Logo - Les Affaires
Logo - Les Affaires

Employeurs, prenez garde à la cyberdiffamation!

Olivier Schmouker|Publié le 07 novembre 2023

Employeurs, prenez garde à la cyberdiffamation!

Une cinquantaine d’employés des ressources humaines de deux grandes entreprises technologiques établies à Toronto sont devenus la cible d’une vaste opération de cyberdiffamation. Cela a pris plusieurs années pour récolter les preuves nécessaires et irréfutables permettant de confondre le cyberharceleur. (Photo: 123RF)

CYBERSÉCURITÉ. Les avancées numériques vont à une vitesse folle. En 1999, Netflix avait obtenu son premier million d’utilisateurs après trois années et demie d’existence, selon Statista. En 2004, il avait fallu 10 mois à Facebook pour obtenir la même chose. En 2020, 5 mois à Instagram. Et pour ChatGPT ? Seulement 5 jours, en 2022. Le hic, c’est que la criminalité numérique se développe tout aussi vite, et vise maintenant en particulier les employeurs, comme cela a été mis en évidence par différents experts lors de la conférence de l’Association des examinateurs certifiés en fraude (ACFE), branche Canada, qui s’est tenue à la fin d’octobre au Palais des congrès de Montréal.

La podcasteuse canadienne Amber Mac a donné un exemple frappant : « Il suffit d’utiliser un logiciel de deepfake (hypertrucage) pour faire croire à s’y méprendre qu’un PDG a tourné dans un film pornographique, et salir sa réputation à tout jamais, à moins que la victime ne verse une rançon », a-t-elle illustré.
Autre exemple : un employé en télétravail peut faire croire qu’il travaille fort alors qu’en réalité il se tourne les pouces pendant que des IA effectuent ses tâches à sa place. Ainsi, Jasper.ai, un « ChatGPT sous stéroïde », peut écrire un texte à partir d’une poignée d’informations, en l’illustrant même avec des graphiques, des photos, voire des vidéos. Ou bien, Otter.ai peut, simplement en regardant le Zoom d’une visioconférence, en tirer un résumé écrit en un clin d’œil, tâche dont s’était chargé un employé en faisant croire que ça lui prendrait une heure ou deux.
« L’utilisation de l’IA devient frauduleuse dès lors que l’employé en profite pour faire autre chose, aux frais de l’employeur : regarder une série sur Netflix, travailler auprès d’un autre employeur, etc. », indique Karen Wensley, administratrice de sociétés, de Gore Mutual Insurance, à Cambridge, en Ontario. Et elle souligne : « Nous n’avons encore rien vu, dit-elle. L’IA est en train de repousser les limites de la fraude par-delà l’entendement ».
***

Ryan Duquette est responsable national de la criminalistique numérique chez MNP, à Toronto. Il note que les outils numériques sont aujourd’hui si faciles d’utilisation que cela donne des idées aux personnes malveillantes, même si elles ne sont pas des championnes de la technologie. Dernièrement, il a travaillé pour une PME qui subissait une virulente campagne de salissage en ligne concernant notamment sa gestion des ressources humaines; il ne lui a fallu que quelques jours d’enquête pour découvrir l’adresse IP (le numéro d’identification) de l’ordinateur du cyberharceleur, qui n’était autre que… la conjointe du PDG de la PME rivale. 

Mais à présent, les attaques se font nettement plus sophistiquées, et donc complexes à enrayer. Même si elles sont le fruit d’un seul individu technophile œuvrant dans l’ombre. 

Du jour au lendemain, une cinquantaine d’employés des ressources humaines de deux grandes entreprises technologiques établies à Toronto sont devenus la cible d’une vaste opération de cyberdiffamation. Des photos d’elles capturées depuis des médias sociaux se sont mises à circuler en ligne, les présentant comme des prédateurs sexuels, des racistes, des criminels. Et assez vite, des collègues et des amis ont appelé les personnes concernées pour leur demander ce qui se passait, ou pis, si c’était vrai ce qui était dit à leur sujet, ici et là (car, c’est bien connu, il n’y a jamais de fumée sans feu, dit-on!). 

Ryan Duquette (Photo: courtoisie)

Ryan Duquette a été chargé de l’enquête, cela lui a pris plusieurs années pour récolter les preuves nécessaires et irréfutables permettant de confondre le cyberharceleur. C’est que ce dernier était doué pour changer ses adresses IP, ses adresses de courriel, ou encore les lieux où il sévissait (tantôt un Starbucks, tantôt la bibliothèque de l’Université de Toronto, etc.). Tanvir Farid a finalement été pris la main dans le sac, et a été condamné en juin dernier à payer 4,8 millions de dollars à 53 plaignants; il leur en voulait de ne pas l’avoir embauché. 

«Les dégâts psychologiques de la cyberdiffamation sont parfois considérables, dit Ryan Duquette. Je connais des plaignants qui vivent encore dans la peur, qui tremblent en ouvrant leur boîte de courriels, redoutant d’y découvrir un nouveau message horripilant.»

Maintenant, comment un employeur peut-il parer la cyberdiffamation, ou mieux, s’en prémunir? Voici trois trucs préconisés par Ryan Duquette et Garth Sheriff, le fondateur de Sheriff Consulting, à Toronto.

1. Créer un Google Alertes axé sur l’entreprise et ses principaux dirigeants. Comme ça, l’alarme sonnera immédiatement si jamais des rumeurs malveillantes se mettent à circuler sur Internet. Il sera dès lors possible de réagir vite et bien.

2. Rendre les photos portraits, professionnelles et personnelles, difficiles à télécharger et exploiter. Cela peut se faire en ajoutant des filigranes, ou en réduisant drastiquement leur taille. 

3. Enquêter en vue d’identifier et de faire arrêter le cyberharceleur. Cela peut se faire à l’aide des ressources internes (TI, conseil juridique, etc.) dans un cas simple, sinon en faisant appel aux services d’une entreprise spécialisée dans les crimes numériques. 

 

Abonnez-vous à notre infolettre thématique pour du contenu qui répond à votre réalité:

Techno – Tous les lundis

Retrouvez les conseils de nos experts en cybersécurité, des analyses sur les cryptomonnaies, et les dernières actualités sur les innovations technologiques.