Le FBI met en garde contre les faux messages textes et les faux appels utilisant la technologie deepfake qui usurpent l'identité de hauts fonctionnaires du gouvernement américain

Le Federal Bureau of Investigation (FBI) a déclaré le jeudi 15 mai que des acteurs malveillants se sont fait passer pour de hauts fonctionnaires du gouvernement américain dans le cadre d'une campagne de messagerie textuelle et vocale, utilisant des textes de phishing et des messages audio générés par l'Intelligence artificielle (IA) pour inciter d'autres fonctionnaires à donner accès à leurs comptes personnels.

Pour rappel, les « deepfakes » (portmanteau de « deep learning » et « fake ») sont des images, des vidéos ou des sons qui ont été édités ou générés à l'aide d'une intelligence artificielle, d'outils basés sur l'IA ou d'un logiciel de montage audiovisuel. Ils peuvent représenter des personnes réelles ou fictives et sont considérés comme une forme de média synthétique, c'est-à-dire un média généralement créé par des systèmes d'intelligence artificielle en combinant divers éléments médiatiques dans un nouvel artefact médiatique.

L'avertissement récent du FBI fournit peu de détails sur la campagne, qui a débuté en avril 2025 et semble se poursuivre. Les messages se présentaient sous la forme de textes ou de messages audio falsifiés de hauts fonctionnaires américains et étaient principalement envoyés à des « hauts fonctionnaires fédéraux ou d'État américains, actuels ou anciens, ainsi qu'à leurs contacts » afin d'obtenir l'accès à leurs comptes.

Le FBI conseille maintenant au public de ne pas présumer de l'authenticité d'un message prétendument envoyé par un haut fonctionnaire américain.

Nom : FBI deepfakes.PNG Affichages : 11279 Taille : 267,1 Ko

Il s'agit du dernier exemple en date d'acteurs malveillants utilisant l'IA et les techniques de « deepfake » pour imiter de manière réaliste la voix et la ressemblance d'autres personnes. La prolifération des modèles de langage et l'amélioration de leur capacité à créer des images vidéo et audio réalistes ont fait exploser leur utilisation dans les systèmes de phishing et les campagnes d'escroquerie.

L'utilisation la plus connue de cette technologie est sans doute l'usurpation d'identité de Joe Biden, alors président de la République, dans la période précédant les primaires présidentielles du New Hampshire en 2024. Le consultant politique Steve Kramer, en collaboration avec l'opposant démocrate Dean Phillips, a supervisé la création de l'audio, qui conseillait aux démocrates de ne pas se rendre aux urnes et qui a été envoyé aux électeurs quelques jours avant les primaires.

Steve Kramer a été condamné à une amende de 6 millions de dollars par la FCC pour cet incident et fait l'objet de poursuites pénales pour tentative de suppression d'électeurs en usurpant l'identité d'un candidat dans le New Hampshire.

Mais l'utilisation de deepfake audio dans le cadre d'escroqueries financières plus courantes et de projets d'espionnage et de cybercriminalité plus sophistiqués a fortement augmenté depuis l'apparition de cette technologie.

Pour ajouter aux inquiétudes, le ciblage apparent des comptes personnels dans cette campagne intervient alors que des organes de presse ont rapporté que de nombreux membres haut placés de l'administration Trump communiquent et coordonnent la politique du gouvernement américain à partir de leurs téléphones personnels et utilisent des versions tierces non sécurisées d'applications de messagerie chiffrées telles que Signal.

Les protections contre l'exploitation de ces technologies sont limitées. Il suffit d'être vigilant et de suivre les conseils de sécurité habituels, comme ne pas faire confiance à des interlocuteurs inconnus, vérifier les identités en appelant les numéros officiels et utiliser l'authentification multifactorielle pour sécuriser les comptes.

Lors d'une audition à la Chambre des représentants le même jour, le président de la Commission fédérale du commerce, Andrew Ferguson, a déclaré que la lutte contre l'usurpation d'identité par l'IA était l'une des principales priorités de l'agence, par le biais d'une nouvelle législation telle que la loi « Take It Down Act ».

« Je ne sais pas si quelqu'un a déjà reçu un appel d'un proche dont l'identité a été usurpée, mais j'ai des amis qui ont reçu des appels de membres de leur famille dont l'identité a été usurpée », a déclaré Andrew Ferguson aux législateurs. « C'est une expérience vraiment terrifiante. »

John Hultquist, analyste en chef du Google Threat Intelligence Group, a déclaré que « les adversaires pouvaient déjà falsifier du contenu auparavant, mais l'IA leur a certainement facilité la tâche et leur a permis de le faire à grande échelle ».

« Ils utilisent l'IA pour fabriquer des vidéos, du texte et du son depuis quelques années », a-t-il ajouté. « Et il est clair qu'ils s'améliorent ».

L'avertissement du FBI fait suite à la publication d'une fiche d'information sur la cybersécurité par la NSA, le FBI et la CISA, qui met en évidence la menace croissante des médias synthétiques. Le document met en garde contre le risque croissant que représentent les deepfakes pour les systèmes de sécurité nationale, le ministère de la défense et les infrastructures critiques, et invite à une prise de conscience accrue de la manière dont la tromperie induite par l'IA peut compromettre des informations sensibles.

Le contenu de la déclaration du FBI est présenté ci-après :

Citation Envoyé par le FBI
Le FBI publie cette annonce afin d'avertir le public et de lui donner des conseils pour atténuer les effets d'une campagne de messages textuels et vocaux malveillants en cours. Depuis avril 2025, des acteurs malveillants ont usurpé l'identité de hauts fonctionnaires américains pour cibler des personnes, dont beaucoup sont d'anciens ou d'actuels hauts fonctionnaires du gouvernement fédéral ou d'État des États-Unis, ainsi que leurs contacts. Si vous recevez un message prétendant provenir d'un haut fonctionnaire américain, ne pensez pas qu'il est authentique.

DÉTAILS SPÉCIFIQUES DE LA CAMPAGNE

Les acteurs malveillants ont envoyé des messages texte et des messages vocaux générés par l'IA - techniques connues sous le nom de smishing et vishing, respectivement - qui prétendent provenir d'un haut fonctionnaire américain dans le but d'établir un rapport avant d'obtenir l'accès à des comptes personnels. L'un des moyens utilisés par les acteurs pour obtenir cet accès est d'envoyer aux personnes ciblées un lien malveillant sous prétexte de passer à une autre plateforme de messagerie. L'accès à des comptes personnels ou officiels gérés par des fonctionnaires américains pourrait être utilisé pour cibler d'autres fonctionnaires, ou leurs associés et contacts, en utilisant les informations de contact fiables qu'ils obtiennent. Les informations de contact obtenues par le biais de systèmes d'ingénierie sociale pourraient également être utilisées pour se faire passer pour des contacts afin d'obtenir des informations ou des fonds.

Le « smishing » est le ciblage malveillant d'individus par le biais de messages courts (SMS) ou de messages multimédias (MMS). Le « vishing », qui peut intégrer des voix générées par l'IA, est le ciblage malveillant de personnes à l'aide de mémos vocaux. Le smishing et le vishing utilisent des tactiques similaires au spear phishing, qui utilise le courrier électronique pour cibler des individus ou des groupes spécifiques.

LE SMISHING, LE VISHING ET LE SPEAR PHISHING SONT DES TACTIQUES CRIMINELLES COURANTES

Traditionnellement, les acteurs malveillants utilisent le smishing, le vishing et le spear phishing pour passer à une plateforme de messagerie secondaire où ils peuvent présenter des logiciels malveillants ou introduire des liens hypertextes qui dirigent les cibles visées vers un site contrôlé par l'acteur qui vole les informations de connexion, comme les noms d'utilisateur et les mots de passe. Dans le cas du smishing, les acteurs malveillants utilisent généralement un logiciel pour générer des numéros de téléphone qui ne sont pas attribués à un téléphone portable ou à un abonné spécifique, afin d'entrer en contact avec une cible en se faisant passer pour un associé ou un membre de la famille. En ce qui concerne le vishing, les acteurs malveillants exploitent plus fréquemment des fichiers audio générés par l'IA pour se faire passer pour des personnalités connues ou des relations personnelles afin d'accroître la crédibilité de leurs stratagèmes.

RECOMMANDATIONS

Les conseils suivants peuvent être utilisés pour identifier un message suspect et vous aider à vous protéger contre cette campagne.

Repérer un faux message

  • Vérifiez l'identité de la personne qui vous appelle ou qui vous envoie des messages textuels ou vocaux. Avant de répondre, faites des recherches sur le numéro d'origine, l'organisation et/ou la personne qui prétend vous contacter. Ensuite, identifiez indépendamment un numéro de téléphone de la personne et appelez-la pour vérifier son authenticité.
  • Examinez attentivement l'adresse électronique, les coordonnées de messagerie, y compris les numéros de téléphone, les URL et l'orthographe utilisés dans toute correspondance ou communication. Les escrocs utilisent souvent de légères différences pour vous tromper et gagner votre confiance. Par exemple, les acteurs peuvent incorporer des photographies accessibles au public dans les messages textuels, utiliser des modifications mineures dans les noms et les informations de contact, ou utiliser des voix générées par l'intelligence artificielle pour se faire passer pour un contact connu.
  • Recherchez les imperfections subtiles dans les images et les vidéos, telles que des mains ou des pieds déformés, des traits de visage irréalistes, des visages indistincts ou irréguliers, des accessoires irréalistes tels que des lunettes ou des bijoux, des ombres imprécises, des filigranes, des temps de latence des appels vocaux, des correspondances vocales et des mouvements non naturels.
  • Écoutez attentivement le ton et le choix des mots pour distinguer un appel téléphonique ou un message vocal légitime provenant d'un contact connu d'un clonage vocal généré par l'IA, car ils peuvent avoir une sonorité presque identique.
  • Les contenus générés par l'IA ont progressé à tel point qu'ils sont souvent difficiles à identifier. En cas de doute sur l'authenticité d'une personne souhaitant communiquer avec vous, contactez vos responsables de la sécurité ou le FBI pour obtenir de l'aide.

Comment se protéger d'une fraude potentielle ou de la perte d'informations sensibles ?

  • Ne partagez jamais d'informations sensibles ou les coordonnées d'un associé avec des personnes que vous n'avez rencontrées qu'en ligne ou par téléphone. Si une personne que vous connaissez bien vous contacte par le biais d'une nouvelle plateforme ou d'un nouveau numéro de téléphone, vérifiez les nouvelles informations de contact par le biais d'une plateforme précédemment confirmée ou d'une source fiable.
  • N'envoyez pas d'argent, de cartes-cadeaux, de cryptomonnaies ou d'autres actifs à des personnes que vous ne connaissez pas ou que vous n'avez rencontrées qu'en ligne ou par téléphone. Si une personne que vous connaissez (ou un associé d'une personne que vous connaissez) vous demande d'envoyer de l'argent ou de la cryptomonnaie, confirmez indépendamment les informations de contact avant d'agir. Évaluez également de manière critique le contexte et la plausibilité de la demande.
  • Ne cliquez pas sur les liens contenus dans un courriel ou un message texte avant d'avoir confirmé de manière indépendante l'identité de l'expéditeur.
  • Faites attention à ce que vous téléchargez. N'ouvrez jamais une pièce jointe à un courriel, ne cliquez pas sur les liens contenus dans les messages et ne téléchargez pas d'applications à la demande ou de la part d'une personne dont vous n'avez pas vérifié l'identité.
  • Mettez en place l'authentification à deux facteurs (ou multi-facteurs) sur tous les comptes qui le permettent, et ne la désactivez jamais. Des acteurs peuvent utiliser des techniques d'ingénierie sociale pour vous convaincre de divulguer un code d'authentification à deux facteurs, ce qui permet à l'acteur de compromettre et de prendre le contrôle de comptes. Ne fournissez jamais un code d'authentification à deux facteurs à qui que ce soit par courriel, SMS/MMS ou application de messagerie chiffrée.
  • Créez un mot ou une phrase secrète avec les membres de votre famille pour vérifier leur identité.
Source : FBI

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous cette initiative du FBI crédible ou pertinente ?

Voir aussi :

Les "deepfakes" politiques représentent l'utilisation abusive la plus populaire de l'IA : sa faible technicité et son accessibilité ont accru l'utilisation malveillante de l'IA générative, selon DeepMind

Les deepfakes sont désormais le deuxième incident de sécurité le plus fréquent, les attaquants utilisent la technologie d'IA pour inciter les victimes à effectuer des transferts de fonds, d'après ISMS.online

Le FBI affirme que des personnes utilisent des deepfakes pour postuler à des emplois à distance, les imposteurs auraient pour but de voler les données sensibles des entreprises