Les banques ont commencé à utiliser un moyen soi-disant unique d’identifier une personne – la vérification vocale. Mais en réalité, il peut être facilement brisé par la voix de l’intelligence artificielle.
À la fin de l’hiver, des nouvelles alarmantes concernant un moyen simple de pénétrer dans le système d’authentification vocale utilisé par les banques pour authentifier les clients ont commencé à être divulguées au public.
Plusieurs cas ont été détectés à l’étranger lorsque le système de reconnaissance vocale a été violé par une voix générée par l’intelligence artificielle, ou par la voix de personnes issues de vidéos ou de podcasts. À propos du problème il a écrit il y a quelque temps par exemple, le portail Vice.
Une telle vulnérabilité peut également concerner les banques slovaques utilisant la technologie d’authentification susmentionnée. La vérification vocale est proposée par Tatra banka, Raiffeisen banka, 365.bank et Poštová banka. Nous avons donc étudié comment ils perçoivent la sécurité de leur système.
Au lieu d’une solution sûre, une menace ?
L’utilisation de la technologie d’authentification vocale dans le secteur bancaire a considérablement augmenté ces dernières années. La voix était censée être un autre identifiant biométrique unique d’une personne, comme ses empreintes digitales ou son visage.
Le journaliste du portail Vice Joseph Cox a pris une décision il n’y a pas si longtemps faire une expérience pour tenter de vérifier la sécurité de cette technologie. Il a donc appelé la ligne client de sa banque Lloyds en Grande-Bretagne. Dans un premier temps, l’employé a demandé la raison de l’appel téléphonique. Mais Cox lui-même n’a pas répondu, jouant à la place un enregistrement généré par l’IA. Elle a répondu qu’elle aimerait vérifier le solde du compte.
La banque a demandé la date de naissance, puis le client a été invité à répéter la phrase « ma voix est mon mot de passe ». La question a de nouveau été répondue par une voix d’intelligence artificielle qui, à la surprise de Cox, a été reconnue comme la sienne. Après cette étape, il avait soudainement accès à toutes les informations liées au compte telles que le solde ou les transactions effectuées.
Pour s’introduire dans le compte, le journaliste a utilisé un outil d’intelligence artificielle d’ElevenLabs, disponible gratuitement sur Internet.
Le fait même que la prétendue solution hautement sécurisée soit possible percer d’une manière simple que n’importe qui peut exploiter, il suscite des inquiétudes considérables dans la communauté de la cybersécurité. Dès lors, les experts recommandent aux entreprises et aux banques de se tourner vers d’autres solutions, c’est-à-dire, par exemple, d’utiliser exclusivement l’authentification multifactorielle (ou multifactorielle).
Obtenir un enregistrement de la voix de la victime est facile
Cependant, ce n’est pas le seul cas de tromperie du système de vérification vocale. Des chercheurs de l’Institut international de la cybersécurité tout de suite mise en scène cyberattaque pour contourner cette forme d’authentification.
Tout d’abord, ils ont appelé la victime, l’ont « forcée » à répondre à des questions telles que oui, mot de passe, non, qu’ils ont ensuite utilisées pour s’introduire dans le compte bancaire. Ils ont ensuite utilisé un éditeur audio pour modifier la voix de la victime afin de créer la phrase requise pour accéder au compte.
Ainsi, les experts ont constaté que les attaques utilisant le clonage vocal sont plus faciles qu’il n’y paraît. Même expérience écrasé également en espagnol avec un résultat similaire. Pour l’attaque, il suffit soit d’obtenir la voix de la victime à partir de la vidéo, soit d’utiliser l’ingénierie sociale, dans ce cas l’appel téléphonique de la victime. Tout ce que vous avez à faire est d’ajouter le numéro de compte ou le numéro de client et le cybercriminel peut accéder relativement facilement à n’importe quelle banque. Dans certains cas, selon les conditions spécifiques de la banque en question, des données de base telles que le nom et la date de naissance sont tout à fait suffisantes.
Démonstration de clonage de voix à l’aide de l’outil Eleven Labs AI :
Malgré ces constatations, plusieurs banques continuent de il prétend, que l’authentification vocale est garantie sécurisée, car la voix est censée être aussi unique qu’une empreinte digitale. Leurs systèmes sont censés examiner plus de 100 caractéristiques vocales.
Le risque concerne aussi la Slovaquie
Bien que l’expérience donnée ait été menée à l’étranger, cela ne change rien au fait que toutes les institutions utilisant la technologie mentionnée sont à risque. Le problème affecte également les clients des banques slovaques, car plusieurs d’entre elles ont inclus la vérification vocale parmi les méthodes de vérification possibles. Ce sont Tatra banka, Raiffeisen banka, 365.banka et Poštová banka. Nous leur avons demandé comment ils percevaient la situation.
Les banques slovaques insistent généralement sur l’importance des mesures de sécurité dans la vérification biométrique. Tatra banka et Raiffeisen banka ils disent que leur «équipe spéciale surveille toute activité frauduleuse potentielle. Il surveille également de près les attaques contre la biométrie vocale qui se sont produites à l’étranger et l’environnement dans lequel elles ont été menées ». Actuellement, cependant, ils n’envisagent pas de désactiver ce service, car, selon leurs propos, ils ont « créé un système complexe de contrôle et vérification permanents ». Ils déclarent également qu’en plus des experts slovaques, ils coopèrent également avec des universités étrangères.
Ils nécessitent actuellement plusieurs étapes pour vérifier l’identité. En plus de la reconnaissance initiale de la voix par le système, une personne doit également fournir d’autres données telles que le nom ou la date de naissance. Par la suite, la personne se voit poser une question de contrôle basée sur les informations qu’elle a fournies à la banque. Le but est, entre autres, de laisser la personne parler plus longtemps afin que le système puisse suffisamment vérifier que la voix est originale.
Postová banka et 365.bank ils considèrent également que la technologie est sûre. Lors de la vérification vocale, il est également nécessaire de saisir des données supplémentaires, telles qu’un numéro de naissance ou un nom, qui sont liées à la biométrie vocale. Le système vérifie ensuite la correspondance. Les banques affirment accorder « une grande importance à la cybersécurité, y compris pour la technologie d’authentification vocale elle-même ». Cependant, ils n’excluent pas d’utiliser à l’avenir des solutions plus sécurisées, par exemple sous la forme d’un facteur d’authentification supplémentaire. Poštová et 365 banka sont deux marques différentes, mais elles appartiennent à une seule entité.
Les clients des banques slovaques devraient être relativement en sécurité grâce à la nécessité d’une vérification d’identité supplémentaire grâce à des données supplémentaires. Les questions de vérification garantissent un plus grand degré de fiabilité dans la vérification de la véritable identité d’une personne. Le problème demeure que des données telles que la date de naissance ou le nom d’une personne peuvent être facilement trouvées même à partir de sources ouvertes et d’informations accessibles au public. De plus, ces données sont souvent compromises lors de fuites de données d’entreprises et d’organisations, c’est pourquoi il n’est pas difficile pour les attaquants de les obtenir.
Des conversations plus longues avec une personne ne garantissent également qu’une amélioration relative de la situation sécuritaire. L’intelligence artificielle peut imiter une voix relativement rapidement et facilement. Même cette décision des banques ne résout pas la situation.
Par conséquent, les recommandations des experts étrangers s’appliquent également aux Slovaques. Si vous utilisez le service d’authentification vocale, vous devriez envisager de le désactiver précisément en raison d’éventuels abus. Il existe plusieurs façons de vérifier l’identité, qui sont nettement plus sûres à la lumière des nouvelles réalités. L’un d’eux est l’authentification multifacteur susmentionnée. Il s’agit, par exemple, d’une situation où vous devez vérifier votre identité via l’application mobile de la banque.
« Analyste de longue date. Passionné de cuisine subtilement charmant. Introverti. Accro aux médias sociaux. Lecteur. Pionnier général de la télévision. Étudiant. Future idole des adolescents. »