Le deep fake, un nouveau risque pour la fraude bancaire
À l’ère de l’intelligence artificielle, les risques de l’authentification vocale dans le domaine bancaire sont bien réels.
-La plupart des institutions financières canadiennes, comme Desjardins, CIBC et BMO, offrent depuis quelques années l’authentification vocale : une centaine de caractéristiques de la voix (intonation, accent, timbre sonore, débit, etc.) sont utilisées pour vérifier l’identité d’un client au téléphone sans lui poser de questions personnelles telles que le nom de jeune fille de sa mère ou le montant de sa dernière transaction.
Comme les empreintes digitales, les empreintes vocales sont uniques d’une personne à l’autre. Même un André-Philippe Gagnon au sommet de son art ne saurait imiter une voix au point de déjouer un système d’authentification moderne. Toutefois, certains outils d’intelligence artificielle (IA) sont désormais beaucoup plus précis que le célèbre imitateur québécois. Si aucune fraude du genre n’a encore été signalée au pays, selon le Centre antifraude du Canada, les dernières avancées en IA inquiètent des experts.
Car tout comme avec les hypertrucages vidéos (deep fakes), quelques minutes d’enregistrement de la voix d’une personne suffisent maintenant pour la reproduire avec une impressionnante fidélité. Assez pour déjouer les systèmes d’authentification vocale ? C’est le défi que s’est récemment donné le laboratoire du professeur de sciences informatiques Urs Hengartner, de l’Université de Waterloo.
« Nous avons été capables de berner tous les systèmes auxquels nous nous sommes attaqués », résume le chercheur à L’actualité. Son équipe n’a pas fraudé de banques pour faire sa démonstration, elle a plutôt visé les meilleurs systèmes de reconnaissance vocale sur le marché (l’équivalent d’acheter un coffre-fort pour en tester la solidité au lieu d’effectuer un véritable braquage).
Pour répéter l’exploit, un fraudeur n’aurait besoin que d’enregistrements audios d’une personne, d’un peu d’argent pour utiliser des outils en ligne et d’une certaine connaissance technologique. « Ça n’existe pas encore, mais quelqu’un pourrait créer un logiciel qui automatiserait le tout, et alors, n’importe qui pourrait reproduire ces attaques », craint Urs Hengartner. Le chercheur note également qu’il est facile de « voler » une voix en enregistrant quelqu’un à son insu ou en repiquant des vidéos publiées sur les réseaux sociaux, par exemple.
Le spectre de l’hypertrucage vocal ne semble pas angoisser l’industrie bancaire pour autant. « Desjardins est consciente de l’émergence de cette nouvelle forme d’escroquerie et nous avons des stratégies en place pour les contrer », affirme Camille Garcia Bigras, conseillère principale à la direction principale des solutions, canaux assistés, chez Desjardins, dont le service d’authentification vocale est utilisé par plus de 1,5 million de membres depuis son lancement à l’été 2021.
L’authentification vocale est effectuée tout au long de la conversation, et non seulement au début, ce qui complexifie la tâche pour le fraudeur, puisqu’il doit maintenir le leurre pendant toute la discussion. Le rythme décousu d’une conversation avec un pirate qui devrait taper la réponse à chaque question sur un clavier alerterait l’agent, qui utiliserait alors les autres méthodes d’authentification, comme les questions de sécurité.
« Aucune mesure de sécurité n’est parfaite. Les banques analysent le risque et les bénéfices, et elles implémentent les mesures seulement si ça en vaut la peine », explique Urs Hengartner.
En cas de fraude vocale, les clients ne seraient pas tenus responsables, affirment les institutions financières consultées. Ceux qui ne veulent pas risquer d’être les premières victimes peuvent néanmoins ne pas adhérer à ces services, ou encore s’en désinscrire.
REF.: https://lactualite.com