La cybercriminalité a évolué au fil des ans, mais son degré de raffinement pourrait faire un bond en avant considérable grâce à la croissance exponentielle de l’intelligence artificielle (IA) générative. La menace est telle qu’elle empêche les professionnels de la sécurité de dormir la nuit.
L’intelligence artificielle permet d’imiter facilement la voix de quelqu’un ou de créer un site Web frauduleux qui ressemble en tous points à un véritable site, ce qui fait qu’il est très difficile pour quelqu’un qui n’est pas expert de savoir si un appel, un courriel ou un hyperlien est bien vrai. Selon un sondage réalisé en 2023, 75 % des professionnels de la sécurité ont signalé une hausse des cyberattaques au cours de la dernière année qu’ils attribuent en grande partie à l’usage plus répandu de l’IA générative.
Larry Zelvin, vice-président à la direction et chef, Unité Crime Financier à BMO Groupe financier, compte parmi les autorités de premier plan sur les risques cybernétiques. Il s’est joint à nous pour un entretien sur les nombreux enjeux auxquels font face les familles à valeur nette très élevée en ligne et sur la façon d’établir une ligne de défense efficace.
En matière de cybersécurité, quels sont les risques auxquels les gens sont de plus en plus exposés?
Le contexte des menaces continue d’évoluer et je conseille à nos clients de faire attention aux vidéos hypertruquées qui tirent parti de l’intelligence artificielle, des tentatives d’hameçonnage de plus en plus perfectionnées (qui peuvent également être générées par l’IA) et des publicités frauduleuses ou des tentatives de piratage psychologique dont ils peuvent être l’objet en ligne, que ce soit sur les plateformes de réseautage social ou d’achat en ligne.
En quoi l’IA a-t-elle changé la donne?
Il ne faut à quelqu’un que quelques heures et peu de frais pour réaliser une vidéo hypertruquée très crédible, c’est-à-dire une fausse vidéo qui semble vraie. Ces vidéos peuvent être mises au point au moyen d’outils d’IA et d’un enregistrement vocal de deux à trois secondes recueilli en ligne. Nous sommes préoccupés du fait que les criminels se servent d’un enregistrement vocal pour créer un faux message au sujet d’une soi-disant urgence familiale. Ce que le destinataire voit ou entend, c’est un proche en difficulté qui a un besoin urgent d’argent ou de renseignements. En ce sens, l’hameçonnage devient beaucoup plus complexe.
Les criminels utilisent également l’IA pour peaufiner leurs attaques par hameçonnage en effectuant des recherches plus pointues sur les médias sociaux et en cherchant d’autres renseignements accessibles au public, ce qui complique le décèlement et la validation de la légitimité d’un courriel. Nous étions déjà à l’affût de signaux avertisseurs tels que des fautes d’orthographe ou de grammaire, mais avec l’IA, les messages sont beaucoup plus recherchés. Nous avons même vu des situations où des clients ont reçu des dépliants d’apparence professionnelle sur des possibilités de placements, mais ce n’était que des tentatives de fraude.
Les criminels ont-ils recours à l’intelligence artificielle pour se faire passer pour de hauts dirigeants?
Lorsqu’un chef de la direction parle à ses subordonnés immédiats, ces derniers ont une idée de ce que leur chef demande en général et de la façon dont il s’exprime. La préoccupation se situe moins au niveau de la direction que chez les employés de certains niveaux inférieurs de l’organisation qui n’ont pas toujours d’interaction directe avec le chef de la direction ou les leaders de l’organisation. Une employée peut recevoir ce genre de message : Bonjour, je m’adresse à vous parce que j’ai une question urgente, que je ne peux pas joindre le chef des finances ou son bras droit et que vous devez envoyer ce virement télégraphique. Le message semble légitime; il peut adopter le ton habituel du dirigeant et provenir de son adresse courriel. Dans le but d’aider son leader, l’employée envoie le virement télégraphique.
Les grandes organisations ont un avantage sur les petites et moyennes entreprises, car elles ont mis en place des processus, des procédures et formé leurs employés pour surveiller ce type de fraude. En l’absence d’une telle infrastructure de sécurité et de programmes de sensibilisation, l’organisation court un risque plus élevé.
Les criminels ciblent également la clientèle à valeur nette élevée. Que peuvent faire ces familles pour se protéger?
Que vous soyez un client à valeur nette élevée ou un bureau de gestion familiale, il existe un risque qui doit être surveillé et géré de près. La bonne nouvelle est que bon nombre de gens parmi cette clientèle peuvent s’offrir les services de spécialistes qui proposent des mesures de contrôle et des programmes de sécurité à la fine pointe.
Dans le cadre du grand transfert de patrimoine, des membres de la famille pourraient recevoir des appels de conseillers qu’ils n’ont jamais rencontrés. Étant donné que nous savons que les criminels cherchent activement des situations à exploiter, cela pourrait-il représenter un risque pour certaines familles? Les familles devraient-elles présenter leurs enfants à leurs conseillers afin qu’ils sachent qui ils sont?
Tout d’abord, si vous recevez un appel spontané d’un conseiller financier, vérifiez toujours ses identifiants auprès de plusieurs sources. Par exemple, s’il prétend travailler dans une banque, appelez-la pour vous en assurer à partir des renseignements provenant du site Web légitime de l’organisation.
Lorsque des membres de votre famille ont accès à des fonds, déterminez qui pourrait vous exposer à des risques. Si quelqu’un parmi eux a la capacité de déplacer des fonds, cela représente un risque. Si une personne a l’âge légal nécessaire pour contracter un prêt ou s’endetter d’une autre façon, c’est un risque.
Une fois que vous avez déterminé ceux qui ont le pouvoir de prendre des décisions financières importantes, renseignez-les sur les meilleures pratiques en matière de sécurité et les plus récentes arnaques et présentez-les à votre conseiller en gestion de patrimoine ou à son équipe.
Que doit-on faire si on soupçonne qu’un fraudeur tente de nous aborder?
Je vous recommande de faire enquête. Cherchez la personne-ressource sur LinkedIn ou sur Google et communiquez avec l’entreprise pour laquelle elle travaille afin de confirmer qu’elle est bien celle qu’elle prétend être. Lorsque vous appelez l’organisation, composez toujours les numéros de téléphone que vous avez utilisés par le passé ou qui sont tirés de son site Web.
Si vous avez des raisons de croire qu’il s’agit d’une fraude, nous vous recommandons de la signaler sans tarder et de disposer des ressources pour vous aider sur notre Centre de sécurité BMO.
Comment BMO garde-t-il une longueur d’avance sur les risques liés à la cybersécurité?
Notre Unité Crime financier (UCF) de BMO est la première équipe responsable des opérations de sécurité en son genre au Canada. Fondée en 2019, l’UCF combine l’expertise de nos équipes de cybersécurité, de gestion de la fraude, de sécurité physique et de gestion de crise afin de détecter les menaces à la sécurité, de les prévenir, d’y réagir et de revenir à la normale. En plus d’utiliser des outils de pointe en matière de sécurité, de données et d’analyse, nous exerçons nos activités à l’échelle mondiale pour assurer la sécurité de nos clients dans différents fuseaux horaires.
Pour ce qui est des enjeux relatifs à l’IA, nos centres d’appels disposent d’une technologie qui permet d’établir une correspondance entre la voix entendue et celle des gens. Nous travaillons également avec une entreprise qui alimente une base de données de personnes qui ont commis une fraude; cette équipe a saisi leurs empreintes vocales et avise nos agents en temps réel qu’ils pourraient parler à un fraudeur. Nous renseignons sans cesse nos employés sur les vidéos hypertruquées – ce à quoi elles ressemblent, les signaux avertisseurs à surveiller et les personnes à qui les signaler.
Ayant occupé plusieurs postes de haut niveau au sein du gouvernement des États-Unis, notamment celui de directeur général du National Cybersecurity and Communications Integration Center du département de la Sécurité intérieure des États-Unis et de directeur principal, Intervention, National Security Council à la Maison-Blanche, vous surveillez cette sphère d’activité depuis des années. Que pensez-vous de la nature évolutive du risque cybernétique?
J’ai récemment signé un article d’opinion dans le Chicago Tribune sur la façon dont les fraudeurs tirent parti de l’intelligence artificielle pour perfectionner leurs attaques frauduleuses. L’intelligence artificielle est un secteur de risque que nous voyons, non seulement pour la Banque, mais surtout pour nos clients. Nous sommes une ressource, et nous sommes heureux d’en discuter avec les gens et de les tenir au courant. Nos clients peuvent également consulter notre site Web pour connaître les dernières tendances qui les aideront à se protéger.