Comment les personnes malvoyantes peuvent se protéger contre les cybermenaces

En 2023, Tim Utzig, un étudiant aveugle de Baltimore, a perdu mille dollars à la suite d’une fraude sur X impliquant un ordinateur portable. Tim suivait depuis longtemps un journaliste sportif bien connu. Lorsque le compte de ce journaliste s’est mis à publier des messages concernant une « vente caritative » de MacBook Pro flambant neufs, Tim a sauté sur l’occasion pour faire une bonne affaire sur l’ordinateur portable dont il avait besoin pour ses études. Après avoir échangé quelques messages rapides, il a transféré l’argent.

Malheureusement, le compte du journaliste avait été piraté, et l’argent de Tim a fini directement entre les mains d’escrocs. Les avertissements étaient purement visuels : la page avait été signalée comme « temporairement restreinte », et la biographie ainsi que la liste des abonnés avaient changé. Cependant, le lecteur d’écran de Tim, un logiciel qui convertit le texte et les images à l’écran en parole, n’a signalé aucun de ces avertissements.

Les lecteurs d’écran permettent aux utilisateurs aveugles de naviguer dans le monde numérique comme tout le monde. Cette communauté n’en reste pas moins fortement vulnérable. Même pour les utilisateurs sans troubles visuels, il peut être difficile de repérer un site frauduleux. Pour une personne malvoyante, c’est un défi encore plus ardu.

Outre les lecteurs d’écran, il existe des applications mobiles et des services dédiés aux personnes aveugles et malvoyantes, notamment Be My Eyes, qui compte parmi les plus populaires. L’application met en relation les utilisateurs avec des bénévoles voyants via un appel vidéo en direct afin de les aider à accomplir des tâches quotidiennes, comme régler le thermostat du four ou trouver un objet sur un bureau. Be My Eyes intègre également une intelligence artificielle capable de scanner et de lire à voix haute du texte ou d’identifier des objets dans l’environnement de l’utilisateur.

Mais ces outils peuvent-ils servir à autre chose qu’à des tâches quotidiennes ? Peuvent-ils réellement détecter une tentative de phishing ou identifier les clauses cachées dans les conditions générales lorsqu’une personne ouvre un compte bancaire ?

Aujourd’hui, nous examinons les obstacles auxquels sont confrontés les utilisateurs malvoyants sur Internet, les situations dans lesquelles il est judicieux de faire appel à des assistants humains ou virtuels, et comment rester en sécurité lors de l’utilisation de ce type de services.

Les cybermenaces courantes auxquelles sont confrontées les personnes aveugles et malvoyantes

Pour commencer, clarifions la différence entre ces deux groupes. Les personnes malvoyantes dépendent toujours de leur capacité visuelle restante, même si leur fonction visuelle est considérablement réduite. Pour parcourir les interfaces numériques, elles utilisent souvent des logiciels de loupe d’écran, des polices de très grande taille et des réglages à fort contraste. Pour ces personnes, les sites et les emails de phishing sont particulièrement dangereux. Il est facile de ne pas remarquer les fautes de frappe intentionnelles (pratiques appelées typosquatting) dans un nom de domaine ou une adresse email, comme dans l’exemple récent de rnicrosoft{.}com.

Les personnes aveugles s’orientent principalement grâce au son, à l’aide de lecteurs d’écran et de gestes tactiles spécifiques. Il est toutefois intéressant de noter que, contrairement aux personnes malvoyantes, les utilisateurs aveugles sont plus à même de repérer un site de phishing à l’aide d’un lecteur d’écran : lorsque le logiciel lit l’URL à voix haute, l’utilisateur se rend compte que quelque chose ne va pas. Cependant, si un service, qu’il soit légitime ou malveillant, n’est pas entièrement compatible avec les lecteurs d’écran, le risque d’être victime d’une escroquerie augmente. C’est exactement ce qui est arrivé à Tim Utzig.

Il est important de garder à l’esprit que les loupes d’écran et les lecteurs d’écran constituent des outils d’accessibilité de base. Ils sont conçus pour enrichir ou décrire une interface, et non pour servir de solutions de sécurité. Ils ne peuvent pas à eux seuls avertir l’utilisateur d’une menace. C’est là qu’interviennent des logiciels plus avancés, capables d’analyser des images et des fichiers, de signaler les contenus suspects et de décrire le contexte général de ce qui se passe à l’écran.

Quand faire appel à un assistant

Be My Eyes est un acteur majeur dans le domaine de l’accessibilité, avec environ 900 000 utilisateurs et plus de neuf millions de bénévoles. Disponible sous Windows, Android et iOS, cette application comble le fossé en mettant en relation des utilisateurs aveugles ou malvoyants avec des bénévoles voyants via des appels vidéo, afin de les aider dans leurs tâches quotidiennes. Par exemple, si une personne souhaite lancer un cycle « textiles synthétiques » sur sa machine à laver mais ne trouve pas le bouton correspondant, elle peut recourir à l’application. Celle-ci met les utilisateurs en relation avec le premier bénévole disponible parlant leur langue, qui utilise ensuite l’appareil photo du smartphone pour les guider. Le service est actuellement disponible en 32 langues.

En 2023, l’application a élargi ses fonctionnalités avec le lancement de Be My AI, un assistant virtuel basé sur le modèle GPT-4 d’OpenAI. Les utilisateurs prennent une photo, et l’IA analyse l’image pour fournir une description textuelle détaillée, qu’elle lit également à haute voix. Les utilisateurs peuvent même ouvrir une fenêtre de discussion pour poser d’autres questions. Cela nous a amenés à la question suivante : cette IA serait-elle capable de repérer un site de phishing ?

À titre expérimental, nous avons chargé sur Be My Eyes une capture d’écran d’une fausse page de connexion à un réseau social. Pour ce faire, sur un téléphone, sélectionnez une photo dans votre galerie ou vos fichiers, appuyez sur Partager, puis choisissez Décrire avec Be My Eyes. Sous Windows, vous pouvez directement charger une capture d’écran.

Exemple d’une page de phishing imitant le formulaire de connexion de Facebook. Notez le domaine erroné dans la barre d’adresse

Au début, l’IA nous a fourni une description détaillée de la page. Nous avons ensuite poursuivi la conversation dans le chat : « Puis-je faire confiance à cette page ? » L’IA a immédiatement signalé l’erreur concernant le nom de domaine, nous a conseillé de fermer la fausse page de connexion et nous a suggéré de saisir directement l’URL officielle dans le navigateur ou d’utiliser l’application officielle de Facebook.

Be My AI explique pourquoi la page semble suspecte : le nom de domaine ne correspond pas à celui du site officiel. L’application recommande de saisir l’URL officielle directement dans le navigateur ou d’utiliser l’application Facebook officielle

Nous avons obtenu les mêmes résultats positifs lors du test avec un email de phishing. L’IA a en effet signalé l’escroquerie dès la première analyse du message. Elle a clôturé son analyse par un avertissement : « Cet email semble être un email suspect. Il est préférable de ne pas ouvrir les pièces jointes ni de cliquer sur les liens. Accédez plutôt manuellement au site Internet ou à l’application, ou appelez le numéro indiqué sur leur site officiel. »

Au-delà de la simple détection des cybermenaces, Be My AI est un compagnon fiable pour parcourir les boutiques en ligne, les applications bancaires et les services numériques. Par exemple, l’IA peut vous aider à :

• Lire les descriptions, les noms et les prix lorsque le site Internet ou l’application d’une boutique ne prend pas en charge les lecteurs d’écran ou les gros caractères
• Analyser attentivement ces conditions générales parfois complexes (souvent dissimulées en petits caractères ou inaccessibles aux lecteurs d’écran) lorsque vous souscrivez à un abonnement ou ouvrez un compte bancaire
• Extraire les informations essentielles directement des fiches produits ou des manuels d’utilisation

Les risques de faire confiance à Be My AI

Le problème le plus courant avec l’IA réside dans les hallucinations, c’est-à-dire lorsque le modèle de langage déforme le texte, omet des détails essentiels ou invente des mots de toutes pièces. Lorsqu’il s’agit de cybermenaces, la confiance mal placée d’une IA dans un site ou un email malveillant peut s’avérer dangereuse. De plus, l’IA n’est pas à l’abri des attaques par injection de prompts, que les escrocs utilisent pour tromper les agents d’IA, et pas seulement ceux de Be My AI.

Même si l’IA a réussi notre test, vous ne devriez pas vous y fier aveuglément. Il n’y a aucune garantie que cela fonctionne à chaque fois. Il s’agit là d’un point essentiel pour les personnes aveugles et malvoyantes, car un réseau neuronal peut souvent leur donner l’impression d’être leurs seuls yeux.

À la fin de chaque réponse, Be My IA suggère de vérifier auprès d’un bénévole en cas de doute. Toutefois, si vous essayez de repérer une fausse page Internet, nous vous déconseillons de le faire. Vous n’avez aucun moyen de savoir si un bénévole choisi au hasard maîtrise bien les technologies ou s’il est digne de confiance. De plus, vous risquez de divulguer accidentellement des données confidentielles, comme votre adresse email ou votre mot de passe. Avant de communiquer avec un inconnu, assurez-vous qu’il ne pourra voir aucune information confidentielle sur votre écran. Mieux encore, utilisez la fonctionnalité dédiée de l’application pour créer un groupe privé composé de membres de votre famille, d’amis ou de contacts de confiance. Cela vous garantit que votre appel vidéo sera dirigé vers des personnes que vous connaissez réellement, plutôt que vers un bénévole choisi au hasard.

Pour votre sécurité, nous vous recommandons d’installer un outil de sécurité fiable sur tous vos appareils. Ces programmes sont conçus pour bloquer les tentatives de phishing et vous empêcher d’accéder à des sites malveillants. Une autre recommandation pratique pour les utilisateurs malvoyants consiste à utiliser un [placeholder kpm]gestionnaire de mots de passe[placeholder]. Ces applications ne rempliront automatiquement les identifiants que sur le site Internet authentique enregistré. Elles ne pourront pas être trompées par une usurpation de domaine rusée.

Comment Be My AI traite et stocke vos données

Conformément à la politique de confidentialité de Be My Eyes, les appels vidéo avec les bénévoles peuvent être enregistrés et conservés afin d’assurer la prestation du service, de garantir la sécurité, de faire respecter les conditions d’utilisation et d’améliorer les produits. Lorsque vous utilisez Be My IA, vos images et vos invites textuelles sont transmises à OpenAI afin de générer une réponse. Ces données sont traitées sur des serveurs situés aux États-Unis, et OpenAI les utilise uniquement pour répondre à votre demande spécifique. La politique stipule clairement que les images et les requêtes des utilisateurs ne sont pas utilisées pour entraîner les modèles d’IA.

Les photos et les vidéos sont chiffrées aussi bien en transit qu’au repos, et l’entreprise prend des mesures pour supprimer les informations confidentielles. Il convient de noter que les enregistrements des appels vidéo peuvent être conservés indéfiniment, sauf si vous faites une demande de suppression – auquel cas ils sont généralement effacés dans un délai de 30 jours. Les données issues de vos interactions avec Be My AI sont conservées pendant 30 jours maximum, sauf si vous les supprimez manuellement depuis l’application. Si vous décidez de fermer votre compte, vos données personnelles pourront être conservées pendant une durée maximale de 90 jours. À tout moment, vous pouvez refuser le partage de vos données ou demander la suppression de vos données existantes en contactant l’équipe d’assistance de Be My Eyes.

Comment utiliser Be My Eyes en toute sécurité

Malgré les affirmations de Be My Eyes relatives à la vie privée, il est tout de même recommandé de respecter certaines règles de base lors de l’utilisation du service :

• Utilisez Be My AI pour effectuer un premier tri des emails ou des pages suspects, mais ne le considérez pas comme la seule source fiable. Les logiciels de sécurité spécialisés sont plus efficaces pour identifier et neutraliser les menaces.
• Si un site, un email ou un message vous semble suspect, n’ouvrez aucun lien ni aucune pièce jointe. Saisissez plutôt manuellement l’adresse du site Internet officiel dans votre navigateur, ou ouvrez l’application officielle pour vérifier les informations.
• N’oubliez pas : un bénévole voit exactement ce que voit votre caméra. Assurez-vous qu’elle ne capture pas des informations sensibles, comme le code d’un coffre-fort ou un passeport ouvert. Évitez de divulguer votre nom, de montrer votre visage ou de dévoiler trop de détails sur votre environnement. Faites très attention aux reflets qui pourraient révéler votre identité ou vos données personnelles. Montrez uniquement ce qui est absolument nécessaire pour la tâche à accomplir.
• Tenez-vous-en à votre entourage. Créez un groupe dans l’application et ajoutez-y vos amis et votre famille. Cela vous garantit que vos appels vidéo seront dirigés vers des personnes que vous connaissez, et non vers un bénévole choisi au hasard.
• N’utilisez pas Be My AI pour lire des documents contenant des informations confidentielles. N’oubliez pas que vos images et vos invites textuelles sont envoyées à OpenAI afin d’être traitées et de générer une réponse.
• N’oubliez pas de supprimer les discussions dont vous n’avez plus besoin. Sinon, elles seront conservées pendant 30 jours.
• Si vous devez lire un document personnel ou confidentiel, pensez à utiliser des applications dotées de fonctionnalités de lecture en temps réel, comme Envision, Seeing AI ou Lookout. Ces applications traitent les données localement sur votre appareil plutôt que de les envoyer dans le cloud.