BFM Business

L’ombre du piratage plane sur la reconnaissance vocale

Une étude de Pindrop lance une alerte sur les risques de piratage des systèmes de reconnaissance vocale.

Une étude de Pindrop lance une alerte sur les risques de piratage des systèmes de reconnaissance vocale. - Nicolas Asfouri - AFP

Amazon, Google, Apple -et bientôt Samsung- se sont lancés dans les appareils intelligents basés sur la reconnaissance vocale. Cette technologie est également désormais utilisée par une dizaine de banques françaises. Mais cette biométrie est-elle bien sécurisée? Selon une étude, elle comporte des risques pour les consommateurs.

La voix de son maître? Le vieux slogan de Pathé Marconi ne semble pas adapté à la reconnaissance vocale. Début 2017, lors du Super Bowl, une pub TV sur Google Home a déclenché les appareils des téléspectateurs. Dans ce spot, les personnages lançaient le fameux "OK Google", qui est la phrase qui déclenche l’appareil. Mieux, toujours aux États-Unis, de nombreux utilisateurs d’Amazon Echo ont reçu à leur domicile une maison de poupée qu’ils n’avaient pas commandée. L’ordre avait été donné lors d’un reportage diffusé à la télévision dans lequel une petite fille montrait comment commander un jouet en disant "Alexa (la reconnaissance vocale d'Amazon, NDLR), commande-moi une maison de poupée". Les boîtiers d’Amazon qui se trouvaient près de la télé ont immédiatement lancé la commande auprès du site de e-commerce.

Ces anecdotes peuvent prêter à sourire, mais pour la société Pindrop, spécialisée en sécurité des systèmes de reconnaissance vocale, elles démontrent que la cette technologie a de gros progrès à faire en matière de sécurité. "L’hystérie des Gafa autour des enceintes connectées –à laquelle Apple vient de contribuer avec son HomePod– l’indique: la reconnaissance vocale s’impose dans notre quotidien", indique Pindrop, qui rappelle que "comme tout moyen de reconnaissance la voix, n’est pas infaillible. Elle fait également l’objet de piratages".

La voix concentre 61% des fraudes

Comme le montre l’étude qu’elle vient de publier, réalisée auprès de 3000 personnes en France, en Allemagne et en Grande-Bretagne, la question inquiète déjà les consommateurs. Selon cette enquête, 52% des personnes interrogées s’alarment du manque d’originalité des méthodes d’authentification utilisées par les entreprises. Pour Pindrop, cette fragilité du système fait "planer l’ombre du piratage" chez les consommateurs. D’autant que cette technologie ne concerne plus seulement les services commerciaux ou d’information des géants de l’Internet, qui d'ailleurs n’hésitent pas à rembourser les dérapages, comme Amazon l’a fait dans le cas de la maison de poupée.

Désormais, des banques mais aussi des services de santé utilisent cette technologie pour faciliter l’accès à leurs services. "La CNIL vient d’autoriser neuf établissements bancaires à utiliser la reconnaissance vocale pour s'authentifier lors d'une connexion à un compte ou pour effectuer certaines transactions", signale Pindrop qui affirme que "la voix concentre 61% des fraudes enregistrées par les services financiers".

L'infaillibilité technologique: un mythe?

Pour se faire passer pour d’autres, les pirates n’imitent pas la voix, mais se contentent de donner les bonnes réponses aux questions de sécurité qui servent à identifier les possesseurs d’un compte. "Il semble que les arnaqueurs profitent des mauvaises habitudes des consommateurs en matière de partage d’informations personnelles sur les médias sociaux", estime Matt Peachey, vice-président de Pindrop. Pour cet expert de l’authentification et de la sécurité vocale, "la voix n’est pas une approche de sécurité suffisante" et, selon lui, il faudrait que les systèmes soient capables "d’analyser la voix ainsi que les caractéristiques de l’appel lui-même au niveau sonore et du réseau".

En attendant, tous les spécialistes s’accordent pour confirmer qu’aucun système n’est infaillible. Même Nuance, le spécialiste mondialement reconnu de la reconnaissance vocale admet que cette biométrie est piratable et table sur l’amélioration constante de ces technologies. D’ailleurs, pour son nouveau service, La Banque postale utilise un système de double authentification qui cumule la reconnaissance de la voix du client avec un code à usage unique. Et selon PW Consultants, Talk to Play, la méthode de protection utilisée par la banque, répond "aux problèmes de sites frauduleux (phishing, DNS spoofing) en garantissant une authentification non rejouable à distance". Aucun système n’est infaillible, mais des dispositions sont prises pour compliquer la vie des pirates.

https://twitter.com/PascalSamama Pascal Samama Journaliste BFM Éco