2 articles
https://www.lapresse.ca/contexte/intelligence-artificielle-et-hypertrucage/vers-un-age-d-or-de-la-fraude/2025-04-20/une-visioconference-a-37-millions-de-dollars.php
Une visioconférence à 37 millions de dollars
PHOTOMONTAGE LA PRESSE
Le courriel paraissait suspect.
Publié à 5 h 00

[
Nicolas Bérubé La Presse
](https://www.lapresse.ca/auteurs/nicolas-berube)
Un des hauts dirigeants de l’entreprise annonçait qu’un client important souhaitait récupérer son argent le jour même dans une série de transferts bancaires confidentiels.
En le lisant, un employé établi à Hong Kong de la firme d’ingénierie britannique Arup a d’abord cru à une tentative d’escroquerie.
Puis est arrivée une demande de visioconférence organisée par le dirigeant en question. Le subterfuge n’a nécessité aucun piratage. La sécurité d’aucun réseau n’a été compromise. En quelques claquements de touches de clavier, des fraudeurs venaient de s’emparer de près de 40 millions.
Selon les enquêteurs, les escrocs ont utilisé des vidéos des dirigeants d’Arup accessibles sur YouTube pour imiter leur visage et leur voix.
Révélée l’an dernier, cette histoire qui a frappé Arup, une multinationale de 18 000 employés avec un chiffre d’affaires de près de 4 milliards de dollars canadiens, ne serait que la pointe de l’iceberg, à un moment où l’industrie mondiale de la fraude semble plus organisée, inventive et cruelle que jamais, comme on a pu le constater dans de récents dossiers d’Isabelle Hachey1 et d’Ariane Krol2.
Ex-enquêteur de la Sûreté du Québec spécialisé dans les crimes financiers, Paul Laurier note que ce type de fraude, appelée fraude du président, pourrait être beaucoup plus courante à l’avenir grâce à l’intelligence artificielle.
L’IA peut changer des visages, cloner des voix, créer des sites web. Tout est possible.
Paul Laurier, ex-enquêteur de la Sûreté du Québec spécialisé dans les crimes financiers
Jusqu’ici, on a pu détecter des tentatives de fraude ou d’hameçonnage en tentant de trouver des fautes de grammaire ou d’autres erreurs dans les messages qu’on recevait.
« Aujourd’hui, les faux sont plus vrais que nature. Ça devient très professionnel. J’ai l’impression que le nombre de gens qui vont se faire frauder va augmenter dans le futur, malheureusement. Comme société, on n’est pas prêt. Le gouvernement n’est pas prêt. »
Voix clonée
Steve Waterhouse, expert en cybersécurité, note que les organisations doivent effectuer un travail de fond pour prévenir la fraude.
« Il faut mieux authentifier les participants à une réunion virtuelle. C’est encore plus vrai quand il y a des participants de l’extérieur, ou des gens qu’on ne côtoie pas tous les jours », dit-il.
M. Waterhouse note aussi que les systèmes de reconnaissance vocale, notamment utilisés par certaines banques pour vérifier l’identité de leurs clients, peuvent être bernés. Un récent épisode de l’émission La facture à Radio-Canada a montré qu’une voix d’une cliente clonée par un logiciel a pu berner les systèmes de reconnaissance vocale de Desjardins, de la Banque de Montréal (BMO), de la Banque canadienne impériale de commerce (CIBC), de la Banque Scotia et de la Banque Toronto-Dominion (TD).
Cela démontre qu’on n’a pas encore de moyen d’identifier les gens par leur voix. Pourtant, bien des institutions financières ont pris ce virage. C’est fou !
Steve Waterhouse, expert en cybersécurité
Pendant que le doute s’installe sur la sécurité des mesures de protection contre la fraude, les fraudeurs avancent à toute vapeur.
L’an dernier, l’agence de publicité internationale britannique WPP a été la cible d’une escroquerie de type hypertrucage, dans laquelle des criminels ont utilisé un clone vocal et des images de YouTube du PDG de l’entreprise pour organiser une réunion vidéo Microsoft Teams avec des cadres de l’entreprise. L’affaire avait finalement échoué.
Selon une analyse de Deloitte, les arnaques de type hypertrucage pourraient coûter 40 milliards par année aux entreprises américaines.
Paul Laurier note que les fraudeurs font de faux sites et achètent des mots clés propulsés par Google, par Facebook. « Les moteurs de recherche, ils sont complices de ça. Ils ne vérifient pas si l’organisation est légitime. »
Les entreprises investissent pour se prémunir contre la fraude. Mais M. Laurier note que la prévention n’est pas toujours la priorité.
« La sécurité, c’est un coût. Donc, au bout du compte, ça réduit les bénéfices », dit-il.
Expert en fraude depuis des décennies, M. Laurier a lui-même failli se faire prendre l’an dernier par une arnaque sur l’internet. Après un dégât d’eau chez lui, il a cherché à louer un condo sur un site de location à court terme.
« L’appartement était parfait. À côté du Centre Bell. Mais avant de cliquer pour la location, ma blonde a dit : “Es-tu sûr ?” J’ai effectué mes recherches, et c’était une fausse annonce. L’appartement existait, mais il n’était pas à louer. Le gars avec qui j’échangeais n’était pas le propriétaire. J’étais à deux doigts de me faire avoir. »
M. Laurier croit qu’on s’apprête à vivre un « âge d’or de la fraude » propulsée par l’IA.
« Les gens vont se faire embobiner par des conversations avec une personne, qui est en fait l’IA. Un bandit, il est mort de rire, il peut corriger le tir constamment. »
Le crime organisé va chercher les bons programmeurs, les bonnes personnes. Ce n’est que du code, et de la puissance de calcul. Les bandits revendent les modèles sur le dark web. Ça donne le vertige. On n’est pas prêt. L’État n’est pas prêt.
Paul Laurier, ex-enquêteur de la Sûreté du Québec spécialisé dans les crimes financiers
Steve Waterhouse a lui aussi été victime d’une fraude récemment. Après avoir effectué une recherche pour un voyage sur le site Booking.com, il a vu apparaître une transaction pour un montant de 352,40 $ au nom du site d’hébergement sur son relevé de carte de crédit.
« J’ai tout simplement effectué une recherche. Je n’ai jamais entré mes informations de carte de crédit. Quelqu’un s’est approprié mon numéro de carte. Je ne sais pas où ni comment ils l’ont trouvé. »
À l’heure actuelle, les gens sont trop souvent laissés à eux-mêmes, dit-il.
« Le fardeau de la preuve repose sur les épaules des clients. Les banques, elles font de la sensibilisation passive, mais pas active. Elles diffusent de l’information sur leur site. Il n’y a rien dans les écoles, par exemple. Ça serait positif d’en parler dans les écoles secondaires, les cégeps, les universités. Sans formation, on s’assure de subir de la fraude pendant des années encore. »
1. Lisez « Dans les usines à esclaves forcés de vous arnaquer » 2. Lisez « Des fraudes amoureuses qui tournent à la tragédie »
2ème article
« Même les personnes averties peuvent se faire berner »
Résumé
L’intelligence artificielle personnalise l’hameçonnage et la fraude à un point tel qu’il est parfois impossible de distinguer le faux du vrai, signale Preet Banerjee, consultant auprès du secteur de la gestion de patrimoine. La Presse lui a parlé.
Publié à 5 h 00

[
Nicolas Bérubé La Presse
](https://www.lapresse.ca/auteurs/nicolas-berube)
Comment les courriels d’hameçonnage générés par l’IA se comparent-ils aux courriels d’hameçonnage traditionnels en matière de tactiques de manipulation psychologique ?
Les courriels d’hameçonnage générés par l’IA portent la manipulation psychologique à un niveau supérieur. L’hameçonnage traditionnel s’appuie souvent sur des messages génériques, des demandes générales ou des imitations de marques connues. Grâce à l’IA, les escrocs peuvent hyperpersonnaliser les messages en utilisant des données extraites des médias sociaux, des archives publiques ou même de communications antérieures. Le contenu peut être finement adapté aux champs d’intérêt, aux habitudes ou aux évènements de la vie courante du destinataire, et ainsi être beaucoup plus convaincant.
Par exemple, si vous publiez sur LinkedIn des informations sur un nouvel emploi que vous venez de décrocher, l’IA peut être utilisée pour récupérer ces informations et vous envoyer un courriel qui vient prétendument d’un responsable de votre équipe vous demandant d’entrer des données sensibles dans un « portail d’employés ». En substance, si les tactiques sous-jacentes d’urgence ou de peur demeurent, la personnalisation permise par l’IA peut rendre indétectables ces attaques d’hameçonnage hyperpersonnalisées. Même les personnes averties en matière de technologie peuvent se faire berner.
Quel est le rôle des grandes organisations et des institutions financières dans la lutte contre les attaques d’hameçonnage renforcées par l’IA ? S’adaptent-elles assez rapidement ?
Elles sont des actrices clés dans la lutte contre l’hameçonnage amélioré par l’IA. Beaucoup ont commencé à investir dans des outils de cybersécurité avancés qui intègrent l’apprentissage automatique et le renseignement sur les menaces pour détecter les comportements suspects. Mais les techniques évoluent rapidement, et même ces institutions ont parfois du mal à suivre le rythme des dernières escroqueries. En réalité, bien des utilisateurs ont donc l’impression d’être livrés à eux-mêmes.
Avec les progrès rapides de l’IA, voyez-vous un avenir où les systèmes de détection automatisés pourront neutraliser efficacement les tentatives d’hameçonnage avant qu’elles n’atteignent les utilisateurs ?
Je pense que les systèmes de détection automatique sont prometteurs, car la technologie de l’IA continue de progresser. Des modèles d’apprentissage automatique sont déjà utilisés pour identifier des modèles anormaux et signaler des tentatives d’hameçonnage potentiel avant qu’elles n’atteignent les utilisateurs. Dans un scénario idéal, une défense en couches combinant des systèmes automatisés et une surveillance humaine pourrait neutraliser de nombreuses tentatives d’hameçonnage en temps réel.
Toutefois, il ne s’agit pas d’une solution miracle. Les hameçonneurs continueront à faire évoluer leurs tactiques. Il s’agira probablement d’une course aux armements permanente entre les fraudeurs et ceux qui cherchent à les contrer. On ne pourra jamais compter uniquement sur l’automatisation sans une formation complémentaire des utilisateurs.
Pour ne pas tomber dans le piège d’un hypertrucage
- Créez un mot ou une phrase secrète avec votre famille pour vérifier leur identité.
- Recherchez des imperfections subtiles dans les images et les vidéos, telles que des mains ou des pieds déformés, des dents ou des yeux irréalistes, des visages indistincts ou irréguliers.
- Écoutez attentivement le ton et le choix des mots pour faire la distinction entre un appel téléphonique légitime d’un être cher et un clonage vocal généré par l’IA.
- Si possible, limitez le contenu en ligne de votre image ou de votre voix, rendez vos comptes de réseaux sociaux privés, et limitez vos abonnés aux personnes que vous connaissez afin de minimiser la capacité des fraudeurs à utiliser des logiciels d’IA générative pour créer des identités frauduleuses.
- Ne partagez jamais d’informations sensibles avec des personnes que vous avez rencontrées uniquement en ligne ou par téléphone.
- N’envoyez pas d’argent, de cartes-cadeaux, de cryptomonnaie ou d’autres actifs à des personnes que vous ne connaissez pas ou que vous avez rencontrées uniquement en ligne ou par téléphone.
- Si une banque ou une organisation vous appelle, vérifiez l’identité de la personne, puis raccrochez. Ensuite, recherchez le contact de la banque ou de l’organisation qui prétend vous appeler et appelez directement au numéro de téléphone officiel.
Source : FBI