Récemment, les chercheurs en cybermenaces ont tiré la sonnette d’alarme sur le danger croissant que représentent les « deepfakes ». Ils conseillent notamment de ne pas faire confiance à ses oreilles : à l’ère numérique de l’intelligence artificielle, la voix à l’autre bout de la ligne pourrait bien ne pas appartenir à la personne que vous croyez. D’ailleurs, pouvez-vous imaginer de quoi les gens avaient peur il y a plus d’un siècle ? À l’âge mécanique de la découverte scientifique, ils se méfiaient de… Oui ! Faire confiance à ce qu’ils entendaient. Après tout, qui pouvait garantir que la voix à l’autre bout de la ligne appartenait vraiment à la personne qu’ils croyaient ? Vous ne nous croyez pas ? Dans ce cas, examinons ensemble un cas d’usurpation d’identité à l’aide d’une technologie sophistiquée (pour l’époque) afin de voler de l’argent sur un compte bancaire, dans un film tourné en 1915 ! Bienvenue dans la série de films muets français Les Vampires.
Les Vampires
Petit spoiler : si vous cherchez des monstres surnaturels buveurs de sang, passez votre chemin. Le personnage principal, le journaliste Philippe Guérande, est confronté à un gang criminel audacieux qui se fait appeler les Vampires. Malgré son grand âge, le film a beaucoup à apporter en matière de sécurité de l’information. La première scène, par exemple, montre qu’il faut à tout prix empêcher des personnes extérieures d’accéder à des documents de travail.
Les Vampires eux-mêmes sont intéressants en raison de leur utilisation de méthodes qui, à l’époque, étaient totalement high-tech. Une grande partie du troisième épisode (Le cryptogramme rouge) porte sur l’analyse de chiffrements : Guérande cherche des schémas répétitifs dans les notes chiffrées des méchants. Quant à l’épisode 7 (Satanas), il porte sur une tentative d’usurpation d’identité. Mais comment peut-on usurper l’identité de quelqu’un avec la technologie du début du XXe siècle uniquement ?
Usurpation d’identité en 1915
En résumé, le plan des criminels est le suivant. Les Vampires apprennent que le magnat américain George Baldwin est en voyage à Paris, et décident de le délester d’une partie de son argent. Pour ce faire, ils conçoivent une attaque en plusieurs étapes. Tout d’abord, ils s’arrangent pour que le millionnaire soit interviewé par l’un des leurs, Fleur-de-Lys, qui se fait passer pour une journaliste du magazine Modern Woman. Elle explique à Baldwin que son magazine publie chaque mois une citation de célébrité et lui demande d’écrire quelques mots dans un carnet avant de les dater et de les signer.
Ensuite, une vendeuse prétendant appartenir à l’Universal Phonograph Company rend visite au millionnaire avec un nouvel objet technologique : un véritable phonographe, le premier appareil d’enregistrement et de reproduction du son. Elle explique à Baldwin que sa société a pour politique d’enregistrer les voix des personnes célèbres qui visitent Paris. Il tombe dans le panneau et dicte la seule phrase qu’il sait prononcer en français : « Les Parisiennes sont les femmes les plus charmantes que j’aie jamais vues », en ajoutant « All right ! » en anglais à la fin.
L’escroquerie est alors révélée au spectateur dans toute son ampleur. Le but de la première étape était, bien sûr, de voler la signature du magnat. Sous la feuille sur laquelle Baldwin a laissé son autographe, il y avait une sorte de papier carbone, qui a capturé la signature et la date. Au-dessus, les malfaiteurs rédigent un faux ordre obligeant la New American Bank à verser à Fleur-de-Lys (la journaliste) la somme de 100 000 dollars américains (une somme rondelette aujourd’hui, alors imaginez il y a un siècle !)
Ensuite, ils enlèvent l’opératrice téléphonique de l’hôtel de Baldwin et envoient une autre complice à sa place avec une note : « Je suis malade, j’envoie ma cousine pour me remplacer ». La direction de l’hôtel gobe cette astuce ultra-simple, et confie le téléphone à une parfaite inconnue.
Pendant ce temps, Fleur-de-Lys se rend à la banque avec le faux ordre de paiement. L’employé de la caisse décide de vérifier la légitimité de la transaction et appelle l’hôtel où séjourne Baldwin. Là, la fausse opératrice téléphonique diffuse l’enregistrement du millionnaire prononçant sa phrase d’accroche, ce qui persuade l’employé de remettre les fonds.
Dans quelle mesure ce stratagème est-il réalisable ?
Bien sûr, c’est en grande partie du cinéma. Comment un employé parisien d’une banque américaine pourrait-il connaître la signature, et a fortiori la voix, d’un millionnaire américain en 1915 ? Sans parler du fait que les lignes téléphoniques de l’époque auraient probablement déformé cette voix au point de la rendre méconnaissable. Cela dit, le stratagème lui-même est une mise en œuvre classique d’une attaque de type « man-in-the-middle » (MitM) : l’employé est sûr que la voix appartient à Baldwin, qui pense à son tour qu’il l’a fournie plus tôt à « l’entreprise de phonographes ».
De plus, le film présente un contournement d’un double facteur d’authentification : le vol de signature et la fausse confirmation vocale. Bien sûr, tout cela se fait désormais à l’aide de technologies numériques, mais le scénario de base de l’attaque reste le même. Les principales solutions auraient donc pu être formulées il y a plus d’un siècle :
- Ne donnez pas à des personnes extérieures l’accès à des canaux de communication (faux opérateur téléphonique).
- Ne partagez jamais vos données personnelles confidentielles avec qui que ce soit (signature et données biométriques vocales).
- En cas de doute, vérifiez la légitimité des instructions (la phrase « Les Parisiennes sont les femmes les plus charmantes que j’aie jamais vues », ce n’est pas une vérification très solide).
Aujourd’hui, vous pouvez voir cette merveilleuse série de films sur Wikipédia. Cependant, si vos employés ne sont pas prêts à être formés en cybersécurité par des films muets, nous vous recommandons d’utiliser notre Kaspersky Automated Security Awareness Platform à la place.