Deepfakes sur LinkedIn : les faux profils envahissent le réseau pro

Deepfakes sur LinkedIn : les faux profils envahissent le réseau pro

LinkedIn n'est malheureusement pas à l'abri des arnaques ! De faux profils envahissent le réseau social professionnel, affichant des photos de profil générées par une intelligence artificielle et des biographies réalistes, mais bidons.

Comme tout bon réseau social qui se respecte, LinkedIn est une plateforme très appréciée des pirates et autres bots – des programmes informatiques automatisés qui simulent le comportement d'une personne humaine. Pourtant, la plateforme avait jusqu'ici réussi à garder une image sérieuse et fiable – un faux sentiment de sécurité parfait pour que l'utilisateur baisse sa garde. Il faut dire que, dans le milieu professionnel, LinkedIn est un outil indispensable pour garder contact avec ses collègues et clients, trouver un nouvel emploi et se tenir informé des actualités dans son secteur d'activité. Or, des personnes avec de mauvaises intentions créent de nombreux faux profils en utilisant une intelligence artificielle et copient les textes de présentation d'autres comptes – réels cette fois. La combinaison parfaite pour paraître plus vraie que nature, et qui se révèle plutôt problématique pour les nombreux responsables RH et administrateurs de groupes – qui doivent valider un profil avant de l'accepter.

Deepfakes sur LinkedIn : de faux comptes générés grâce à une intelligence artificielle

Le site KrebsOnSecurity a récemment mené plusieurs enquêtes sur la prolifération de faux profils sur LinkedIn. Hamish Taylor, l'administrateur d'un groupe comptant près de 300 000 membres, affirme avoir bloqué à lui seul près de 13 000 faux comptes en 2022, dont certains étaient des "tentatives cyniques d'exploiter les experts de l'aide humanitaire et de l'aide en cas de crise", comme de prétendus experts, en matière de reprise après sinistre, à la suite des récents ouragans. Des " essaims " qui se multiplient depuis janvier 2022. Mark Miller, l'administrateur du groupe d'informatique DevOps, remarque que les faux profils tentent de s'inscrire dans les différents groupes par vagues successives : "lorsqu'un bot tente d'infiltrer le groupe, il le fait par vagues. Nous voyons arriver 20 à 30 demandes avec le même type d'informations dans les profils."

Les administrateurs de groupes ne sont pas les seuls à souffrir de ces faux comptes, les entreprises aussi ! Certaines ont eu la mauvaise surprise de découvrir plusieurs profils assez similaires affirmant travailler pour eux, alors que ce ne sont même pas de vraies personnes. Des tests ont été réalisés sur leur photo, et révèlent qu'elles ressemblent à d'autres photos publiées sur Internet, mais sans jamais leur correspondre exactement. Il est donc fort probable qu'il s'agisse de deepkakes – une superposition de photos réalisée par une intelligence artificielle (IA). Plusieurs lecteurs ont signalé une source probable : le site web thispersondoesnotexist.com, qui permet d'utiliser l'IA pour créer des portraits uniques en un clin d'œil.

Deepfakes sur LinkedIn : des motivations encore mal déterminées

Les faux comptes peuvent avoir des utilisations très variées – mais toutes aussi malhonnêtes. Fausses offres d'emploi pour voler des informations, escroqueries au recrutement, des phishing classiques… Mais certaines sont plus imaginatives. Ainsi, les faux profils peuvent parfois être liés aux escroqueries dites "pig butchering", dans laquelle des pirates convainquent leurs victimes d'investir dans des plateformes d'échange de cryptomonnaies, et finissent par saisir tous les fonds au moment d'encaisser. Plus étonnant : la société de cybersécurité Mandiant – qui vient tout juste d'être rachetée par Google – a déclaré à Bloomberg que des pirates informatiques travaillant pour le gouvernement nord-coréen avaient copié des CV et des profils sur les principales plateformes d'offres d'emploi LinkedIn et Indeed, afin d'obtenir des emplois dans des sociétés de cryptomonnaies.

Toutefois, les bots repérés par KrebsOnSecurity constituent un cas différent, et leurs motivations restent floues. En effet, ils ne semblent réaliser aucune arnaque, même lorsqu'on leur tend le bâton. Ils ne répondent pas aux messages et ne publient rien. Les faux comptes ont plutôt l'air d'être créés et immédiatement abandonnés. Hamish Taylor estime que c'est plutôt inquiétant : "on dirait que quelqu'un met en place cet énorme réseau de robots pour répéter et amplifier un message de propagande à travers une publication de masse au moment opportun". Quoi qu'il en soit, les faux profils sont un vrai fléau, et on espère que LinkedIn réagira en conséquence. Bloomberg note d'ailleurs que la plateforme a jusqu'ici réussi à éviter les scandales à ce propos, contrairement à Facebook et Twitter. Mais les choses pourraient bien changer…