Grâce au perfectionnement des modèles d’IA de synthèse vocale, cloner une voix est aujourd’hui très facile. Les deepfakes permettant de récupérer une vidéo pour faire dire ce que l’on veut à une personne sont aujourd’hui monnaie courante, des escrocs s’en sont inspirés pour améliorer “l’arnaque au président”. C’est un employé d’un centre financier chinois, à Hong Kong, qui en a fait l’amère expérience : croyant participer à une visioconférence avec son directeur financier et des collègues, il a versé aux fraudeurs la coquette somme de plus 25 millions de dollars.
“L’arnaque au président” consiste à voler l’identité d’un dirigeant d’entreprise et à faire effectuer un faux ordre de virement par un salarié. Les escrocs n’ont pas attendu l’arrivée des IA génératives de voix pour tenter d’arnaquer les gens par téléphone mais la sophistication de ces dernières leur a permis d’être plus convaincants.
L’un des premiers cas d’arnaque par clonage vocal grâce à l’IA signalés, date de mars 2019. Le PDG d’une société d’énergie au Royaume-Uni a cru parler au téléphone avec un supérieur hiérarchique, le directeur général de la société mère allemande de l’entreprise, qui lui a demandé d’envoyer en urgence 243 000 $ à un fournisseur hongrois. Certain de reconnaître l’accent et l’intonation de son patron, il a obéi.
L’année suivante, c’est un directeur de banque qui s’est fait abusé par le clonage de voix : on lui a fait croire que le PDG d’une entreprise sur le point de faire une acquisition lui demandait de débloquer 35 millions de dollars par virement.
Bien que connaissant ce chef d’entreprise, le banquier des Emirats Arabes Unis, rassuré par les mails de confirmation, n’a pas douté de l’identité de l’auteur de l’appel et a donné l’ordre d’effectuer le virement.
Pour cloner une voix, il suffisait aux escrocs d’aller récupérer des messages audio sur Tik Tok, YouTube ou Facebook, les vidéos publiées sur ces réseaux sociaux sont aujourd’hui également utilisées pour améliorer les deepfakes.
Cette arnaque à la visioconférence a été dévoilée le 4 février dernier par RTHK (Radio Television Hong Kong), la police cherchant à alerter sur ce nouveau genre de menaces.
Selon le surintendant principal par intérim, le baron Chan, l’employé a reçu un message prétendument du directeur financier de l’entreprise l’invitant à un appel vidéo pour discuter de transactions confidentielles qui devaient être effectuées. Celui-ci, conforté par la présence de collaborateurs à cette visioconférence alors qu’il était en fait face à des vidéos préenregistrées, a effectué 15 transactions sur cinq comptes bancaires locaux, pour un total de 200 millions de dollars de Hong Kong, soit plus de 25,5 millions de dollars américains.
Il aurait suffi à l’employé d’essayer d’interagir avec ses collègues durant la visioconférence pour s’apercevoir qu’ils n’étaient pas réels, mais il n’a réalisé la supercherie qu’après les avoir appelés, la réunion terminée.