Lovro Persen, Directeur Documents et Fraude, IDnow
L'intelligence artificielle (IA) et les modèles de langage (LLM) ont récemment dominé l'actualité avec un outil en particulier : ChatGPT. L'IA peut être un formidable outil de bien commun et de connaissances, notamment dans la lutte contre la fraude numérique et d'autres types de criminalité financière. En effet, de plus en plus d'organisations l'utilisent pour numériser leurs processus de connaissance du client (KYC) et s'assurer que la personne à l'autre bout de la transaction est bien celle qu'elle prétend être.
Ces outils peuvent automatiser l'analyse et le traitement des données des utilisateurs, des informations personnelles, de l'historique des transactions, et supprimer les goulots d'étranglement lors de l’entrée en relation, permettant une montée en charge à un rythme sans précédent. Ils peuvent également vérifier si les utilisateurs figurent sur les listes de sanctions et de personnes politiquement exposées (PEP) et ainsi signaler en temps réel les fraudes potentielles et les activités suspectes.
Toutefois, l'histoire nous a appris qu'à chaque innovation et développement technologique, une nouvelle initiative criminelle ne tarde pas à apparaître pour exploiter les potentielles failles d’une nouvelle réglementation ou de vides juridiques. Les avancées récentes en matière d'IA et de LLM ne font malheureusement pas exception à la règle. Voici cinq choses à savoir sur la fraude basée sur l'IA.
1. L’ingénierie sociale devient un jeu d’enfant
L'augmentation de la productivité offerte par ChatGPT et d'autres outils similaires a suscité un enthousiasme général, mais son utilisation dans le cadre d'activités frauduleuses est malheureusement inévitable. Les fraudeurs utilisant l'usurpation d'identité et l'ingénierie sociale ont déjà commencé à utiliser l'IA dans des escroqueries de type "arnaque sentimentale" et "phishing" en produisant de faux documents tels que des factures, des contrats et des documents fiscaux, qui sont souvent plus personnalisés et plus exacts que ceux provenant des sources dont ils usurpent l'identité. Il est important d’ouvrir l’œil et de regarder dans le détail : les faux documents peuvent contenir des fautes d'orthographe ou de grammaire qui pourraient rendre leur statut frauduleux plus facile à repérer. Mais avec la puissance de l'IA, les erreurs contenues sur un document frauduleux peuvent maintenant être rectifiées, ce qui rend plus difficile la différenciation entre un vrai document et un document produit avec des intentions malhonnêtes.
2. Les cyberattaques sont rendues accessibles à tous
Auparavant, les escrocs et les cybercriminels chevronnés devaient avoir une bonne connaissance des logiciels et du code pour produire des documents ou des sites qui trompaient des personnes innocentes et les incitaient à remettre leur argent durement gagné. Aujourd'hui, des criminels ayant un niveau basique en informatique et aucune connaissance en codage peuvent se livrer à la cybercriminalité grâce à la simplicité des outils d'IA. Ils peuvent créer rapidement et facilement des logiciels malveillants, des programmes VBA (Visual Basic for Applications) malveillants et des chatbots réalistes qui attirent les victimes.
3. Les techniques d’usurpation d’identité sont facilitées par l’IA
Les LLM ne sont pas les seuls développements rapides dans le domaine de l'IA. Les outils permettant de créer des images, des vidéos, des sons et des modèles 3D convaincants sont également de plus en plus accessibles au grand public. Cela signifie que prochainement les fraudeurs seront en mesure de créer des documents ultra-réalistes, tels que des passeports et d'autres documents officiels, qui comporteront même les sceaux traditionnels utilisés actuellement pour authentifier les pièces d'identité réelles. L'usurpation d'identité et la stratégie d’obfuscation deviendront beaucoup plus faciles puisque ces modèles d'IA générative permettront à un fraudeur de commettre des attaques réalistes contre des documents d'identité et les informations biométriques qu'ils contiennent. La vérification de l'authenticité des documents et, dans le cas de la technologie deepfake, de la détection du vivant, risque de poser des problèmes aux entreprises qui ne disposent pas de ce type de contrôles et des technologies de reconnaissance faciale les plus rigoureux.
4. La confidentialité des données personnelles des chats est menacée par l’existence de failles
L'un des nombreux rebondissements de l'histoire de ChatGPT s'est produit en mars 2023, lorsque l'autorité italienne de protection des données a mis la plateforme hors ligne dans son pays. Le motif invoqué était qu'elle contenait un bogue qui rendait l'historique des conversations chats et les informations personnelles identifiables (IPI) des utilisateurs visibles par d'autres, permettant ainsi de les utiliser à des fins frauduleuses. Les données personnelles telles que les noms, les mots de passe, les adresses et tout ce qu'un utilisateur pouvait mettre dans le LLM auraient pu être utilisées pour usurper l'identité de personnes en ligne et commettre des fraudes synthétiques.
5. La vérification de la véracité d’une information est de plus en plus complexe
Bien que cela ne soit pas directement lié à des cas de fraude, la véracité des informations sera de plus en plus prioritaire à mesure que le développement des outils d'IA et de LLM progressera. La menace des "fake news" est susceptible de croître de manière exponentielle, parallèlement à l'augmentation du volume de contenus à consonance authentique. Cet avertissement devrait également s'appliquer aux vérifications des bases de données. Il est conseillé aux entreprises qui doivent effectuer des contrôles KYC et anti-blanchiment (AML) de ne pas s'appuyer uniquement sur le LLM pour les réaliser. Les réponses aux sanctions et aux PPE peuvent être facilement manipulées et donner des résultats inexacts.
Ces outils peuvent automatiser l'analyse et le traitement des données des utilisateurs, des informations personnelles, de l'historique des transactions, et supprimer les goulots d'étranglement lors de l’entrée en relation, permettant une montée en charge à un rythme sans précédent. Ils peuvent également vérifier si les utilisateurs figurent sur les listes de sanctions et de personnes politiquement exposées (PEP) et ainsi signaler en temps réel les fraudes potentielles et les activités suspectes.
Toutefois, l'histoire nous a appris qu'à chaque innovation et développement technologique, une nouvelle initiative criminelle ne tarde pas à apparaître pour exploiter les potentielles failles d’une nouvelle réglementation ou de vides juridiques. Les avancées récentes en matière d'IA et de LLM ne font malheureusement pas exception à la règle. Voici cinq choses à savoir sur la fraude basée sur l'IA.
1. L’ingénierie sociale devient un jeu d’enfant
L'augmentation de la productivité offerte par ChatGPT et d'autres outils similaires a suscité un enthousiasme général, mais son utilisation dans le cadre d'activités frauduleuses est malheureusement inévitable. Les fraudeurs utilisant l'usurpation d'identité et l'ingénierie sociale ont déjà commencé à utiliser l'IA dans des escroqueries de type "arnaque sentimentale" et "phishing" en produisant de faux documents tels que des factures, des contrats et des documents fiscaux, qui sont souvent plus personnalisés et plus exacts que ceux provenant des sources dont ils usurpent l'identité. Il est important d’ouvrir l’œil et de regarder dans le détail : les faux documents peuvent contenir des fautes d'orthographe ou de grammaire qui pourraient rendre leur statut frauduleux plus facile à repérer. Mais avec la puissance de l'IA, les erreurs contenues sur un document frauduleux peuvent maintenant être rectifiées, ce qui rend plus difficile la différenciation entre un vrai document et un document produit avec des intentions malhonnêtes.
2. Les cyberattaques sont rendues accessibles à tous
Auparavant, les escrocs et les cybercriminels chevronnés devaient avoir une bonne connaissance des logiciels et du code pour produire des documents ou des sites qui trompaient des personnes innocentes et les incitaient à remettre leur argent durement gagné. Aujourd'hui, des criminels ayant un niveau basique en informatique et aucune connaissance en codage peuvent se livrer à la cybercriminalité grâce à la simplicité des outils d'IA. Ils peuvent créer rapidement et facilement des logiciels malveillants, des programmes VBA (Visual Basic for Applications) malveillants et des chatbots réalistes qui attirent les victimes.
3. Les techniques d’usurpation d’identité sont facilitées par l’IA
Les LLM ne sont pas les seuls développements rapides dans le domaine de l'IA. Les outils permettant de créer des images, des vidéos, des sons et des modèles 3D convaincants sont également de plus en plus accessibles au grand public. Cela signifie que prochainement les fraudeurs seront en mesure de créer des documents ultra-réalistes, tels que des passeports et d'autres documents officiels, qui comporteront même les sceaux traditionnels utilisés actuellement pour authentifier les pièces d'identité réelles. L'usurpation d'identité et la stratégie d’obfuscation deviendront beaucoup plus faciles puisque ces modèles d'IA générative permettront à un fraudeur de commettre des attaques réalistes contre des documents d'identité et les informations biométriques qu'ils contiennent. La vérification de l'authenticité des documents et, dans le cas de la technologie deepfake, de la détection du vivant, risque de poser des problèmes aux entreprises qui ne disposent pas de ce type de contrôles et des technologies de reconnaissance faciale les plus rigoureux.
4. La confidentialité des données personnelles des chats est menacée par l’existence de failles
L'un des nombreux rebondissements de l'histoire de ChatGPT s'est produit en mars 2023, lorsque l'autorité italienne de protection des données a mis la plateforme hors ligne dans son pays. Le motif invoqué était qu'elle contenait un bogue qui rendait l'historique des conversations chats et les informations personnelles identifiables (IPI) des utilisateurs visibles par d'autres, permettant ainsi de les utiliser à des fins frauduleuses. Les données personnelles telles que les noms, les mots de passe, les adresses et tout ce qu'un utilisateur pouvait mettre dans le LLM auraient pu être utilisées pour usurper l'identité de personnes en ligne et commettre des fraudes synthétiques.
5. La vérification de la véracité d’une information est de plus en plus complexe
Bien que cela ne soit pas directement lié à des cas de fraude, la véracité des informations sera de plus en plus prioritaire à mesure que le développement des outils d'IA et de LLM progressera. La menace des "fake news" est susceptible de croître de manière exponentielle, parallèlement à l'augmentation du volume de contenus à consonance authentique. Cet avertissement devrait également s'appliquer aux vérifications des bases de données. Il est conseillé aux entreprises qui doivent effectuer des contrôles KYC et anti-blanchiment (AML) de ne pas s'appuyer uniquement sur le LLM pour les réaliser. Les réponses aux sanctions et aux PPE peuvent être facilement manipulées et donner des résultats inexacts.
