Le FBI a publié un avertissement en 2022 détaillant comment les arnaqueurs utilisent l’hypertrucage pour cibler des postes de travail à distance leur donnant accès aux bases de données et aux systèmes des entreprises. (Photo: 123RF)
Vous connaissez la « fraude du président »? Un arnaqueur se fait passer pour le PDG auprès du directeur financier en lui ordonnant par courriel de transférer des fonds immédiatement sous prétexte d’une acquisition ultraconfidentielle. Désormais, finis les courriels, les pirates ont maintenant recours à l’hypertrucage (deepfake), une technique qui utilise l’intelligence artificielle (IA) pour modifier le visage d’une personne dans une vidéo ou sa voix dans un fichier audio. L’utilisation de ces stratagèmes a doublé entre 2022 et 2023 et continue d’augmenter en même temps que les stratégies et les outils malveillants se perfectionnent.
Récemment, une entreprise de Hong Kong a été victime de cette arnaque : un employé de la direction financière a été contacté par vidéoconférence par un « faux dirigeant » lui ordonnant de transférer 25,6 millions de dollars américains vers des comptes bancaires désignés. Le fait d’avoir vu « en vrai » cette personne falsifiée a trompé l’employé, entraînant la perte des fonds.
Pire encore, les fraudeurs s’attaquent désormais aux ressources humaines lors du processus de recrutement, notamment pour des postes en technologie de l’information et de cybersécurité. Les secteurs de la télésanté, des institutions financières, des cabinets de services professionnels et des grandes entreprises qui gèrent des données sensibles sont particulièrement ciblés.
Les emplois en TI et en cybersécurité sont utilisés comme cheval de Troie pour pénétrer dans les organisations en raison du manque d’expertise dans ce domaine. Cela rend le recrutement ardu et met une pression accrue pour attirer les meilleurs talents, d’autant plus que le télétravail est courant pour ce type de poste.
Le plus grand site d’emploi mondial, Indeed, regorgeait, début mars, d’offres d’emploi promettant des conditions de travail 100 % « à distance » pour ces profils. Le FBI a publié un avertissement en 2022 détaillant comment les arnaqueurs utilisent l’hypertrucage pour cibler des postes de travail à distance leur donnant accès aux bases de données et aux systèmes des entreprises.
Au lieu d’essayer d’amener un employé à cliquer sur un lien malveillant, les cybercriminels tentent maintenant de se faire embaucher eux-mêmes.
Supposons que vous cherchez à recruter un expert en cybersécurité. Le recruteur publie son offre sur les réseaux et des sites d’emploi, reçoit quelques CV et passe en entrevue les candidats pour le rôle, en virtuel. Il tombe sur une perle rare, le CV est parfait et répond à toutes les exigences, l’entrevue virtuelle est concluante et ses tests de personnalité corroborent à 100 % les exigences requises. Quant à ses références professionnelles, elles sont excellentes. Feu vert pour faire entrer le loup dans la bergerie !
Notez que l’inverse peut aussi se produire. Un candidat peut être victime du même mécanisme et fournir tous ses renseignements personnels à un faux recruteur se faisant passer pour vos RH… La réputation de votre entreprise est donc tout aussi à risque. En diffusant des informations trompeuses sur les occasions d’emploi ou la culture de l’entreprise, les acteurs malveillants peuvent nuire à votre réputation, autant que les pirates peuvent tromper le recruteur pour se faire embaucher et avoir accès à vos systèmes et bases de données.
Comment se protéger ?
- Formez et sensibilisez vos recruteurs à l’hypertrucage : privilégiez les références internes et les plateformes réputées pour publier vos offres d’emploi. Assurez-vous que vos fournisseurs (chasseurs de têtes, firmes de vérifications de références et d’évaluation) sont à jour et équipés pour lutter contre le phénomène.
- Sécurisez les communications tout au long du processus : utilisez les identifications à deux facteurs pour communiquer avec les candidats. Pour garantir une vérification d’identité solide lors de l’embauche, menez des entretiens en personne. Procédez à une vérification préentrevue (vérifiez si le candidat a un profil actif sur LinkedIn et effectuez une recherche sur lui sur les médias sociaux). Demandez-lui son numéro de téléphone, son adresse et vérifiez les informations en amont sur sa formation générale (les universités qu’il a fréquentées, son appartenance à un ordre professionnel ou à des associations, etc.). Demandez-lui de nommer son professeur préféré, son directeur de mémoire, son maître de stage, etc. Et corroborez les informations.
- Privilégiez les entrevues en personne : il n’est pas toujours possible de rencontrer physiquement les individus pour des postes à distance, mais cela peut valoir la peine de couvrir ses frais de déplacement. Autrefois, les psychologues industriels exigeaient que les candidats se présentent en personne pour effectuer leurs tests psychométriques. Aujourd’hui, la plupart du temps, les tests sont réalisés à distance. Assurez-vous que les plateformes utilisées sont sécurisées et exigent plusieurs étapes d’identification et de contrôle.
- Analysez les vidéoconférences : faites attention à la bouche et aux mouvements des yeux et lorsqu’ils tournent la tête pour repérer les incohérences si leurs mouvements ne sont pas alignés. Les fraudeurs seront aussi probablement préparés avec de faux documents et une compréhension générale du rôle, mais poser des questions approfondies et spécifiques peut les déjouer. S’ils ont du mal à répondre et prennent trop de temps à répondre, soyez alerte et posez des questions de validation. Enregistrez l’entrevue pour la revoir a posteriori ou encore mieux, faites-la regarder par un spécialiste qui pourra porter attention aux failles de la supercherie. Adoptez des outils de détection de l’hypertrucage basés sur l’IA pour analyser le contenu vidéo.
Pas si simple de conjuguer rapidité et agilité du processus en période de guerre des talents avec un processus renforcé et rigoureux, mais il n’en reste pas moins que plus on est pressé de recruter, plus on est à risque de manquer des étapes cruciales. Mentir sur son CV, donner de fausses références ne date pas d’hier, mais aujourd’hui, on entre dans une nouvelle dimension avec l’hypertrucage et les capacités de l’IA. En vous tenant au courant des avancées technologiques, vous améliorerez continuellement la capacité de vos RH à détecter et à prévenir l’utilisation de l’hypertrucage.