loin de pouvoir s’y fier pour se protéger en ligne.
Notez aussi que la plupart des détecteurs les plus puissants ne sont pas aisément accessibles au grand public. Certains nécessitent aussi une installation sur un PC doté d’une puissance carte graphique pour réaliser une détection de bonne facture. Les outils de pointe, comme ceux d’Intel ou de Microsoft, ne sont pas encore disponibles sur la toile pour tous les internautes.
Est-il possible de démasquer tous les deepfakes ?
Avec l’essor de l’intelligence artificielle, il n’est déjà plus possible d’identifier tous les deepfakes en s’attardant sur leurs défauts. Comme l’explique l’expert que nous avons interrogé, l’explosion de l’IA s’est accompagné d’une accélération de la précision des deepfakes.
Les deepfakes de masse peuvent encore généralement être identifiés avec un peu d’observation. C’est de moins en moins le cas des productions exploitées dans le cadre d’une attaque ciblée. Un deepfake de haute qualité, réalisé par un attaquant qui dispose de moyens financiers considérables, est déjà impossible à déceler. Avec ces contenus, utilisés dans le cadre d’une offensive de spear phishing, « on ne peut pas discerner si c’est un vrai ou si c’est un faux ».
« Tout ce qui ne fonctionnait pas dans les deepfakes, tous les éléments pour qu’on reconnaisse un deepfake […] il y a des IA qui se sont entraînées et qui ont réussi à recréer de l’ultra-réalisme sur chacun de ces points », détaille le cofondateur de Brain, assurant qu’une attaque sophistiquée, « c’est vraiment impossible à repérer ».
Pour se protéger, l’expert recommande aux internautes de bien se renseigner au sujet des technologies émergentes, comme l’IA et les deepfakes. Selon lui, « la technique ultime pour se prévenir du deepfake c’est d’être sensibilisé, c’est juste de s’intéresser au sujet et de comprendre ce qu’il se passe vraiment, c’est-à-dire de comprendre qu’en fait les deepfakes c’est une cyberattaque et qu’une cyberattaque, c’est fait par des cybercriminels qui veulent soit de l’argent, soit du pouvoir ».
Les bonnes pratiques pour se protéger
Pour éviter de tomber dans le panneau d’un deepfake de masse, destiné à propager de fausses informations, il n’y a pas des milliers de solutions : il faut tout simplement remonter à la source du contenu. Une fois que les internautes s’appuieront uniquement sur des sources réputées et reconnues, les contenus deepfake ne pourront plus les berner.
L’expert recommande aussi de faire appel à votre « bon sens ». Avant de croire sur parole une vidéo montrant Elon Musk ou Tom Hanks en train de vous proposer des cryptomonnaies gratuites, prenez un peu de recul. N’hésitez pas à faire une petite recherche sur Google pour découvrir si l’information véhiculée par la vidéo a été reprise sur d’autres sites. Si ce n’est pas le cas, vous pouvez commencer à douter de ce que vous voyez ou de ce que vous entendez.
Pour éviter de tomber dans le piège d’une attaque ciblée, il faut plutôt s’attarder sur les demandes formulées par votre interlocuteur. Il faut « analyser les actions demandées », juge l’expert. Si « cette personne me demande quelque chose dans l’urgence que je ne suis pas censé faire, ou il me demande de contourner des procédures ou des choses comme ça », c’est une alerte rouge.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
