Des publications sur Facebook prétendent présenter des “créations incroyables” d’enfants, de grands-parents, d’agriculteurs ou encore de policières en quête de reconnaissance. Mais elles relaient des images générées par intelligence artificielle et sont diffusées par des pages souvent liées entre elles, renvoyant vers des sites visant à maximiser le nombre de clics. Elles constituent aussi parfois des hameçons pour des arnaqueurs voulant profiter de la naïveté de certains utilisateurs des réseaux sociaux. Des arnaques dont le principe n’a rien de nouveau mais que l’intelligence artificielle permet de développer rapidement et à grande échelle, expliquent des spécialistes à l’AFP, appelant les internautes à rester vigilants.
“Enfant de 1 an qui joue de la guitare et chante“, “chien en sable” ou vélo en “cuillères jetables” recyclées réalisé par des jeunes garçons, objets tricotés et crochetés par des “mamies“, pâtisseries alléchantes… : ces réalisations prétendues, illustrées avec des images générées par intelligence artificielle (IA), inondent des pages et groupes Facebook depuis des mois, en appelant à la reconnaissance des internautes par le biais de partages, de réactions et de commentaires.
Sur les pages qui les diffusent, aimées par des dizaines voire des centaines de milliers de personnes, on trouve aussi de nombreux messages célébrant des “anniversaires” passés “sans amis“, vantant la longévité de couples mariés “depuis 60 ans” – voire plus -, ou encore déplorant le manque de reconnaissance de certains métiers dont ceux d’agriculteurs, de jeunes bergères ou de policières. Tous appellent les internautes à réagir en commentant ou partageant ces prétendues histoires.
Mais certains détails sur les illustrations trahissent l’utilisation d’IA : bébé guitariste à quatre doigts, banderole sur laquelle “Happy birthday” est mal orthographié, âge d’anniversaire dépassant celui de la doyenne de l’humanité, proportions mal représentées, ou encore vêtements de deux personnes côte à côte dont les tissus semblent se confondre.
Si les progrès de l’IA pour produire des images de plus en plus réalistes sont rapides, rendant leur détection plus complexe, certains indices contribuent à attester qu’il ne s’agit pas de réelles photos (lien archivé ici).
L’AFP a analysé plusieurs dizaines de pages diffusant ce genre de contenus, qui s’appuient sur des histoires inventées de toutes pièces et illustrées par IA. Ces pages peuvent servir à mettre en place des arnaques plus ou moins élaborées qui pourraient alors toucher des internautes non-avertis, alertent des spécialistes.
L’empathie pour générer de l’engagement
Le point commun de ces publications est de vouloir jouer sur les sentiments des internautes pour générer de l’engagement. “Tout ce qui est émotionnel génère plus de réactions impulsives et spontanées que toutes les publications qui sont plus réfléchies. Donc si vous voulez récupérer des clics spontanés, il vaut mieux jouer sur les émotions“, explique l’experte en cybersécurité Corinne Henin, le 13 novembre à l’AFP.
S’il n’est pas néfaste en soi de les commenter, les personnes derrière ces pages peuvent avoir des intentions malveillantes qui peuvent se révéler ensuite, mettent en garde les experts consultés.
“Pour l’instant, l’hypothèse la plus probable est que ces comptes cherchent à maximiser le nombre d’abonnés pour ensuite être vendus à d’autres fins“, estime Jean-Jacques Latour, directeur de l’expertise cybersécurité de la plateforme Cybermalveillance.gouv (lien archivé ici), à l’AFP le 13 novembre.
C’est-à-dire qu’après avoir accumulé des dizaines de milliers de mentions “j’aime“, ce qui leur confère, outre une large audience, une certaine légitimité, ces pages pourraient “revenir avec un autre nom“, dans le but de partager des contenus totalement différents, orientés politiquement ou à des fins commerciales, comme en “proposant du placement dans les crypto-monnaies ou ce genre de choses“, détaille-t-il.
Et l’audience de ces pages ne se limite pas strictement à leurs abonnés : si une personne aime, partage ou commente une publication de l’une de ces pages, ne serait-ce qu’une fois, du fait des algorithmes qui proposent du contenu similaire à celui avec lequel réagit l’internaute, ce dernier peut “se retrouver quasiment abonné contre son gré à ce compte, et va s’en voir suggérer d’autres, avec des images toujours plus sympas, ou des choses toujours plus sensationnelles, auxquelles il pourrait être amené à adhérer“, met en garde le spécialiste.
Certaines de ces pages présentent aussi des traces d’une opération au moins partiellement coordonnée. Outre le fait que la plupart des pages publient des contenus et images similaires à peu d’intervalle, l’AFP en a identifié une dizaine assurant être gérées depuis une même adresse, qui correspond à un immeuble à Gap, dans la région Provence-Alpes-Côte d’Azur. Les administrateurs de ces pages indiquent néanmoins se situer, d’après les données disponibles sur Facebook, en Arménie.
Une partie de ces pages renvoient aussi vers des sites diffusant des articles sur des histoires sensationnalistes, entrecoupés d’encarts publicitaires, et dont les présentations sont similaires. Certains semblent aussi alimentés depuis l’Arménie, comme le montrent les données d’identification de ces sites, notamment consultables sur Who.is.
Les administrateurs d’autres pages diffusant des images disent par ailleurs être basés dans d’autres pays, dont le Maroc, les Etats-Unis ou le Canada.
La présence de ces administrateurs dans certains pays, comme le Maroc ou l’Arménie, dans lesquels “on sait qu’il y a une main-d’œuvre francophone, moins chère que la main-d’œuvre française, capable de faire ces choses-là, dans la même veine que les hotlines et les call centers“, montre que le déploiement de pages visant à récupérer des clics “s’est professionnalisé“, estime l’expert en cybersécurité Thibaut Henin auprès de l’AFP le 13 novembre.
Si certaines diffusent exclusivement des images générées par IA, sans autre but final affiché à ce stade, d’autres relaient aussi des types d’arnaques sur lesquelles l’AFP a enquêté par le passé. Parmi elles, des prétendus accidents de voiture et des images d’animaux blessés, qui s’appuient également sur l’empathie des internautes pour les renvoyer vers des pages qui visent à leur extorquer de l’argent, ou modifient les objets des publications une fois celles-ci massivement relayées pour ensuite diffuser des contenus totalement différents.
Renvoyer les internautes d’un site à une page Facebook ou inversement relève d’une technique permettant de développer la visibilité et le référencement déjà utilisée “dans le marketing et depuis à peu près une vingtaine d’années“, rappelle Thibaut Henin.
Car gagner de la visibilité sur ses publications peut aussi avoir des fins mercantiles : une partie des pages a aussi directement publié sur Facebook des publicités, comme cela est consultable sur la bibliothèque de publicités de Meta, et d’autres renvoient directement vers des sites, qui eux-mêmes hébergent des publicités.
Des arnaques aux sentiments
On peut aussi retrouver dans les commentaires sous ces publications, des messages récurrents de profils demandant aux internautes qui s’émerveillent devant les images de “devenir amis“. Sous une même publication collectant quelques centaines de commentaires, figurent souvent plusieurs dizaines de réponses au texte identique, proposant aux personnes de converser en privé.
Ce genre de messages est typique chez des profils de personnes mal intentionnées, appelées “brouteurs“, dont le but est de chercher à se rapprocher des internautes non-avertis en créant avec eux des fausses relations amicales, dans le but de leur soutirer de l’argent (lien archivé ici).
Il est néanmoins “difficile de déterminer ce qui relève du ‘brouteur’ de base qui a repéré ces comptes, sur lesquels il y a des gens qui ont de l’empathie, pour essayer effectivement de contacter des victimes pour faire de l’escroquerie aux sentiments, ou si ces profils sont animés par les mêmes acteurs que ceux qui créent les pages“, souligne Jean-Jacques Latour, directeur de l’expertise cybersécurité de la plateforme Cybermalveillance.gouv (lien archivé ici), à l’AFP le 14 novembre.
“C’est le but du phishing habituel, c’est-à-dire qu’à force de créer des liens émotionnels avec les gens, il est plus facile ensuite de leur soutirer de l’argent“, résume Thibaut Henin.
Ce type de tentatives peuvent aussi servir à “blanchir” des faux profils, en leur permettant de “devenir amis” avec des personnes réelles. “Les plateformes essayent comme elles peuvent de supprimer les robots. Du coup, certains robots font exprès de créer des fausses relations sur les réseaux. Ils se mettent à parler avec des humains, à créer un ‘réseau d’amitié’. Comme ça, c’est plus difficile pour Facebook de reconnaître de manière statistique ces robots, qui ont les mêmes relations et les mêmes contenus qu’un humain“, développe le spécialiste.
En ce sens aussi, ce genre de dispositif peut alimenter une “technique en deux étapes” : “d’abord, vous créez des postes un peu larmoyants. Ensuite, vous récupérez des commentaires, vous récupérez des liaisons au niveau du réseau social. Et peut-être que dans six mois, un an, ce réseau de robots pourrait être activé par une puissance étrangère pour commencer à publier des fake news plus orientées“, détaille-t-il.
L’IA rend plus facile le déploiement de ces pages
Si des tentatives d’arnaques visant les sentiments des internautes existent depuis longtemps, la diffusion de ce genre de publications est rendue plus facile par l’IA, souligne Corinne Henin : “utiliser l’intelligence artificielle, ça permet de générer beaucoup de contenus facilement. Vous n’allez pas forcément facilement trouver une ‘super réalisation’ quelque part. En plus, si vous utilisez une image déjà présente en ligne, vous risquez de vous exposer à la personne qui l’a réalisée“.
“Si vous voulez faire une image d’un truc en bois, il faut réaliser un truc en bois ou être très fort en Photoshop. Mais avec IA, vous écrivez un prompt et vous avez autant d’images que vous voulez. Il y a une production industrielle qu’on n’avait pas avant“, ajoute Thibaut Henin.
De plus, il souligne que “les modèles, on peut les entraîner avec les images qui marchent” : “l’IA, avec tous les exemples qu’elle a, est capable de produire quelque chose qui correspond plus au ‘canon’ du réseau social. Les images des IA sont par définition ‘plus belles’ dans ce sens-là où elles vont correspondre au ‘canon’ de ce qui est considéré comme plus beau“.
Ce qui fait, selon lui, “qu’entre payer un graphiste en espérant qu’il ait une patte pour que ça marche et payer une IA capable de reproduire ce qui marche, vous êtes beaucoup plus rentable en termes d’efforts et de retour de l’investissement avec de l’IA“.
Les publications qui semblent “fonctionner” le plus sur Facebook pour gagner des partages ont souvent trait à des histoires liées à des professions “traditionnelles“, véhiculant des messages nostalgiques. Des thèmes qui peuvent toucher plus particulièrement un public âgé, plus présent sur ce réseau social, souligne aussi Thibaut Henin.
Ces derniers jours, alors que des agriculteurs de plusieurs pays européens dénoncent un projet d’accord de libre-échange entre l’UE et les pays latino-américains du Mercosur, de nombreuses publications ont aussi mis en avant des images de personnes “fières” de leur production fermière (lien archivé ici).
En l’état, ces pages et publications n’ont rien d’illégal. Et même s’il est possible de prouver qu’elles permettraient de faciliter des arnaques, il serait difficile de déterminer avec précision le cadre juridique dans lequel elles pourraient s’inscrire.
A ce stade, “on est donc dans le flou, dans la difficulté de saisir et voire même de tracer les effets du contenu“, analyse Juliette Sénéchal, professeure de droit privé à l’Université de Lille en délégation à l’Institut national de recherche en informatique – Inria (lien archivé ici).
Par ailleurs, les réseaux sociaux et l’intelligence artificielle sont encadrés par différentes réglementations qui pourraient être convoquées en cas de litige, comme le détaille la spécialiste auprès de l’AFP le 14 novembre : “cette situation comprend plusieurs briques techniques, parce qu’il y a la brique de l’IA et puis il y a la brique du réseau social avec ses systèmes de recommandation, ses systèmes de publicités ciblées internes. Donc en fait, ça peut relever soit du règlement sur l’IA, soit justement de ce règlement sur les services numériques, le Digital Services Act. C’est toute la complexité actuelle : on a des textes qui sont en silo et qui finalement saisissent un bout du problème” (lien archivé ici).
“Là, le problème dans sa totalité, c’est qu’on a d’abord un contenu créé par l’IA. Ensuite, on a un contenu qui est diffusé par un réseau social. Et puis en plus, on a potentiellement, via ce contenu qui est diffusé par le réseau social, des liens vers d’autres contenus ou d’autres sites qui pourraient induire, à proprement parler, le comportement, la manipulation, où une pratique commerciale déloyale pourrait, par exemple, s’opérer“, conclut-elle.
S’ajoute à cela le fait que les règlements européens pourraient ne pas toujours s’appliquer, dans la mesure où une partie des pages semblent gérées depuis des pays hors Union européenne.
Cas de “malveillances” liées à l’IA
Dans son rapport sur les menaces cyber portant sur l’année 2023, Cybermalveillance indiquait que si “aucun cas de malveillance pouvant être formellement imputé à l’intelligence artificielle” n’avait à l’époque “pu être recensé“, “comme toute évolution technologique, les possibilités offertes par l’intelligence artificielle ne peuvent que retenir l’attention des cybercriminels” (lien archivé ici).
De fait, Jean-Jacques Latour précise le 13 novembre que depuis début 2024, “on a vu effectivement toute une quantité de cas arriver en France de deepfakes [des vidéos ou enregistrements consistant à faire dire ou faire à des personnes des choses qu’elles n’ont pas dites ou faites, NDLR], générés avec de l’IA“.
Parmi eux, des arnaques vantant des cryptomonnaies ou des pseudo-remèdes usurpant l’identité de médias ou de célébrités, sur lesquelles l’AFP a également déjà travaillé.
L’AFP avait aussi déjà écrit en octobre sur une tendance visant à représenter des événements historiques via de l’intelligence artificielle, les présentant comme des images d’archives de ces événements (lien archivé ici).
En résumé, “si vous sentez l’envie de croire que quelque chose, comme une superbe pâtisserie ou une création, est vrai, souvent, c’est que c’est faux. Dans tous les cas, mieux vaut y réfléchir avant de partager“, explicite Thibaut Henin.
“Il ne faut surtout pas hésiter à recouper et vérifier l’information par soi-même. Si le compte de quelqu’un qui est censé être une personnalité connue a trois abonnés, c’est qu’il y a un problème“, complète Jean-Jacques Latour.
Mais c’est aussi là que des comptes comme ceux véhiculant de nombreuses images par IA peuvent bénéficier à des arnaqueurs : “si quelqu’un fait un compte avec des centaines de milliers d’abonnés en publiant des photos de chatons à l’IA et qu’ensuite, il le transforme en compte d’une personnalité, c’est plus crédible et les gens peuvent tomber dans le piège“, alerte l’expert.
“Donc, il faut d’autant plus élever son niveau de vigilance avec l’arrivée de l’IA“, conclut-il.
