L’identification vocale, présentée par certaines banques américaines et européennes comme un moyen fiable de se connecter à son compte bancaire, vient d’être mise en porte-à-faux. Dans un article publié sur Vice, Joseph Cox raconte comme il a réussi à tromper le système de sa banque Lloyds Banks avec une voix générée par l’IA. Cette démonstration est assez simple : lors d’un appel téléphonique à la ligne de service automatisée de sa banque - Voice ID -, Joseph Cox s’est servi d’un fichier audio présent sur son ordinateur pour communiquer avec son service bancaire, plutôt que de s’adresser lui-même au service. Pour cela, il admet avoir utilisé un clone synthétique basé sur l’IA lui permettant de converser avec la ligne téléphonique automatisée de sa banque. Ce clone a alors déclaré vouloir « vérifier mon solde », ce à quoi la banque a répondu « d’accord ». Pour identifier la personne au bout du fil, cette dernière demande dans un premier temps d’entrer ou de dire sa date de naissance. Après avoir tapé cela, la banque dit alors « s'il vous plaît dites, « ma voix est mon mot de passe ».
Joseph Cox s’est donc servi une seconde fois de son fichier son à partir de son ordinateur pour faire parler la voix créée : « Ma voix est mon mot de passe », indique donc cette dernière. Et après quelques secondes à authentifier la voix, le système de sécurité de la banque l’a laissé entrer en le remerciant. Une fois cette étape d’authentification passée, l’utilisateur a donc accès aux informations du compte bancaire, y compris les soldes et une liste des transactions et transferts récents. Ce moyen qui était au départ censé être sûr et pratique pour les utilisateurs s’avère finalement être un moyen peu fiable et risqué.
Un système encore trop peu fiable
Avec cette expérience, Joseph Cox « brise l'idée que la sécurité biométrique basée sur la voix offre une protection infaillible dans un monde où n'importe qui peut désormais générer des voix synthétiques pour pas cher ou parfois gratuitement ». Il indique avoir utilisé le service de création de voix gratuit d'ElevenLabs, une société d'intelligence artificielle. Cette dernière vante sur son site les mérites de sa solution : « Eleven apporte les voix les plus convaincantes, les plus riches et les plus réalistes aux créateurs et aux éditeurs à la recherche des outils ultimes pour la narration » et on peut définitivement dire que c’est réussi grâce à cette expérience.
Sur son site Internet, la Lloyds Bank indique que son programme « Voice ID » est sûr, facile et rapide. « Votre voix est comme votre empreinte digitale et unique pour vous », peut-on lire sur la page dédiée. « Voice ID analyse plus de 100 caractéristiques différentes de votre voix qui, comme votre empreinte digitale, vous sont propres. Par exemple, comment vous utilisez votre bouche et vos cordes vocales, votre accent et la vitesse à laquelle vous parlez. Il vous reconnaît même si vous avez un rhume ou un mal de gorge », ajoute-t-il. Et pourtant, la voix synthétique créée par Joseph Cox aura eu raison de la fiabilité du système. Pour cette démonstration, la seule donnée personnelle nécessaire à l’authentification est la date de naissance. Lors d’une violation de données ou d’une fuite, n’importe quel fraudeur peut avoir accès à cette donnée. Elle peut également être disponible de façon légale, obtenue via des réseaux sociaux ou partagée d’une autre façon. A ce jour, peu de chiffres existent concernant le nombre d’abus réels et d’usurpation de comptes bancaires mais les cas de fraude et de piratage pourraient rapidement croître si l’authentification vocale tend à se généraliser.
Commentaire