Les contrôles courants mis en place pour lutter contre la fraude financière – les mesures de lutte contre le blanchiment d’argent (AML) et les exigences en matière de connaissance du client (KYC) – ont peut-être trouvé leur équivalent dans l’IA.
Un service clandestin appelé OnlyFake s’appuie sur des « réseaux neuronaux » pour créer de fausses cartes d’identité de haute qualité. Selon un rapport de 404 Media, n’importe qui peut obtenir instantanément de fausses cartes d’identité d’un réalisme saisissant pour seulement 15 dollars, ce qui pourrait faciliter toute une série d’activités illicites.
Le compte Telegram original d’OnlyFake, sa principale plateforme de contact avec les clients, a été fermé. Mais son nouveau compte déclare la fin de l’ère Photoshop, se vantant de sa capacité à produire des documents en masse à l’aide de « générateurs » avancés.
Le propriétaire du site, sous le pseudonyme de John Wick, a déclaré que le service pouvait générer des centaines de documents par lots à partir d’un ensemble de données Excel.
Les images sont si bonnes que 404 Media a pu passer les mesures KYC d’OKX, un échange de crypto-monnaies qui utilise le service de vérification tiers Jumio pour vérifier les documents de ses clients. Un chercheur en cybersécurité a déclaré au média que les utilisateurs envoyaient des identifiants OnlyFake pour ouvrir des comptes bancaires et faire débloquer leurs comptes de crypto-monnaies.
Comment c’est fait
Le service OnlyFake utilise une technologie d’IA largement basique, mais très sophistiquée.
À l’aide de réseaux adverbiaux génératifs (GAN), une forme d’IA, les développeurs peuvent concevoir un réseau neuronal optimisé pour tromper un autre réseau neuronal conçu pour détecter les fausses générations. Cependant, à chaque interaction, les deux réseaux évoluent et s’améliorent dans la fabrication et la détection des faux.
Une autre approche consiste à entraîner un modèle basé sur la diffusion à l’aide d’un ensemble de données massives et bien sélectionnées de vraies pièces d’identité. Ces modèles sont capables de synthétiser des images extrêmement réalistes en s’entraînant sur de vastes ensembles de données d’articles spécifiques. Ils apprennent à reproduire d’infimes détails qui rendent les faux pratiquement impossibles à distinguer des documents authentiques, déjouant ainsi les méthodes traditionnelles de détection des falsifications.
Devriez-vous prendre le risque ?
Pour ceux qui cherchent à éviter d’avoir à utiliser leur véritable identité, OnlyFake est probablement tentant. Mais l’utilisation de ce service soulève des questions éthiques et juridiques. Sous le vernis de l’anonymat et l’attrait de la facilité d’accès, ces opérations reposent sur des bases très fragiles.
Parce qu’elle distribue de fausses cartes d’identité en provenance de nombreux pays, dont les États-Unis, l’Italie, la Chine, la Russie, l’Argentine, la République tchèque et le Canada, cette entreprise ouvertement criminelle a sans aucun doute attiré l’attention des organismes chargés de l’application de la loi dans le monde entier.
En d’autres termes, il se peut que Big Brother nous surveille déjà.
Les risques ne s’arrêtent pas là. John Wick, par exemple, pourrait conserver une liste de clients, ce qui serait catastrophique pour OnlyFake et ses utilisateurs. En outre, le nouveau groupe OnlyFake Telegram compte plus de 600 membres, dont la plupart pourraient être retrouvés grâce à leurs numéros de téléphone.
Bien qu’évident, il convient de mentionner que le paiement d’OnlyFake par les méthodes traditionnelles de paiement numérique est à proscrire.
Même si les paiements en crypto-monnaie offrent une certaine confidentialité, ils ne sont pas non plus totalement à l’abri d’une révélation d’identité. D’innombrables services prétendent être en mesure de suivre les transactions en crypto-monnaie, et les monnaies numériques commencent donc à perdre l’anonymat qui leur est associé.
Et non, OnlyFake n’accepte pas le jeton de confidentialité Monero.
Plus important encore, l’achat d’une fausse carte d’identité est en contradiction directe avec les politiques AML et KYC, qui sont au moins ostensiblement en place pour lutter contre le financement du terrorisme et d’autres activités criminelles.
Les affaires sont peut-être en plein essor, mais les ramifications possibles valent-elles la commodité rapide et abordable ?
Réglementation évolutive
Les autorités de réglementation tentent déjà de s’attaquer à cette nouvelle menace. Le 29 janvier, le ministère américain du commerce a proposé une série de règles intitulées « Taking Additional Steps To Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities » (prendre des mesures supplémentaires pour répondre à l’urgence nationale en ce qui concerne les activités cybernétiques malveillantes importantes).
Le ministère souhaite exiger des fournisseurs d’infrastructures qu’ils signalent les personnes étrangères qui tentent d’entraîner de grands modèles d’IA, quelle qu’en soit la raison – mais les cas où les « deepfakes » pourraient être utilisés à des fins de fraude ou d’espionnage sont certainement au centre de l’attention.
Ces mesures ne seront peut-être pas suffisantes.
« La chute de KYC était inévitable, l’IA fabriquant désormais de fausses cartes d’identité qui passent sans problème les vérifications », a déclaré Torsten Stüber, directeur technique de Satoshi Pay, sur Twitter. « Il est temps de changer de cap : Si une réglementation rigoureuse est indispensable, les gouvernements doivent abandonner la bureaucratie obsolète au profit d’une technologie cryptographique permettant une vérification d’identité sécurisée par un tiers. »
Bien entendu, l’utilisation de l’IA dans la tromperie va au-delà des fausses cartes d’identité. Les robots de Telegram proposent désormais des services allant de la création de vidéos personnalisées (deepfake), où le visage d’une personne est superposé à une séquence existante, à la création d’images inexistantes de personnes nues (deepnude).
Contrairement aux services précédents, ceux-ci ne requièrent pas de grandes connaissances ni même de matériel puissant, ce qui rend la technologie largement accessible sans même avoir à télécharger des outils gratuits de retouche d’images.
