PcEnShort
PcEnArrow

+

  • 08-03-2024
    • Christine Dugoin-Clément

    • Recherche

      Éthique du numérique

Recherche

Éthique du numérique

Vulnérabilité des industries culturelles aux risques cyber

Christine Dugoin-Clément, spécialiste des stratégies d'influence et des cyber risques, examine dans cet article les enjeux de cybercriminalité qui traversent les industries culturelles et créatives.

Le risque cyber est devenu un axe majeur du quotidien des entreprises et des individus. La diffusion généralisée des nouvelles technologies a multiplié les surfaces de vulnérabilités. Par ailleurs, la question de l’influence dans les conflits géopolitiques a été érigée au niveau de priorité stratégique par la France fin 20221. Ainsi, les risques cyber se sont-ils multipliés et diversifiés de telle sorte que l’on peut les classer en quatre grandes catégories.

La nature du risque varie en fonction de la nature de la cible et de l’attaquant, avec une grande variété des méthodes d’attaques. Cet article a pour objet de montrer que tous ces risques peuvent concerner les industries culturelles et créatives (ICC), même si le risque cybercriminel reste le plus élevé.

Centered Table with Column Offset
Sabotage Cybercriminalité Attaques Espionnage
Les opérations de sabotage ont pour finalité d’altérer tout ou partie d’un système d’information (SI) pour le rendre inopérant. La cybercriminalité recouvre l’ensemble des actions menées par des individus ou groupes d’individus mal intentionnés cherchant un gain financier de premier ou de second niveau en cas de double ou de triple monétarisation. Les attaques réputationnelles touchent des individus et organisations. Elles sont perpétrées par des acteurs malveillants à niveaux de compétences variés. L’espionnage, souvent attribué à de grosses organisations ou à des États, nécessite un niveau de compétence élevé.
Tableau - Les quatre grandes familles de risques cyber selon l'ANSSI

Si l’on pense naturellement aux médias, régulièrement ciblés par des opérations d’influence utilisant le cyber espace, et au cœur de l’actualité depuis le début de l’invasion de l’Ukraine par la Russie, les ICC sont également des cibles, qu’il s’agisse de cybercriminalité à des fins financières, ou d’actions incorporées dans des stratégies plus globales pouvant être soutenues par des États. Les industries culturelles sont en effet des cibles à la fois faciles et symboliques. Faciles parce que le secteur est moins protégé par les autorités publiques que ceux estimés vitaux, comme la santé ou l’énergie. Symboliques parce que ces « industries de l’imaginaire » à fort potentiel de soft power, peuvent être considérées par des attaquants comme des espaces de forte visibilité pour publiciser leurs actions. Pourtant, une perturbation sous forme de ransomware2 touchant une industrie culturelle entraînera une perte de revenus non seulement pour les organisations touchées, mais aussi pour l’ensemble du pays dans lequel elle exerce son activité et sera largement relayée dans l’espace public.

Des organisations dans la tourmente

Une enquête de 2018 menée auprès de cadres en cybersécurité dans les entreprises culturelles et de divertissement américaines révélait que 51 % des sujets entendus avaient subi trois cyberattaques ou plus sur une période de 12 mois3. Parallèlement, le rapport 2022 sur les sinistres cybernétiques de Coalition4, fournisseur d'assurance cybernétique, révèle que la fréquence des sinistres pour les assurés à but non lucratif est en hausse de 57 %. Alors que des estimations portent le coût annuel mondial de la cybercriminalité à 9 500 milliards de $ en 20245, le National Cyber Security Center (NCSC) britannique organisait fin 2023, en partenariat avec le Government Communications Headquarters (GCH) et le Department for Culture, Media and Sport (DCMS), un sommet sur la cybermenace. L’objet de ce sommet était de discuter avec les représentants du secteur culturel des mesures pouvant être mises en place pour protéger les collections numériques des musées et galerie d’arts. En effet, ces collections en ligne, qui regroupent des millions d'enregistrements numériques, permettent aux institutions culturelles de développer l'accessibilité de leurs documents et présentent une valeur sociale et culturelle unique pour le grand public.

Les industries culturelles sont organisées selon une structure de marché « d’oligopole à frange concurrentielle » dans laquelle une majorité de petites ou moyennes entreprises côtoient quelques « majors » emblématiques qui sont souvent la cible d’attaques puissantes.

Dans l’audiovisuel, dès 2014, le studio hollywoodien Sony Pictures Entertainment subissait une cyberattaque alors que la firme s’apprêtait à sortir L’interview, une comédie dans laquelle un animateur de talk-show américain et son producteur sont recrutés par la Central Intelligence Agency pour se rendre en Corée du Nord et assassiner le dirigeant suprême, Kim Jong-Un. L’attaque sur l’entreprise américaine a finalement conduit à une action sans précédent du président américain qui attribuait officiellement une cyberattaque à un État-nation, la Corée du Nord6. Cette attaque intervenait alors que l’Ukraine devenait un laboratoire à ciel ouvert des cyberattaques et des opérations d’influence mobilisant la sphère numérique7.

Outre l’attaque sur Sony, celle contre HBO en 2017 a marqué les esprits. Selon les procureurs fédéraux, l'attaquant a volé des épisodes non diffusés de plusieurs séries originales ainsi que des scripts et des résumés d'intrigues pour des programmes non diffusés (y compris Game of Thrones), des listes de contacts confidentiels de la distribution et de l'équipe, ainsi que des informations en ligne sur la propriété intellectuelle de HBO8. Les enquêteurs ont estimé que le cyber attaquant aurait passé trois mois à voler ces informations. L'attaquant a ensuite exigé 6 millions de dollars en bitcoins, sans quoi il publierait les contenus volés. Si le seul gain financier aurait pu suffire à motiver l’attaque, les autorités américaines ont mis en lumière d’autres éléments d’explication. Le cybercriminel serait un ressortissant iranien et aurait déjà piraté des systèmes informatiques pour l'armée de son pays, soulevant une fois encore le spectre de l'implication d'un gouvernement étranger dans une cyberattaque ciblée contre une entreprise culturelle américaine.

La même année, des pirates informatiques s’introduisaient dans le réseau d'un studio de post-production entraînant la fuite d'un épisode d'Orange is the NewBlack. Là encore, une demande de rançon a été émise et bien qu'environ 50 000$ en bitcoins aient été payés, l'épisode a été diffusé pour « punir » le studio d'avoir contacté le FBI9.

Un autre exemple, davantage politique, est celui du hack des plateformes de streaming Wink et Ivi (sorte de Netflix russe) par les Anonymous en mars 2022, avec l’objectif affiché de diffuser des images de la guerre en Ukraine auprès de la population russe enfermée dans une bulle informationnelle, faisant de ces plateformes des dommages collatéraux d’actions géopolitiques10.

Dans la continuité des attaques menées depuis plusieurs années sur les galeries et foires du marché de l’art11, c’est le secteur des musées12, qui a fait l’objet d’attaques par l’entremise d’une supply chain attack, soit une attaque utilisant un tiers pour toucher sa cible. Dans ce cas particulier, c’est Gallery System, un logiciel largement utilisé dans ce secteur pour gérer et partager les collections et archives, qui a été le vecteur utilisé par les pirates. Outre la perturbation pour les visiteurs des musées touchés, l’attaque a permis l’accès à des noms des donateurs, des accords de prêt, des dossiers de provenance des informations relatives à l'expédition et les lieux de stockage d'œuvres d'art inestimables, données pouvant être utiles à une seconde vague d’actions malveillantes prenant corps dans le monde réel et non plus virtuel. Cette attaque faisait suite à un rappel tonitruant ayant pris la forme d’une attaque ciblant la British Library en octobre 202313 et permettant la mise en vente sur le DarkWeb de 490 191 fichiers volés à la British Library comprenant des collections ainsi que des données personnelles issues du CRM14. D’autres bibliothèques, à l’instar de la Toronto Library, ont été touchées.

Le même groupe de criminels a été impliqué dans l’attaque contre Insomniac Games, entreprise créatrice du jeu vidéo Spider-Man 215. On se rappelle, également, de la lourde condamnation dont avait écopé un hacker16 de 18 ans, après avoir piraté et rendu public 90 vidéos du gameplay du jeu vidéo GTA VI17.

Les opéras n’ont pas non plus été épargnés. En décembre 2022, le Metropolitan (Met) Opera de New York18 était la première victime d’une longue liste de cyberattaques où figuraient le Kimmel Center et le Philadelphia Orchestra19. Ces attaques ont permis l’accès aux données personnelles des usagers et employés des opéras qui regroupent souvent des profils de personnalités en vue d’une région ou d’un pays. Dans le cas du Met, cela concerne près de 45 000 personnes.

Les NFTs, une vulnérabilité nouvelle

Le Web3 et les NFTs (Non Fongible Token) constituent une économie à croissance rapide de 300 milliards de dollars20 avec pour les entreprises culturelles des enjeux spécifiques. Pour mémoire, le terme « NFT » fait référence à des jetons (tokens) basés sur une blockchain qui établissent une correspondance sécurisée et transparente entre un droit de propriété et un actif numérique. A la différence des cryptomonnaies, les NFTs se caractérisent par leur unicité car ils sont non-fongibles. Ces modes de représentation de la possession sont applicables à des actifs variés liés aux industries culturelles (œuvre d’art numérique, musique, objet de collection, in-game item…) et transférables par l’intermédiaire d’une transaction entre deux parties sur une blockchain. Dans le champ particulier de l’art digital, les NFTs ont été popularisés avec l’émergence de places de marché importantes et ergonomiques comme OpenSea ou Nifty Gateway, nouveaux outils de curation permettant de réaliser des enchères en ligne d’art numérique « pour l’art symbolique non fongible »21 où s’implique des maisons aussi célèbres que Sotheby’s22.

Les œuvres d’art incluses dans les NFTs sont supposées protégées, car les jetons sont créés et échangés sur blockchain, dont les briques technologiques qui la composent visent à garantir la transparence, la provenance et l'immutabilité du bien numérique. Cette protection contre le vol ou la falsification, enjeux traditionnels de l’art sur support physique, a contribué à renforcer l’intérêt des artistes et des collectionneurs. L’engouement important que témoignent artistes et industries culturelles à l’égard de la titrisation de la propriété numérique sur blockchain a permis à certains de penser les NFTs comme vecteurs d’une « grande évolution du Marché de l’Art »23, symbolisée par l’émergence de nouveaux artistes à succès à l’instar de Beeple, mais aussi par des classiques « NFTisés » à titre posthume comme René Magritte ou Andy Warhol.

Pour autant, une blockchain n’est pas, par essence, absolument sécurisée. Les contrats intelligents qui régissent une partie de la transaction peuvent connaître des failles cyber, et devenir susceptibles de contournements par des usagers mal intentionnés qui trafiquent des accès non autorisés, parviennent à manipuler ou voler les NFTs. Si ces contrats intelligents sont l’objets d’audits et d’une attention technique particulière, c’est justement car ils peuvent, lorsque le code manque de robustesse, être manipulés au profit des attaquants24. Rappelons à ce titre le vol d’œuvres qui a touché l’artiste Beeple. Le pirate a obtenu un accès non autorisé à l’édition du contrat intelligent de la plateforme, ce qui lui a permis de transférer le NFT vers son propre portefeuille, volant l'œuvre d'art et sa valeur associée25.

Une autre faille touche l’architecture des places de marché de NFTs. D’une part, les plateformes décentralisées ne peuvent pas évacuer les risques cyber inhérents à la manipulation psychologique et l’erreur humaine, à l’image de l’attaque par phishing des utilisateurs de la marketplace la plus utilisée, OpenSea, qui a connu des vols à hauteur de 1,7 million de dollars26. D’autres places de marché, celles-ci centralisées, deviennent des cibles de choix pour les pirates car elles stockent les clés privées des utilisateurs sur leur propre plateforme.

Les artistes digitaux qui utilisent diverses plateformes pour mettre en ligne leurs portfolios peuvent, quant à eux, être l’objet d’escroqueries, de « scamming ». Par exemple cela peut consister à contacter l'artiste sous une fausse identité, que ce soit via Twitter, Instagram ou un courrier électronique27 et à commander une œuvre d'art numérique spécifique en incitant l’émetteur à télécharger ou à ouvrir un fichier malveillant permettant au cybercriminel d’entrer dans l’écosystème de l’artiste pour y dérober des œuvres et données28.

Les NFTs sont, comme la plupart des actifs numériques, vulnérables à plusieurs types d’attaques cyber. Cela passe par les nombreuses usurpations d’identité, le piratage de comptes d’utilisateurs, le vol des mots de passe, des comptes bancaires et les certificats d’authenticité. Une autre usurpation consiste à vendre de « faux » NFTs, rendus crédibles par la manipulation des métadonnées, et permettant au cybercriminel de vendre des œuvres contrefaites ou ne lui appartenant en réalité pas. Ce fût le cas pour un faux Banksy29 ; ce dernier ayant également été la cible d’un typosquattage visant à utiliser le nom de domaine pour usurper l’identité de la plateforme originelle. Diverses arnaques à destination des utilisateurs sont ainsi disponibles.

Deep Fakes, quels enjeux pour les industries culturelles ?

Les atteintes à l’image ont une histoire ancienne derrière elles et les artistes, tout comme les personnalités politiques, ont été au premier rang des victimes de l’usage malveillant des Deep Fake30, que l’on parle de face swap31, technique qui consiste en une inversion des visages largement utilisée en revenge porn, ou de lip sync32 technique permettant de produire un contenu synthétique faisant tenir des propos fictifs à une personne réelle. Les artistes, par leur popularité, sont des cibles de choix, que la volonté des faussaires soit uniquement de nuire à leur réputation ou que leur motivation soit mercantile en cherchant à générer du flux sur internet. Rappelons que les flux matérialisés par la fréquentation, les « clics » et les commentaires des internautes, permettent d’augmenter la valeur d’une plateforme en matière de vente d’espace publicitaire33.

À ce titre, un Deep Fake Porn mettant une star au centre d’une vidéo pornographique, supposée amateur ou pas, pourra facilement générer un flux important. C’est de ce type de pratique dont Taylor Swift a récemment fait les frais avec un contenu diffusé sur le réseau social X (ex-Twitter) qui a récolté plus de 45 millions de vues, 24 000 retweets et des centaines de milliers de mentions « j’aime » et de bookmarks avant que le compte ne soit suspendu34. Cette évolution visant particulièrement les artistes n’est pas concentrée sur les acteurs de l’industrie culturelle occidentales, des célébrités de Bollywood en ont également été victimes35.

S’ajoute le fait que les Deep Fakes utilisant l’image d’acteurs majeurs de l’industrie culturelle peuvent servir à doper les ventes d’un produit en utilisant leurs images sans leur consentement. C’est ce qui a été constaté avec la diffusion d’un Deep Fake utilisant l’image de Scarlett Johansson dans une promotion en ligne pour Lisa AI, une plateforme générant des avatars et images36.

Enfin, les Deep Fakes peuvent être utilisés pour réaliser des contrefaçons portant le nom de poids lourds de l’industrie culturelle, que l’on parle de production cinématographique, musicale ou du marché de l’art37. Dans ce cas, de faux contenus particulièrement réalistes, générés grâce à l’usage de Deep Fakes, peuvent bénéficier de la réputation des artistes pour générer d’importants flux financiers, et nuire à la réputation des artistes en diffusant des contenus paraissant authentiques ; si le public est dupe, cela peut entrainer une certaine désaffection à l’égard de l’artiste.

Conclusion

Avec l’émergence de nouveaux usages et l’explosion des nouvelles technologies, au premier titre desquelles l’IA, les industries culturelles ont largement diversifié leurs activités et leurs modes de diffusion. Cette évolution touche autant les majors de l’industrie que des individus qui peuvent voir leur carrière évoluer rapidement ; ainsi, Beeple est sorti de l’anonymat en 2021 en réalisant une vente record de 69,3 millions de dollars chez Christie’s pour son œuvre d’art numérique Everydays : the first 5 000 days. Ces nouvelles opportunités ont fait émerger nombre d’inconnus.

Parallèlement, les risques et vulnérabilités se sont également accrus. Les industries culturelles et créatives deviennent des choix de prédilection pour les acteurs malveillants, avec leur lot de victimes directes (attaques réputationnelles, vols, contrefaçons, etc.) ou collatérales (usage d’images sans consentement, récupération de données personnelles de clients, détournement d’attention, etc.). Face aux multiples exemples listés dans cet article, les ICC, après avoir pris conscience des risques encourus, sont appelées à développer des compétences numériques spécifiques pour se protéger de cybercriminels toujours plus inventifs.

Notes

  1. Dugoin-Clément, C. (2023). "Entre la RNS 2022 et la Lutte informatique d’influence : quelle articulation de la stratégie ?" Revue Défense Nationale (1) : 44-48.

  2. Un ransomware ou rançongiciel est un logiciel malveillant qui chiffre les données de la victime et propose de fournir la clef de déchiffrement contre une rançon. Les ransomwares ont été une des premières menaces pour les entreprises et organisations publiques en 2023.

  3. Hiscox (2018). Hiscox Cyber Readiness Report 2018.

  4. ColaitionInc (2022). 2022 Cyber Claims Report Mid-year Update, Coalition.

  5. Cybersecurity Ventures (2024). 2023 Official Cybercrime Report.

  6. Haggard, S. and J. R. Lindsay (2015). "North Korea and the Sony hack: Exporting instability through cyberspace."; Horton, N. and A. DeSimone (2018). "Sony’s nightmare before christmas: The 2014 north korean cyber attack on sony and lessons for us government actions in cyberspace." Defense Technical Information Center: Laurel, MD, USA.

  7. Geers, K., et al. (2015). Cyber War in Perspective: Russian Aggression against Ukraine ; Dugoin-Clément, C. (2019). "The Use of Cyber Activities as a Weapon: The Empirical Case of Ukraine." The journal of intelligence and cyber security.

  8. NCSC (2024). UK's cultural institutions gather for summit on the cyber threat.

  9. Roettgers, J. (2017). Hackers Conirm Leaking ‘Orange Is the New Black’ Despite Ransom Payment, Variety.

  10. Lausson, J. (2022). "Les Anonymous piratent la télévision russe et diffusent des images de la guerre en UkraineAnonymous revendique le piratage de plusieurs chaînes russes." Numerama.

  11. Ruiz, C., et al. (2017). Galleries hit by cyber crime wave. The Art newspaper ; ArtBabsel (2021). Art Basel hit by cyber attack.

  12. Cassidy, D. (2024). Hundreds of Online Museum Collections Suffer in Cyber Attack. ARTNews ; Small, Z. (2024). Museum World Hit by Cyberattack on Widely Used Softwar. The New York Times.

  13. Knight, S. (2023). The Disturbing Impact of the Cyberattack at the British Library. The New Yorker ; Nelson, J. (2024). The British Library’s Cyber Attack: A Wake-Up Call for Digital Security in Cultural Institutions. Medriva.

  14. Un Customer Relationship Management est un logiciel de gestion de la relation client. Voir : Scroxton, A. (2023). Rhysida gang stole hundreds of gigabytes of British Library data. ComputerWeekly.

  15. Richardson, T. (2023). "Insomniac: Spider-Man 2 PlayStation studio victim of huge hack." BBC.

  16. Rahouadj, E. (2023). GTA 6 : le hackeur de 18 ans est en prison pour une durée indéterminée. Le Journal du Geek.

  17. Tidy, J. (2023). Lapsus$: GTA 6 hacker handed indefinite hospital order. BBC.

  18. Bilefsky, D. (2022). A Cyberattack Shuts the Met Opera’s Box Office, but the Show Goes On. The New York Times.

  19. Dobrin, P. (2023). Kimmel Center, Philadelphia Orchestra websites hit by cyber attack. The Philadelphie Inquirer.

  20. Gupta, Y., et al. (2022). "Identifying security risks in NFT platforms." arXiv preprint arXiv:2204.01487.

  21. Thetris (2022). "NFT et Cybercriminalité, quels liens ?".

  22. Parent, L. (2022). "L’art des NFTs : une révolution des codes du marché de l’art ?". https://mbamci.com/2022/02/nft-revolution-marche-art/.

  23. ArtMarket (2022). Rapport sur le marché de l’art 2021. ArtMarket ; Statista (2022). NFT et "crypto-art" : bulle spéculative ou réelle révolution ? Statista.

  24. Immunbytes (2022). "Key Smart Contract Vulnerabilities: That Can Drain Your Crypto Assets." Immunbytes. https://www.immunebytes.com/blog/smart-contract-vulnerabilities/.

  25. Porterfield, C. (2022). Beeple’s Followers Lose $438,000 To Phishing Scam After NFT Artist’s Twitter Gets Hacked. Forbes.

  26. Maire, V. (2022). "Un hack à 1,7 million de dollars implique les utilisateurs d'OpenSea." Cryptotoast.

  27. Zorz, Z. (2021). Cyber criminals are targeting digital artists. HelpNet Security.

  28. Grustniy, L. (2021). How scammers have been targeting ArtStation freelancers. K. daily.

  29. Tidy, J. (2021). Fake Banksy NFT sold through artist's website for £244k. BBC.

  30. Busacca, A. and M. A. Monaca (2023). Deepfake: Creation, Purpose, Risks. Innovations and Economic and Social Changes due to Artificial Intelligence: The State of the Art, Springer: 55-68.

  31. Bitouk, D., et al. (2008). Face swapping: automatically replacing faces in photographs. ACM SIGGRAPH 2008 papers: 1-8.

  32. Prajwal, K., et al. (2020). A lip sync expert is all you need for speech to lip generation in the wild. Proceedings of the 28th ACM international conference on multimedia.

  33. Kessous, E., et al. (2010). "L’économie de l’attention: entre protection des ressources cognitives et extraction de la valeur." Sociologie du travail, 52(3): 359-373.

  34. Weatherbed, J. (2024). Trolls have flooded X with graphic Taylor Swift AI fakes. The Verge.

  35. André, D. (2023). "Deepfakes : en Inde, les stars de Bollywood victimes de nombreuses vidéos truquées." France Info.

  36. Skynews (2023). Scarlett Johansson becomes latest victim of alleged deepfake advert. Skynews.

  37. Feffer, M., et al. (2023). Deepdrake ft. bts-gan and taylorvc: an exploratory analysis of musical deepfakes and hosting platforms. Proceedings of the 2nd Workshop on Human-Centric Music Information Retrieval.