Newtech
Les fraudes fondées sur l’IA se multiplient : 5 évolutions à connaître
Par La rédaction, publié le 09 mai 2023
Les IA génératives et modèles LLM au cœur de ChatGPT, Bing Chat et Bard ont d’autres utilités que d’entretenir des conversations, créer des résumés, générer des fiches produits… ou des spams ! Ainsi, ces technologies IA sont désormais utilisées dans la lutte contre la fraude et la criminalité financière mais aussi par les cybercriminels pour innover dans leurs attaques. Explications…
Par Lovro Persen, Directeur Documents et Fraude, chez IDnow
L’intelligence artificielle (IA) et les modèles de langage (LLM) ont récemment dominé l’actualité avec un outil en particulier : ChatGPT. L’IA peut être un formidable outil de bien commun et de connaissances, notamment dans la lutte contre la fraude numérique et d’autres types de criminalité financière. De plus en plus d’organisations l’utilisent pour numériser leurs processus de connaissance du client (KYC) et s’assurer que la personne à l’autre bout de la transaction est bien celle qu’elle prétend être.
En effet, ces outils aident à automatiser l’analyse et le traitement des données des utilisateurs, des informations personnelles, de l’historique des transactions, et supprimer les goulots d’étranglement lors de l’entrée en relation, permettant une montée en charge à un rythme sans précédent. Ils peuvent également vérifier si les utilisateurs figurent sur les listes de sanctions et de personnes politiquement exposées (PEP) et ainsi signaler en temps réel les fraudes potentielles et les activités suspectes.
À LIRE AUSSI :
Toutefois, l’histoire nous a appris qu’à chaque innovation et développement technologique, une nouvelle initiative criminelle ne tarde pas à apparaître pour exploiter les potentielles failles d’une nouvelle réglementation ou de vides juridiques. Les avancées récentes en matière d’IA et de LLM ne font malheureusement pas exception à la règle. Voici cinq choses à savoir sur la fraude basée sur l’IA.
1- L’IA générative rend l’ingénierie sociale rapide et facile
L’augmentation de la productivité offerte par ChatGPT et d’autres outils similaires a suscité un enthousiasme général, mais son utilisation dans le cadre d’activités frauduleuses est malheureusement inévitable. Les fraudeurs utilisant l’usurpation d’identité et l’ingénierie sociale ont déjà commencé à utiliser l’IA dans des escroqueries de type “arnaque sentimentale” et “phishing” en produisant de faux documents tels que des factures, des contrats et des documents fiscaux, qui sont souvent plus personnalisés et plus exacts que ceux provenant des sources dont ils usurpent l’identité.
Jusqu’ici, en ouvrant l’œil et en regardant dans le détail, l’utilisateur averti pouvait souvent repérer les faux documents aux fautes d’orthographe ou de grammaire ou encore les erreurs de traduction à même de rendre leur statut frauduleux plus facile à repérer. Mais avec la puissance de l’IA, les erreurs contenues sur un document frauduleux sont quasi-inexistantes, ce qui rend plus difficile la différenciation entre un vrai document et un document produit avec des intentions malhonnêtes.
2- Les cybercriminels n’ont plus besoin de connaissances techniques
Auparavant, les escrocs et les cybercriminels chevronnés devaient avoir une bonne connaissance des logiciels et du code pour produire des documents ou des sites qui trompaient des personnes innocentes et les incitaient à remettre leur argent durement gagné.
Aujourd’hui, des criminels ayant un niveau basique en informatique et aucune connaissance en codage peuvent se livrer à la cybercriminalité grâce à la simplicité des outils d’IA. Ils peuvent créer rapidement et facilement des scripts malveillants, des programmes VBA (Visual Basic for Applications) dangereux et des chatbots réalistes qui attirent les victimes.
3- La contrefaçon de documents sophistiqués n’a jamais été aussi simple
Les LLM ne sont pas les seuls développements rapides dans le domaine de l’IA. Les intelligences génératives permettant de créer des images, des vidéos, des sons et des modèles 3D convaincants sont également de plus en plus accessibles au grand public. Cela signifie que prochainement les fraudeurs seront en mesure de créer des documents ultra-réalistes, tels que des passeports et d’autres documents officiels, qui comporteront même les sceaux traditionnels utilisés actuellement pour authentifier les pièces d’identité réelles.
L’usurpation d’identité et la stratégie d’obfuscation deviendront beaucoup plus faciles puisque ces modèles d’IA générative permettront à un fraudeur de commettre des attaques réalistes contre des documents d’identité et les informations biométriques qu’ils contiennent. La vérification de l’authenticité des documents et, dans le cas de la technologie deepfake, de la détection du vivant, risque de poser des problèmes aux entreprises qui ne disposent pas de ce type de contrôles et des technologies de reconnaissance faciale les plus rigoureux.
4- L’historique des conversations chats met en péril la confidentialité des données
L’un des nombreux rebondissements de l’histoire de ChatGPT s’est produit en mars 2023, lorsque l’autorité italienne de protection des données a mis la plateforme hors ligne dans son pays. Le motif invoqué était qu’elle contenait un bogue qui rendait l’historique des conversations chats et les informations personnelles identifiables (IPI) des utilisateurs visibles par d’autres, permettant ainsi de les utiliser à des fins frauduleuses. Les données personnelles telles que les noms, les mots de passe, les adresses et tout ce qu’un utilisateur pouvait soumettre au LLM auraient pu être utilisées pour usurper l’identité de personnes en ligne et commettre des fraudes synthétiques.
5.Trouver des informations exactes et impartiales sera plus difficile
Bien que cela ne soit pas directement lié à des cas de fraude, la véracité des informations sera de plus en plus prioritaire à mesure que le développement des outils d’IA et de LLM progressera. La menace des “fake news” est susceptible de croître de manière exponentielle, parallèlement à l’augmentation du volume de contenus à consonance authentique.
Cet avertissement devrait également s’appliquer aux vérifications des bases de données. Il est conseillé aux entreprises qui doivent effectuer des contrôles KYC et anti-blanchiment (AML) de ne pas s’appuyer uniquement sur le LLM pour les réaliser. Les réponses aux sanctions et aux PPE peuvent être facilement manipulées et donner des résultats inexacts.
À LIRE AUSSI :
