Faire des achats sur Internet, valider des transactions bancaires, consulter son compte client… et tout cela avec le simple son de sa voix. C’est n’est pas de la science-fiction, mais une réalité à laquelle chacun d’entre nous sera confronté prochainement. Car les grandes entreprises sont en train de tester et déployer massivement des technologies de biométrie vocale pour simplifier l’authentification de leurs clients auprès de leurs centres de contact ou dans leurs applications.
En France, quatre banques testent actuellement ce type de technologies : le Crédit Lyonnais, la Société Générale, BNP Paribas et la Banque Postale. Le projet de cette dernière figure parmi les plus avancés. L’expérimentation a été lancée en juillet 2013 et va se poursuivre jusqu’à fin août 2015. Elle s’appuie sur une solution baptisée « Talk to Pay » (T2P) développée par PW Consultants (*).
Une alternative à 3D Secure
L’objectif est d’apporter une alternative au paiement par 3D Secure et son fameux code par SMS : quand l’utilisateur d’une carte bancaire veut procéder à un achat sur Internet, il reçoit un coup de fil de sa banque, s’identifie par sa voix puis reçoit, au travers du service web T2P, un code à trois chiffres CVV à usage unique pour valider la transaction. Les premiers retours de l’expérimentation semblent positifs, car le Crédit lyonnais vient de démarrer à son tour un test avec T2P depuis fin septembre dernier.
Les expérimentations de la Société générale et de BNP Paribas, quant à elles, s’appuient respectivement sur les technologies de biométrie vocale de Nuance Technologies et d’Agnitio. En revanche, dans leurs demandes d’autorisation CNIL, les deux établissements ne précisent pas de cas d’usage final : ils attendent de voir.
Les banques françaises sont loin d’être les seuls à se tourner vers la biométrie vocale. D’après une étude récente d’OpusResearch, plus de 56 millions de personnes dans le monde utilisent déjà l’authentification vocale pour utiliser un service, principalement pour accéder à un support téléphonique (77 %), un service public (18 %) ou pour remettre à zéro un mot de passe (4 %). Le nombre d’utilisateurs devrait doubler d’ici deux ans. Le pays où la biométrie vocale est le plus développée est la Turquie, où cette technologie a été déployée par trois opérateurs télécoms (Vodafone, Turkcell, Avea) pour simplifier l’accès à leurs centres de contact.
Si ces grandes entreprises se tournent vers la biométrie vocale, c’est parce que celle-ci est mature, réduit les fraudes par usurpation d’identité, simplifie les interactions avec les clients et, surtout, n’est pas chère à déployer. Pas besoin, en effet, de diffuser des terminaux biométriques à grande échelle : un téléphone suffit. « Dans le cas de Turkcell, l’empreinte vocale créée par les utilisateurs remplace le code secret et permet de gagner un temps considérable. Plus besoin de chercher un mot de passe compliqué, on prononce une phrase clé (passphrase) et on accède directement au service. Cela fonctionne même en cas de rhume. Si votre maman est capable de vous reconnaître, le système le pourra également », explique Joel Drakes, responsable avant-vente France chez Nuance.
L’éditeur a également comme client la banque Barclays UK, qui a déployé un système d’authentification passive à destination de ses clients fortunés. « Dans ce cas, l’authentification ne se fait pas par une phrase clé, mais se fait au cours d’une discussion normale avec le conseiller bancaire. Sept à quinze secondes suffisent pour identifier une personne », souligne Joel Drakes.
Rejet automatique des bandes enregistrées
Certes, mais la biométrie vocale est-elle réellement sécurisée ? Les pirates ne peuvent-ils pas contourner ou hacker ce dispositif ? Tout d’abord, il faut savoir que les serveurs de biométrie vocale n’enregistrent pas la voix de l’utilisateur mais un « gabarit », c’est-à-dire un ensemble de caractéristiques physiologiques et comportementales qui font l’unicité d’une voix : spectre, fréquence, timbre, débit, rythme, etc. Les empreintes sont évidemment stockées de manière sécurisée. « Même si un pirate arrivait à mettre la main dessus, elles ne permettraient pas de reconstituer la voix d’origine par synthèse vocale. Elles sont l’équivalent d’un hash numérique », explique Loïc Guézo, directeur du développement chez Trend Micro Europe du Sud.
Reste la tentative d’intrusion par bande sonore. Supposons qu’un pirate arrive à enregistrer la phrase secrète d’un utilisateur (par une interception téléphonique par exemple), pourrait-il usurper l’identité d’un utilisateur ? Non, car « il existe des processus de validation qui permettent de comparer une soumission aux précédentes. S’il y a trop de similitudes, elle est rejetée », ajoute Loïc Guézo. Mais il ne jamais sous-estimer l’imagination des hackers qui, forcément, s’intéresseront de plus en plus en plus à la biométrie vocale à mesure que celle-ci se généralisera. A voir…
(*) Contrairement à ce que nous avions indiqué, Talk to Pay n’a pas été développé par PriceWaterhouse Coopers, mais PW Consultants
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.