Un employé de LastPass évite la catastrophe en flairant que l'appel de son P.-D.G. sur WhatsApp était un deepfake

LastPass évite de justesse le piège d'un deepfake par WhatsApp grâce à la vigilance d'un de ses employés et aux protocoles de sécurité internes.

L'entreprise de gestion de mots de passe LastPass a frôlé la catastrophe. Elle a en effet fait face à une tentative de phishing avec un deepfake vocal, dont certains sont tellement sophistiqués qu'ils en arrivent à tromper les systèmes d'authentification par la voix. Un hacker a utilisé un deepfake audio pour imiter le P.-D.G. de l'entreprise, Karim Toubba, dans le but d'escroquer un employé.

Cette attaque, qui s'est déroulée sur WhatsApp, a été rapidement repérée par son caractère inhabituel et l'urgence prétendue de l'appel. L'employé ciblé a fait preuve de discernement en ignorant les sollicitations et en alertant la sécurité de LastPass.

L'attaque a rapidement été neutralisée, mais a donné l'occasion à LastPass de sensibiliser ses collaborateurs aux risques des deepfakes.

Un deepfake flairé de justesse

Les deepfakes, ces imitations hyperréalistes générées par intelligence artificielle, sont de plus en plus utilisés par les cyberpirates pour tromper et manipuler leurs victimes, la plupart du temps pour leur extorquer de l'argent. Dans le cas de LastPass, l'audio deepfake était si convaincant qu'il a bien failli tromper la vigilance accrue de l'employé ciblé.

Ce dernier, après avoir été matraqué d'appels et de messages vocaux de son prétendu P.-D.G., a su reconnaître les red flags d'une tentative de fraude : l'utilisation d'un canal de communication non conventionnel chez LastPass comme WhatsApp, la pression d'une urgence non justifiée dans les SMS qu'il recevait et les appels en dehors des heures normales de travail.

Autant de voyants au rouge qui ont conduit l'employé à ignorer les tentatives de contact du faux P.-D.G. et, dans le même temps, à signaler l'incident auprès de la sécurité de LastPass.

Recommandations contre la menace grandissante des deepfakes

Cette mésaventure connaît une happy end, mais a secoué la communauté LastPass. « Pour être clair, cela n'a eu aucun impact sur notre entreprise. Cependant, nous souhaitions partager cet incident pour faire prendre conscience que les deepfakes ne sont pas seulement du ressort d'acteurs de menace sophistiqués au niveau des États-nations, mais sont de plus en plus exploités pour des campagnes de fraude par usurpation d'identité de dirigeants », explique Mike Kosak, spécialiste du renseignement sur les cybermenaces, sur le site de LastPass.

Les deepfakes sont une préoccupation croissante à l'échelle mondiale. Une étude de l'University College London a montré que la capacité humaine à détecter ces canulars est actuellement limitée. En février 2024, des fraudeurs ont utilisé la technologie deepfake pour organiser une fausse vidéoconférence et tromper l'employé d'une multinationale pour qu'il leur verse 25 millions de dollars.

Les grandes organisations de l'IT reconnaissent la menace que représentent les deepfakes. Au moins 20 d'entre elles, dont Google, Meta Platforms, Microsoft et OpenAI, ont signé un nouvel « accord technologique » visant à empêcher les deepfakes pendant la période électorale mondiale de 2024.

Clubic, quant à lui, vous recommande la plus grande prudence face aux deepfakes vocaux, piège dans lequel vous êtes hélas de plus en plus nombreux à tomber. Nous vous proposons par exemple un outil pour protéger la manipulation de vos photos par le détournement malveillant de l'IA, ou l'aide d'Apate, ce chatbot programmé pour tenir la jambe aux escrocs pendant qu'ils tentent de vous arnaquer par téléphone.

Sources : Bleeping Computer, LastPass, University College of London