Éd. Remarque : Il s’agit du dernier article de la série Cybersécurité : conseils tirés des tranchées, rédigé par nos amis de Sensei Enterprises, un fournisseur spécialisé de services informatiques, de cybersécurité et d’investigation numérique.
L’essor des deepfakes
Même si les avocats sont certainement au courant des deepfakes depuis des années, tout le monde luttait contre les infections par des logiciels malveillants. Comme nous le rappelons constamment aux avocats, le monde de la cybersécurité évolue rapidement – et les cabinets d’avocats prudents évolueront également.
Au cours de l’année écoulée, les deepfakes sont devenus le deuxième incident de cybersécurité le plus courant, juste derrière les infections persistantes par des logiciels malveillants contre lesquelles les cabinets d’avocats luttent depuis des années.
Attention, nous ne suggérons pas (encore) que les cabinets d’avocats sont inondés de deepfakes. Cependant, après avoir observé la montée des deepfakes dans les entreprises, les cabinets d’avocats savent très bien qu’ils seront invités à la fête par des cybercriminels – et qu’ils doivent s’y préparer.
Formation de sensibilisation à la cybersécurité
Au fil des années, nous avons dispensé des centaines de CLE sur la formation en cybersécurité pour les cabinets d’avocats, mais pour la première fois, nous incluons désormais une formation pour protéger les cabinets d’avocats contre les deepfakes, qui pourraient bien impliquer des choses telles que le clonage de la voix des clients ainsi que d’autres formes de contrefaçons profondes.
Cela ne prend que quelques secondes pour cloner la voix d’un client à partir d’un échantillon de voix. Bien qu’il existe de nombreuses permutations de deepfakes, un scénario courant pour un cabinet d’avocats pourrait être un appel demandant à un avocat de transférer une grosse somme d’argent dans le cadre d’une transaction commerciale. Il est étonnant de constater la quantité d’informations dont disposent les cybercriminels pour rendre de telles demandes plausibles.
Les cabinets d’avocats détiennent certaines des données les plus sensibles de leurs clients, et pourtant ils ne sont pas préparés à protéger ces données de manière adéquate. Les deepfakes peuvent constituer un défi considérable pour les cabinets d’avocats s’ils ne mettent pas en place une formation adéquate.
Comment pouvez-vous vous défendre contre les Deepfakes ?
Bien que chaque scénario de deepfake puisse être différent, il existe des moyens de défendre à nouveau les deepfakes ! Rien de coûteux ou de compliqué à cela, mais pourquoi ne pas définir un mot de code secret ? Peut-être un mot peu susceptible d’apparaître dans une conversation juridique comme « dinosaure » ou « balade en foin » ? Chaque fois qu’un client vous appelle – ou communique avec vous via toute forme de communication audio ou vidéo non sécurisée, demandez le mot de code. S’ils ne l’ont pas, mettez fin à la communication.
Attention, ils pourraient dire qu’ils ont oublié le mot de code. Commencez depuis le début – vous les appelez à un bon numéro connu et établissez un nouveau mot de code. Est-ce parfait ou tout compris pour vous protéger ? Non, mais c’est un début et cela ne coûte pas un centime.
Changez les mots de code de temps en temps, juste au cas où. Nous sommes certains que les systèmes de gestion des cabinets juridiques intégreront (si ce n’est déjà fait) des techniques de vérification dans leurs systèmes permettant une authentification bidirectionnelle.
Les caractéristiques éprouvées et vraies des Deepfakes
Une caractéristique : la communication est urgente, surtout lorsque les fonds doivent être transférés immédiatement. Les auteurs s’accordent tous à dire qu’il convient d’être particulièrement prudent lorsqu’on vous demande de négocier dans des cryptomonnaies qui comportent encore souvent de nombreux risques.
Des cartes cadeaux ? Oh oui, nous avons vu un cabinet d’avocats où un employé a été invité à acheter des cartes-cadeaux par « l’associé directeur ». Elle a acheté pour 1 200 $ de cartes-cadeaux qui ont fini entre les mains du criminel. Et non, la firme ne l’a pas remboursée. Nous supposons que c’est la version d’un « amour dur » d’un cabinet d’avocats.
D’autres indicateurs de fraude probable incluent les avertissements « ne dites à personne ce que vous faites », la demande d’informations personnelles/de confirmation et le fait de vous demander de garder la communication elle-même « au plus bas ».
Choses utilisées pour identifier les deepfakes
Il n’y a pas si longtemps, le monde était plus simple. Vous pouvez regarder une vidéo deepfake et voir des choses comme des tons de peau étranges, des effets de lumière étranges ou des mouvements saccadés. Le discours ne sonnait pas tout à fait correctement ou n’était pas synchronisé. Peut-être que les yeux ne clignaient pas ou que le corps bougeait un peu étrangement. Vous verrez encore certains des anciens défauts, mais l’intelligence artificielle rend de plus en plus difficile la détection de nombreux deepfakes.
D’un autre côté, l’IA est désormais souvent utilisée pour détecter les deepfakes générés par l’IA. Et il est très probable que, même si les deepfakes de l’IA s’améliorent de plus en plus, les technologies de détection des deepfakes de l’IA le seront également. Notre ennemi est aussi notre ami en matière d’IA.
Dernières pensées
À lire attentivement : l’histoire de la façon dont un employé financier d’une entreprise multinationale a été amené à payer 25 millions de dollars par un appel vidéo truqué du directeur financier de l’entreprise, auquel participaient plusieurs membres du personnel, tous également truqués. . Il est temps pour les cabinets d’avocats de se préparer aux attaques de deepfake avant qu’elles ne fassent elles aussi la une des journaux !
Sharon D. Nelson (snelson@senseient.com) est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek (jsimek@senseient.com) est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert de renommée nationale dans le domaine de la criminalistique numérique. . Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et d’investigation numérique depuis leur cabinet de Fairfax, en Virginie.
Michael C. Maschke (mmaschke@senseient.com) est le PDG/directeur de la cybersécurité et de la criminalistique numérique de Sensei Enterprises, Inc. Il est un examinateur certifié EnCase, un examinateur informatique certifié (CCE #744), un hacker éthique certifié et un examinateur certifié AccessData. Il est également un professionnel certifié en sécurité des systèmes d’information.
