Faux visage, fausse voix, faux CV généré par IA : un conseiller en cybersécurité du groupe européen ESET a décroché deux emplois différents sous de fausses identités, dont un en se faisant passer pour une femme. Il nous dévoile son mode opératoire ainsi que les entretiens truqués qui ont trompé les RH d'une multinationale.
« Vous ne pouvez plus simplement vous fier à une visioconférence. Et je vais vous le prouver. » Jake Moore, ancien membre des forces de police britanniques et conseiller en cybersécurité pour ESET, a le talent pour mettre en scène les dérives de l’intelligence artificielle. Alors que médias et chercheurs en cybersécurité font état de plusieurs embauches « accidentelles » de hackers nord-coréens qui ont su duper leurs recruteurs en visioconférence avec de faux visages, aussi appelés deepfakes, Jake Moore a cherché à répliquer la même expérience dans le quotidien d’un open space.
Il a présenté ses entretiens truqués lors de l'événement annuel d'ESET à Berlin, ce 20 mai. « Même si des modèles d'IA malveillants existent, en réalité on peut préparer le piège parfait avec les programmes que l'on trouve en quelques minutes et pour un prix abordable sur le marché », raconte l'ancien enquêteur. Jake Moore finit par postuler au poste de responsable clientèle dans une multinationale britannique du secteur tech.
Mais au-delà de la métamorphose du visage, l'expérience montre que l'IA peut être employée pour tromper à tous les niveaux du parcours de recrutement : il utilise ChatGPT pour créer son faux CV, remplir le formulaire préalable à l'entretien, créer une fausse page LinkedIn. Pire, il code une application sur Claude afin que l'IA lui indique en temps réel comment répondre aux questions du recruteur, sur un écran en parallèle.
Le jour du fameux entretien à distance sur Microsoft Teams, Jake adopte l'identité de Jamie Morris, se collant un visage de trentenaire britannique, similaire au sien. Les deux interlocuteurs, le manager ainsi que la responsable des ressources humaines, tombent instantanément dans le panneau.
Le recruteur séduit par la fausse candidate
Ironie du sort, son recruteur porte un t-shirt « AI Academy » et lui explique avec assurance qu’il essentiel de savoir utiliser l'IA dans le monde du travail. « À vrai dire, je ne suis pas sûr qu'il sache vraiment de quoi il parle. Il utilise le terme IA parce que c'est tendance » estime Jake. L'entretien dure au total une demi-heure, portant sur son expérience et les valeurs de l'entreprise. Le lendemain, le faux responsable clientèle reçoit un mail : « Félicitations, votre candidature a été retenue, nous serions ravis de vous compter parmi nos collaborateurs… »
Newsletter
Tech & IA
Chaque jour à 13h, l’essentiel de l’actualité tech.