Passer au contenu

Quand l’IA permet de pirater un compte bancaire

Un journaliste explique avoir utilisé une réplique de voix générée par l’IA pour tromper le système de vérification de la voix de la banque britannique Lloyds, et accéder aux informations d’un compte bancaire.

Et si l’intelligence artificielle (IA) permettait de pirater un compte bancaire ? Aux États-Unis et dans certains pays européens, il est possible d’utiliser la reconnaissance vocale pour se connecter à son compte par téléphone. Un journaliste, Joseph Cox, a réussi, en utilisant une voix générée par une intelligence artificielle (IA) gratuite, à tromper le système de sécurité de sa banque britannique, Lloyds. Son récit de braquage hors norme a été publié dans un article de Vice le 23 février dernier.

La voix est comme une empreinte digitale, explique la banque sur son site web :  son logiciel Voice ID « analyse plus de 100 caractéristiques différentes de votre voix qui, comme votre empreinte digitale, sont uniques. Par exemple, la façon dont vous utilisez votre bouche et vos cordes vocales, votre accent et la vitesse à laquelle vous parlez. Il vous reconnaît même si vous êtes enrhumé ou si vous avez mal à la gorge ». Et même s’il s’agit d’une copie synthétique d’une voix ?

Le logiciel de la banque trompé par ElevenLabs

C’est précisément ce qu’a testé le journaliste de Vice, qui a d’abord utilisé un logiciel de la startup ElevenLabs pour enregistrer une copie synthétique de sa voix, en créant deux fichiers audio correspondant à deux demandes de vérification de son application bancaire : « vérifier mon solde », et « ma voix est mon mot de passe ».

Il aurait ensuite appelé la ligne de service automatisée de sa banque. L’établissement lui aurait d’abord demandé d’expliquer la raison de son appel. Il affirme avoir lancé son premier fichier audio : « vérifier mon solde ». La banque lui aurait ensuite demandé de saisir ou de dire sa date de naissance, date qu’il aurait choisie de taper sur son téléphone.

Ensuite, on lui aurait demandé de dire : « ma voix est mon mot de passe ». Le journaliste aurait alors lancé le second fichier. Le système de sécurité de la banque aurait passé quelques secondes à authentifier la voix avant de valider ce deuxième niveau d’authentification, à la grande surprise du journaliste.

« Je n’arrivais pas à y croire, ça avait marché. J’avais utilisé une réplique de voix alimentée par l’IA pour accéder à un compte bancaire », rapporte-t-il, incrédule. Il a ensuite pu accéder aux informations de son compte, y compris les soldes et une liste des transactions et virements récents.

Les banques doivent abandonner cette authentification vocale, plaide le journaliste

Or, si le journaliste a lui-même généré sa voix par l’IA, il est possible de répliquer des voix sans interagir avec la personne concernée, et donc sans avoir son autorisation. Il suffirait de quelques minutes d’enregistrements pour dupliquer et cloner des voix, à l’image de ces trolls qui ont utilisé le même logiciel, ElevenLabs, pour faire des répliques de voix de personnes sans leur consentement, en utilisant des clips disponibles en ligne de YouTubers ou d’hommes politiques.

Pour le journaliste, c’est bien la preuve que les banques doivent abandonner complètement l’authentification vocale. Un avis partagé par Rachel Tobac, la PDG de la société SocialProof Security, interviewée par Vice : « Je recommande à toutes les organisations qui utilisent l’authentification vocale de passer à une méthode sécurisée de vérification d’identité, comme l’authentification multifactorielle, dès que possible. » Reste à savoir si cette préconisation sera suivie d’effets.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Vice


Stéphanie Bascou
Votre opinion
Les commentaires sont fermés.