Facial recognition technology with mobile phone

L’IA générative changera-t-elle le risque ou la réaction dans le paysage de la fraude ?

A photo of Madhumita Jha
Madhumita Jha

Senior Manager, Financial Services Forensics | EY Switzerland

12 déc. 2023

Lire l'article en anglaislire l'article en allemand

Alors que l’IA générative facilite plus que jamais la génération d’images, de sons ou de vidéos sur mesure, les banques doivent faire face à de nouveaux risques d’usurpation d’identité.

En bref

  • Comment le paysage de la fraude évolue-t-il avec l’avènement de l’IA générative ?
  • Quelles sont les solutions techniques ?
  • Quel rôle les humains jouent-ils encore dans la détection des fraudes ?

La fraude est probablement aussi ancienne que l’humanité elle-même. L’évolution des outils et des sociétés est allée de pair avec celle des moyens utilisés pour tenter d’escroquer ses semblables. L’IA générative est le dernier outil en date dans la boîte à outils du fraudeur.

Les banques et les compagnies d’assurance ont profité de capacités d’onboarding simplifiées et rationalisées grâce à l’identification vidéo et à des processus entièrement numériques et à distance. Ceux-ci ont été rendus possibles par des techniques d’IA permettant de vérifier automatiquement les documents soumis et les vidéos d’identification. Toutefois, l’avènement et l’accessibilité généralisée des outils d’IA générative ont modifié l’équilibre entre l’efficacité et le risque. Les dirigeants du secteur des services financiers doivent être conscients de l’augmentation des risques de fraude liée à cette technologie.

Nouvelles menaces

Les outils d’IA générative largement disponibles sont désormais multimodaux en termes d’input et d’output, ce qui signifie qu’ils peuvent cibler aussi bien du texte que de la voix ou de la vidéo. Pour les fraudeurs, ces techniques promettent un retour plus rapide sur leur investissement (en temps) et facilitent le lancement d’attaques complexes et personnalisées.

Les outils d’IA générative sont utilisés pour générer des e-mails d’hameçonnage réalistes, en une fraction du temps qu’il faudrait à toute une équipe humaine. Et ils sont souvent si convaincants qu’ils passent à travers les filtres généralement mis en place par les entreprises.

Deepfake
Montant perdu par les victimes d’une fausse campagne vidéo semblant mettre en scène Elon Musk.

Comment EY peut vous aider

Diverses images et vidéos très médiatisées, qui ont captivé l’imagination du public, illustrent dans quelle mesure l’IA générative pourrait perturber notre vision du risque. Qu’il s’agisse d’une plaisanterie inoffensive, comme la photo du pape François emmitouflé dans une doudoune, ou de vidéos calomnieuses montrant des célébrités ivres ou dans d’autres situations compromettantes, les « deepfakes » sont devenus une source de divertissement - et de désinformation. Les escrocs peuvent utiliser les mêmes techniques. Selon la Commission fédérale américaine du commerce, de fausses vidéos d’Elon Musk utilisées pour escroquer des consommateurs ont rapporté plus de 2 millions d’USD en six mois [1]. Convaincues par les messages apparemment authentiques du milliardaire contenus dans les vidéos, les victimes ont transféré d’importantes sommes en crypto-monnaies.

 

L’utilisation de l’IA vocale dans une affaire récente [2] est encore plus abjecte : une mère a reçu un appel d’une personne ayant la même voix que sa fille. On lui disait que sa fille avait été kidnappée et qu’elle serait libérée contre le versement d’une rançon. Ce n’est qu’après avoir essayé d’appeler directement sa fille que la mère s’est rendu compte que la voix à l’autre bout du fil avait été générée par l’IA.

 

Les banques sont également directement visées, de premiers exemples d’escroquerie vocale ont été rendus publics [3]. Les clients fortunés courent un risque particulièrement élevé, car ils sont plus susceptibles de faire des apparitions publiques, ce qui fournit du matériel pouvant être utilisé pour entraîner l’IA à imiter leur voix. Si l’on ajoute à cela l’ingénierie sociale qui vise à recueillir des données sur leurs relations bancaires, il faudra à l’avenir examiner de plus près les instructions téléphoniques pour en vérifier l’authenticité.

 

De nouvelles approches pour lutter contre la fraude

Les prestataires de services financiers ont besoin de pouvoir identifier correctement leurs clients et ne peuvent continuer à le faire qu’en reconnaissant ces menaces et en y faisant face efficacement. Certaines mesures peuvent être prises :

  • modifier le modèle opérationnel de lutte contre la fraude pour que la détection des « deepfakes » fasse partie intégrante des contrôles de détection et de prévention ;
  • réaliser des évaluations régulières des menaces afin d’identifier, d’évaluer et de comprendre en continu les risques potentiels et les vulnérabilités des produits et des services susceptibles d’être ciblés par des « deepfakes » ;
  • assurer une évaluation et une analyse systématiques des risques potentiels liés aux « deepfakes » auxquels l’entreprise ou ses clients peuvent être confrontés.

Bien entendu, si les technologies émergentes sont à l’origine de cette nouvelle menace, on compte également sur elles pour apporter des solutions. Cela commence par le filtrage des métadonnées et l’ajout de filigranes numériques sur les produits par les fournisseurs de modèles d’IA générative [4]. Malheureusement, les acteurs malveillants peuvent contourner ces précautions. Beaucoup d’espoirs reposent sur l’intelligence artificielle elle-même, en particulier sur l’apprentissage par renforcement, pour détecter les contenus générés par l’IA. Dans un premier temps, cela facilitera la détection des fraudes pour les images, mais les fraudes utilisant la voix et les vidéos resteront plus difficiles à identifier. Le marché des outils de détection se développe rapidement.

Pour le moment, le jugement humain et la vigilance sont les principales lignes de défense.

La plupart des solutions visent à reconnaître si une personne dans une vidéo présente les caractéristiques typiques de l’être humain, p. ex. des clignements oculaires, des grains de beauté sur la peau, des reflets corrects dans les lunettes, une pilosité faciale ; ces signes sont souvent absents des personnes sur les vidéos générées par l’IA. L’autre source d’information est la biométrie, collectée à partir de l’appareil d’input, p. ex. un smartphone ou un ordinateur, qui indique comment l’utilisateur le manipule et déclenche une alarme si ces données biométriques s’écartent nettement des attentes.

Bien que les produits s’améliorent, la plupart des solutions de détection basées sur la technologie et travaillant uniquement avec l’image, la voix ou la vidéo en question peinent à établir l’authenticité de manière fiable. Pour fournir des résultats fiables, elles ont toutes besoin d’informations contextuelles, comme les canaux par lesquels les données ont été reçues et si cela correspond au comportement attendu des clients. Elles doivent aussi disposer en temps utile d’informations sur les menaces pour connaître les nouveaux types de fraude. Pour le moment, le jugement humain et la vigilance sont les principales lignes de défense. Former les employés à reconnaître les deepfakes et à réagir face à cette menace constitue donc une mesure primordiale pour renforcer les défenses contre la fraude d’une entreprise.

Résumé

L’IA générative permet aux fraudeurs de créer plus facilement des usurpations d’identité convaincantes afin d’obtenir des actifs ou des informations. Si des solutions techniques de détection émergent, la vigilance humaine reste essentielle pour contrer cette menace.

À propos de cet article

A photo of Madhumita Jha
Madhumita Jha
Senior Manager, Financial Services Forensics | EY Switzerland
Expert in supporting clients during business-not-as-usual situations like fraud and financial crime. Nature lover.
Sujets connexes
Intelligence Artificielle (IA)
Audit légal
Risques
Services financiers

Related articles

La loi européenne sur l'IA: ce que cela signifie pour votre entreprise

La réglementation de l'UE sur l'intelligence artificielle est imminente. Qu'est-ce que cela signifie pour vous et votre entreprise en Suisse ?

Konrad Meier + 1

    EY désigne l'organisation globale et peut faire référence à l'un ou plusieurs des membres d'Ernst & Young Global Limited, dont chacun est une entité juridique distincte. Ernst & Young Limited est une société suisse, avec un siège en Suisse, qui fournit des services à des clients en Suisse.