Nouvel article de Vitalik : Les défis de sécurité à l'ère du deepfake
TechFlow SélectionTechFlow Sélection
Nouvel article de Vitalik : Les défis de sécurité à l'ère du deepfake
À l'ère des deepfakes, des stratégies de sécurité et des méthodes d'authentification efficaces sont essentielles.
Dédié à des analyses Web3 approfondiesAuteur : Vitalik
Traduction : BlockBeats
Note de la rédaction :
Le 4 février, un employé financier d'une entreprise multinationale a été victime d'une arnaque de 25 millions de dollars lors d'une vidéoconférence, où des fraudeurs ont utilisé une technique de deepfake pour se faire passer pour le directeur financier de l'entreprise. Initialement, cet employé avait suspecté un e-mail de phishing après avoir reçu un message prétendument envoyé par le directeur financier basé au Royaume-Uni, mentionnant une transaction secrète. Cependant, à l'issue d'un appel vidéo, il abandonna ses doutes initiaux car toutes les personnes présentes semblaient et sonnaient comme ses collègues habituels — alors qu'en réalité, elles étaient toutes des produits de deepfakes.
À ce sujet, Vitalik estime que la cryptographie seule ne peut pas tout résoudre. Il souligne qu'il serait pertinent d'intégrer aux processus de sécurité des questions reposant sur des informations que les humains retiennent naturellement, en complément d'autres couches de protection. Toutefois, il reconnaît également que bien que ces questions de sécurité soient utiles, elles ne sont pas encore assez conviviales.
Voici la traduction de l'article original :
Remerciements particuliers à Hudson Jameson, OfficerCIA et samczsun pour leurs retours et relectures.
Une article a récemment circulé, racontant comment une entreprise a perdu 25 millions de dollars après qu’un employé des finances ait transféré des fonds à un escroc se faisant passer pour le directeur financier via une vidéoconférence utilisant une technologie très réaliste de deepfake.
Récemment, la technologie du deepfake (audio et vidéo falsifiés générés par intelligence artificielle) apparaît de plus en plus fréquemment dans le domaine des cryptomonnaies ainsi que dans d'autres secteurs. Au cours des derniers mois, mes propres vidéos deepfakes ont été utilisées pour promouvoir diverses arnaques et des dogecoins. La qualité des deepfakes s'améliore rapidement : ceux de 2020 étaient très mauvais, mais ces derniers mois, ils deviennent de plus en plus difficiles à distinguer d'originaux. Les personnes qui me connaissent bien peuvent encore identifier comme fausses les vidéos où je promeus le dogecoin, parce que dans celles-ci je dis « let's f***ing go », alors que moi-même n'utilise que « LFG » (pour « looking for group »). Mais quelqu'un qui n'a entendu ma voix qu'à quelques reprises pourrait facilement être trompé.
J'ai évoqué cette affaire de vol de 25 millions de dollars auprès d'experts en sécurité, qui ont tous convenu qu'il s'agissait d'un échec inhabituel et embarrassant sur plusieurs niveaux de la sécurité opérationnelle de l'entreprise. La pratique standard consiste à exiger plusieurs niveaux d'autorisation avant d'approuver un virement approchant un tel montant. Mais le fait demeure : en 2024, ni un flux audio ni vidéo d'une personne ne constituent plus une méthode sûre pour confirmer son identité.
Ce constat soulève une question : quelle est donc une méthode sûre d'authentification ?
La cryptographie seule ne suffit pas
Être capable de vérifier de façon sécurisée l'identité des gens est crucial dans de nombreuses situations pour diverses personnes : les individus doivent pouvoir récupérer leur portefeuille multisignature ou à récupération sociale, les entreprises doivent valider des transactions commerciales, les particuliers doivent approuver de gros transferts à usage personnel (par exemple investir dans une startup, acheter une maison, envoyer un virement), qu'ils utilisent des cryptomonnaies ou des monnaies fiduciaires, et même les membres d'une famille doivent parfois s'authentifier mutuellement en cas d'urgence. Nous avons donc besoin d'une bonne solution face à l'ère imminente des vidéos deepfake.
Dans les cercles crypto, une réponse courante à ce problème est : « Tu peux t'authentifier en fournissant une signature cryptographique de ton adresse ENS / profil Proof of Humanity / clé publique PGP ». Cette réponse est attrayante. Pourtant, elle ignore totalement pourquoi il est utile d’impliquer d’autres personnes lors de la validation d’une transaction. Supposons que vous représentiez un utilisateur individuel possédant un portefeuille multisignature personnel, et que vous souhaitiez envoyer une transaction nécessitant l'approbation de certains co-signataires. Dans quel cas accepteraient-ils ? Quand ils seront certains que c'est bien vous qui souhaitez effectuer ce transfert. S'ils jugent que l'initiateur de la transaction est un pirate ayant volé vos clés, ou un ravisseur, ils refuseront. En milieu professionnel, il existe souvent davantage de couches de défense ; néanmoins, un attaquant pourrait se faire passer pour un manager non seulement pour la demande finale, mais aussi durant les étapes préalables du processus d'approbation. Il pourrait même détournement une requête légitime en fournissant une mauvaise adresse.
Par conséquent, dans de nombreux cas, le fait que les autres signataires acceptent votre signature avec votre clé pour confirmer « que vous êtes bien vous » ruine tout l'objectif : cela transforme tout le contrat en une multisignature 1 sur 1, où il suffit de contrôler votre unique clé pour voler les fonds !
C’est là que nous arrivons à une réponse quelque peu pragmatique : les questions de sécurité.
Les questions de sécurité
Supposons que quelqu’un vous envoie un message texte en prétendant être votre ami X. Il utilise un compte que vous n’avez jamais vu auparavant, affirmant avoir perdu tous ses appareils. Comment pouvez-vous être sûr qu’il s’agit bien de lui ?
Il existe une réponse évidente : posez-lui des questions dont seul lui connaît la réponse, qui devraient concerner :
-
des choses que vous connaissez
-
des choses que vous vous attendez à ce qu’il se rappelle
-
des choses inconnues d’internet
-
des choses difficiles à deviner
-
idéalement, des choses que même ceux ayant piraté des bases de données d’entreprises ou de gouvernements ignorent
Naturellement, on pense aux expériences partagées, par exemple :
-
Dans quel restaurant avons-nous dîné lors de notre dernière rencontre ? Qu’as-tu mangé ?
-
Lequel de nos amis a fait une blague sur un ancien homme politique ? De qui s’agissait-il ?
-
Quel film récent n’as-tu pas aimé ?
-
La semaine dernière, tu m’as suggéré de parler à X pour voir s’il pouvait nous aider dans notre recherche XXX ?
Exemple réel de question de sécurité utilisée récemment pour vérifier mon identité
Plus vos questions sont uniques, mieux c’est. Les meilleures sont celles qui obligent la personne à réfléchir quelques secondes, voire risquent d’être oubliées. Si la personne interrogée prétend ne pas s’en souvenir, posez-lui trois autres questions. Poser des détails « microscopiques » (ce que quelqu’un aime ou n’aime pas, une blague précise, etc.) est généralement meilleur que des détails « macroscopiques », car ces derniers sont plus faciles à découvrir accidentellement pour un tiers. Par exemple, même si une seule personne a publié une photo du dîner sur Instagram, un grand modèle linguistique moderne (LLM) pourrait rapidement extraire l’information et fournir l’emplacement en temps réel. Si votre question comporte peu d'options plausibles (donc peut être devinée), ajoutez-en une autre pour augmenter l’entropie.
Si les questions de sécurité sont ennuyeuses, les gens cessent généralement de suivre les bonnes pratiques. Elles devraient donc être amusantes. Elles peuvent devenir un moyen de revivre positivement des expériences partagées, et même motiver concrètement à vivre de telles expériences.
Compléments aux questions de sécurité
-
Aucune stratégie unique n’est parfaite ; il est donc préférable de toujours combiner plusieurs techniques.
-
Mot de passe prédéfini : quand vous êtes ensemble, convenez intentionnellement d’un mot de passe commun pour vous authentifier mutuellement plus tard.
-
Vous pourriez même convenir d’une clé d’urgence : un mot que vous pouvez insérer discrètement dans une phrase pour indiquer que vous êtes sous contrainte ou menacé. Ce mot doit être suffisamment courant pour paraître naturel lorsqu’utilisé, mais assez rare pour ne pas être prononcé par hasard.
-
Lorsque quelqu’un vous envoie une adresse ETH, demandez-lui de la confirmer sur plusieurs canaux (par exemple par message privé Signal et Twitter, sur le site web de l’entreprise, voire via un contact commun).
-
Prévention des attaques de l’homme du milieu : les « chiffres de sécurité » de Signal, les émoticônes de Telegram et fonctionnalités similaires méritent attention et vigilance.
-
Plafonds quotidiens et délais : appliquer simplement un délai aux opérations critiques et irréversibles. Cela peut se faire au niveau des politiques (pré-accord avec les signataires sur un délai de N heures ou jours avant toute signature), ou au niveau du code (en imposant des restrictions et délais dans le code du contrat intelligent).
Une attaque avancée possible consiste à ce qu’un attaquant se fasse passer à la fois pour un cadre dirigeant et pour le bénéficiaire à plusieurs étapes du processus d’approbation. Les questions de sécurité et les délais permettent tous deux de contrer ce scénario ; mieux vaut les utiliser conjointement.
Les questions de sécurité sont utiles car, contrairement à beaucoup d'autres technologies, elles échouent non pas par manque d’amabilité, mais parce qu’elles ne sont pas assez humaines. Elles reposent sur des informations que les êtres humains retiennent naturellement. J’utilise des questions de sécurité depuis des années, et c’est en réalité une habitude très naturelle et non gênante, qu’il convient d’intégrer dans les workflows, en complément d’autres couches de protection.
Notez que les questions de sécurité « personne à personne » décrites ci-dessus sont très différentes des questions « entreprise à personne », comme lorsque, après avoir désactivé plusieurs fois votre carte bancaire en voyageant à l’étranger, vous appelez la banque pour la réactiver, patientez 40 minutes en musique d’attente, puis un employé vous demande votre nom, date de naissance, et peut-être les trois dernières transactions. Le type de questions dont une personne connaît la réponse diffère fortement de celui qu’une entreprise connaît. Il est donc pertinent d’examiner séparément ces deux cas.
Chaque situation est unique, donc le type d’informations partagées entre vous et la personne à authentifier varie. Il est généralement préférable d’adapter les techniques à la situation des gens, plutôt que d’essayer de forcer les gens à s’adapter aux techniques. Une méthode n’a pas besoin d’être parfaite pour être efficace. L’approche idéale consiste à combiner plusieurs techniques, et à choisir celles qui vous conviennent le mieux. À l’ère post-deepfake, nous devons vraiment adapter nos stratégies aux nouvelles réalités : ce qui est désormais facile à falsifier, et ce qui reste difficile à falsifier. Mais tant que nous le faisons, rester en sécurité reste tout à fait possible.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@VitalikButerin
