"Maman! "Je l'ai gâché !", a crié la voix d'une adolescente. Jennifer DeStefano a reconnu Brie, sa fille de 15 ans, partie en voyage de ski avec ses amis. Il l'entendit implorer de l'aide : elle avait été kidnappée dans les montagnes, dit-il.
Les cris ont accru la panique de la femme. Il resta silencieux lorsqu'il entendit les instructions du présumé ravisseur : « J'ai votre fille. Vous appelez la police, n'importe qui, et je leur donne quelque chose de plein de drogue. "J'obtiendrai ce que je veux et ensuite je la laisserai au Mexique pour qu'ils ne se reverront plus jamais." Le criminel a exigé 1 million de dollars.
Dès qu'il a raccroché, DeStefano a commencé à appeler le téléphone portable de Brie, désespéré. Après plusieurs efforts infructueux, il l'entendit à nouveau : la jeune fille allait parfaitement bien, libre et calme, skiant.
La voix de Brie avait été clonée grâce à l'intelligence artificielle ( IA ) lors du premier appel. Il a fallu quatre minutes – la plus longue de la vie de Jennifer – pour tromper une personne grâce à cette méthode d'extorsion de plus en plus courante. Face au problème, les autorités des États-Unis et de certains pays d'Amérique latine ont commencé à mettre en œuvre des lois contre l'utilisation de ces outils dans la criminalité numérique .
L'IA sans réglementation en Amérique latine
Le phishing est un phénomène de cybercriminalité qui a bénéficié de l'IA . Actuellement, cette technologie est utilisée pour cloner les voix de gens ordinaires, qui sont fait passer pour des kidnappés. L' arnaque téléphonique est née aux États-Unis et a atteint son apogée en 2022, lorsque 5 000 victimes ont payé en moyenne 8,8 millions de dollars, selon la Federal Trade Commission ( FTC ) de ce pays.
Tant en Amérique latine que dans le monde, les entreprises qui développent une IA capable de cloner des voix manquent encore de réglementation à cet égard. Il n'y a pas de précédents juridiques : cela signifie que l'utilisation abusive de cette technologie reste un moyen libre de commettre une fraude . L’argent extorqué ne disposait que d’une marge de recouvrement minime.
Concernant la cybercriminalité en général, la région se situe à un niveau moyen de prévention en disposant de stratégies et de formations professionnelles contre ses techniques. Le cas de l'Uruguay est remarquable, en raison de son développement en matière de cybersécurité . A ce pays s'ajoutent le Chili, l'Argentine, le Mexique, la Colombie, le Costa Rica, le Paraguay, la République dominicaine et Trinité-et-Tobago , qui a une politique de défense nationale, selon le rapport de la Banque interaméricaine de développement ( BID ) et de l'Organisation. des États américains ( OEA ).
Cependant, la région partage une législation vague concernant l’utilisation de l’IA dans le cas spécifique de l’extorsion . Les lois actuelles omettent encore les peines pour le clonage de voix , car seuls les cas d' usurpation d'identité sont envisagés. Même la modération de l'utilisation de cette technologie est limitée à la recherche et à la vulnérabilité des données personnelles, selon l'Institut des Sciences Juridiques de Puebla.
Les escroqueries avec des deepfakes vocaux se multiplient aux États-Unis
Comme cela s'est produit avec DeStefano, un investisseur de Floride a vécu un épisode désagréable avec des deepfakes vocaux . Clive Kabatznik a appelé un représentant de Bank of America pour résoudre certains problèmes liés à un transfert. Après cette brève conversation, le représentant de la banque a de nouveau répondu à un appel de Kabatznik, mais cette fois, la voix avait été répliquée par un programme d'IA. L' arnaque , dans ce cas, a été déjouée car l'opérateur a considéré comme suspecte la demande de retirer tout l'argent d'un compte pour le transférer sur un autre.
Pindrop , une entité privée dédiée à la surveillance du trafic audio pour les plus importantes banques des États-Unis, a identifié une augmentation de ce type de fraude début 2023. Ces dernières années, l'entreprise a examiné plus de 5 milliards d'appels vers des institutions bancaires. les résultats ont été alarmants : entre 1 000 et 10 000 tentatives d'escroquerie ont été reçues par an, comme l'a expliqué Vijay Balasubramaniyan, fondateur de cette société, au New York Times .
La cible principale de ces attaques sont les centres d'appels dédiés aux cartes de crédit . Bien que seule une poignée de ces escroqueries soient générées avec l'IA , l'expert a expliqué qu'elles représentent un danger car certains opérateurs manquent de la préparation nécessaire pour identifier un appel de ce type. Même si la voix peut paraître robotique, les données que possèdent les fraudeurs, souvent des informations confidentielles, suscitent des doutes parmi les employés des banques.
Outils de clonage vocal
ElevenLabs est un programme qui a gagné en popularité après qu'un journaliste de Vice l'ait utilisé pour contourner la sécurité de sa banque en février 2023. Cependant, l'outil VALL-E est devenu l'un des plus célèbres car il était un produit de Microsoft . Parce qu'il a été réalisé avec 60 000 heures d' audio en anglais stockées chez Meta , la société de Mark Zuckerberg , son utilisation est réservée au public : il était même capable d'imiter le ton des émotions des locuteurs , selon le journal La Vanguardia .
Balasubramaniyan a identifié que VALL-E est devenu l'un des outils les plus réalisables et les plus abordables qu'un pirate informatique puisse proposer. La chose la plus alarmante à propos de cette IA est qu’elle a besoin d’un échantillon audio de trois secondes pour reproduire une voix .
Rejoindre cette liste est Parrot , un autre outil avec la possibilité de cloner la voix d'une personne qui parle anglais. Le produit provient de Play.ht , une société née en 2016 et spécialisée dans les produits de transcription du langage du texte à l'audio, selon les informations figurant sur son site Internet.
Un logiciel de détection vocale généré par l’IA existe déjà et le domaine continuera d’évoluer. Pour l'instant, il est recommandé, en cas de cyberextorsion , de se méfier des communications de ces ravisseurs présumés ou des dirigeants d'institutions bancaires, qui émettent des menaces ou donnent des instructions à suivre. L'étape suivante consiste à contacter directement la victime présumée ou les banques.