12 déc. 2023

facial recognition technology with mobile phone

L’IA générative changera-t-elle le risque ou la réaction dans le paysage de la fraude ?

12 déc. 2023

Related topics AI Forensics Risk Financial Services

Approuver

Afficher les ressources

Lire l'article en anglais, Lire l'article en allemand

Alors que l’IA générative facilite plus que jamais la génération d’images, de sons ou de vidéos sur mesure, les banques doivent faire face à de nouveaux risques d’usurpation d’identité.

La fraude est probablement aussi ancienne que l’humanité elle-même. L’évolution des outils et des sociétés est allée de pair avec celle des moyens utilisés pour tenter d’escroquer ses semblables. L’IA générative est le dernier outil en date dans la boîte à outils du fraudeur.

Les banques et les compagnies d’assurance ont profité de capacités d’onboarding simplifiées et rationalisées grâce à l’identification vidéo et à des processus entièrement numériques et à distance. Ceux-ci ont été rendus possibles par des techniques d’IA permettant de vérifier automatiquement les documents soumis et les vidéos d’identification. Toutefois, l’avènement et l’accessibilité généralisée des outils d’IA générative ont modifié l’équilibre entre l’efficacité et le risque. Les dirigeants du secteur des services financiers doivent être conscients de l’augmentation des risques de fraude liée à cette technologie.

Nouvelles menaces

Les outils d’IA générative largement disponibles sont désormais multimodaux en termes d’input et d’output, ce qui signifie qu’ils peuvent cibler aussi bien du texte que de la voix ou de la vidéo. Pour les fraudeurs, ces techniques promettent un retour plus rapide sur leur investissement (en temps) et facilitent le lancement d’attaques complexes et personnalisées.

Les outils d’IA générative sont utilisés pour générer des e-mails d’hameçonnage réalistes, en une fraction du temps qu’il faudrait à toute une équipe humaine. Et ils sont souvent si convaincants qu’ils passent à travers les filtres généralement mis en place par les entreprises.

Deepfake

2 millions d’USD

Montant perdu par les victimes d’une fausse campagne vidéo semblant mettre en scène Elon Musk.

Diverses images et vidéos très médiatisées, qui ont captivé l’imagination du public, illustrent dans quelle mesure l’IA générative pourrait perturber notre vision du risque. Qu’il s’agisse d’une plaisanterie inoffensive, comme la photo du pape François emmitouflé dans une doudoune, ou de vidéos calomnieuses montrant des célébrités ivres ou dans d’autres situations compromettantes, les « deepfakes » sont devenus une source de divertissement - et de désinformation. Les escrocs peuvent utiliser les mêmes techniques. Selon la Commission fédérale américaine du commerce, de fausses vidéos d’Elon Musk utilisées pour escroquer des consommateurs ont rapporté plus de 2 millions d’USD en six mois [1]. Convaincues par les messages apparemment authentiques du milliardaire contenus dans les vidéos, les victimes ont transféré d’importantes sommes en crypto-monnaies.

L’utilisation de l’IA vocale dans une affaire récente [2] est encore plus abjecte : une mère a reçu un appel d’une personne ayant la même voix que sa fille. On lui disait que sa fille avait été kidnappée et qu’elle serait libérée contre le versement d’une rançon. Ce n’est qu’après avoir essayé d’appeler directement sa fille que la mère s’est rendu compte que la voix à l’autre bout du fil avait été générée par l’IA.

Les banques sont également directement visées, de premiers exemples d’escroquerie vocale ont été rendus publics [3]. Les clients fortunés courent un risque particulièrement élevé, car ils sont plus susceptibles de faire des apparitions publiques, ce qui fournit du matériel pouvant être utilisé pour entraîner l’IA à imiter leur voix. Si l’on ajoute à cela l’ingénierie sociale qui vise à recueillir des données sur leurs relations bancaires, il faudra à l’avenir examiner de plus près les instructions téléphoniques pour en vérifier l’authenticité.

De nouvelles approches pour lutter contre la fraude

Les prestataires de services financiers ont besoin de pouvoir identifier correctement leurs clients et ne peuvent continuer à le faire qu’en reconnaissant ces menaces et en y faisant face efficacement. Certaines mesures peuvent être prises :

modifier le modèle opérationnel de lutte contre la fraude pour que la détection des « deepfakes » fasse partie intégrante des contrôles de détection et de prévention ;
réaliser des évaluations régulières des menaces afin d’identifier, d’évaluer et de comprendre en continu les risques potentiels et les vulnérabilités des produits et des services susceptibles d’être ciblés par des « deepfakes » ;
assurer une évaluation et une analyse systématiques des risques potentiels liés aux « deepfakes » auxquels l’entreprise ou ses clients peuvent être confrontés.

Bien entendu, si les technologies émergentes sont à l’origine de cette nouvelle menace, on compte également sur elles pour apporter des solutions. Cela commence par le filtrage des métadonnées et l’ajout de filigranes numériques sur les produits par les fournisseurs de modèles d’IA générative [4]. Malheureusement, les acteurs malveillants peuvent contourner ces précautions. Beaucoup d’espoirs reposent sur l’intelligence artificielle elle-même, en particulier sur l’apprentissage par renforcement, pour détecter les contenus générés par l’IA. Dans un premier temps, cela facilitera la détection des fraudes pour les images, mais les fraudes utilisant la voix et les vidéos resteront plus difficiles à identifier. Le marché des outils de détection se développe rapidement.

Comment EY peut aider

Forensic & Integrity Service Offerings

Companies that embed the value of integrity in their strategic vision and day-to-day operations develop stronger businesses, sustain their long-term competitive advantage and deliver more value to shareholders. EY Forensic & Integrity Services can provide the broad sector experience, deep subject-matter knowledge, the people, technologies, processes, tools and insights that help you to instil a culture of integrity in your business

Lire plus

Pour le moment, le jugement humain et la vigilance sont les principales lignes de défense.

La plupart des solutions visent à reconnaître si une personne dans une vidéo présente les caractéristiques typiques de l’être humain, p. ex. des clignements oculaires, des grains de beauté sur la peau, des reflets corrects dans les lunettes, une pilosité faciale ; ces signes sont souvent absents des personnes sur les vidéos générées par l’IA. L’autre source d’information est la biométrie, collectée à partir de l’appareil d’input, p. ex. un smartphone ou un ordinateur, qui indique comment l’utilisateur le manipule et déclenche une alarme si ces données biométriques s’écartent nettement des attentes.

Bien que les produits s’améliorent, la plupart des solutions de détection basées sur la technologie et travaillant uniquement avec l’image, la voix ou la vidéo en question peinent à établir l’authenticité de manière fiable. Pour fournir des résultats fiables, elles ont toutes besoin d’informations contextuelles, comme les canaux par lesquels les données ont été reçues et si cela correspond au comportement attendu des clients. Elles doivent aussi disposer en temps utile d’informations sur les menaces pour connaître les nouveaux types de fraude. Pour le moment, le jugement humain et la vigilance sont les principales lignes de défense. Former les employés à reconnaître les deepfakes et à réagir face à cette menace constitue donc une mesure primordiale pour renforcer les défenses contre la fraude d’une entreprise.

Résumé

L’IA générative permet aux fraudeurs de créer plus facilement des usurpations d’identité convaincantes afin d’obtenir des actifs ou des informations. Si des solutions techniques de détection émergent, la vigilance humaine reste essentielle pour contrer cette menace.

À propos de cet article

Madhumita Jha

Par Madhumita Jha

Senior Manager, Forensics in Financial Services | EY Switzerland

Expert in supporting clients during business-not-as-usual situations like fraud and financial crime. Nature lover.

Related topics AI Forensics Risk Financial Services

Approuver

Reference
Elon Musk impersonators earn millions from crypto-scams - BBC News

US mother gets call from ‘kidnapped daughter’ – but it’s really an AI scam | Arizona | The Guardian

Voice Deepfakes Are the Latest Threat to Your Bank Balance - The New York Times (nytimes.com)

Introducing Official Content Credentials Icon - C2PA

Lire plus

EY désigne l'organisation globale et peut faire référence à l'un ou plusieurs des membres d'Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Limited est une société suisse, avec un siège en Suisse, qui fournit des services à des clients en Suisse.

EY | Assurance | Consulting | Strategy and Transactions | Tax

About EY

EY is a global leader in assurance, consulting, strategy and transactions, and tax services. The insights and quality services we deliver help build trust and confidence in the capital markets and in economies the world over. We develop outstanding leaders who team to deliver on our promises to all of our stakeholders. In so doing, we play a critical role in building a better working world for our people, for our clients and for our communities.

EY refers to the global organization, and may refer to one or more, of the member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. For more information about our organization, please visit ey.com.

EYG/OC/FEA no.

ED MMYY

This material has been prepared for general informational purposes only and is not intended to be relied upon as accounting, tax, or other professional advice. Please refer to your advisors for specific advice.

Vous avez des questions sur ce sujet ?

Contactez-nous | RFP pour la Suisse

Contactez-nous Appel d'offre (RFP)

Sujets

Général

Personnes