Un client parvient à tromper la sécurité de sa banque grâce à une IA vocale gratuite

"Ma voix est mon mot de passe." Cette phrase anodine est en réalité la clé pour accéder à de nombreux comptes bancaires. Aux Etats-Unis, comme en Europe, des banques proposent à leurs clients de simplement parler pour s’identifier et gérer leur argent, par le biais d'un simple appel téléphonique. Un journaliste du média américain Vice a donc mis au défi cette procédure à l’aide d’une intelligence artificielle, en réalisant un test auprès de sa banque, Lloyds Bank.

A l’aide du logiciel de la startup ElevenLabs, le journaliste a généré une copie synthétique de sa voix. Au même titre que Microsoft, la société permet de reproduire sa propre voix ou celle d’une célébrité à partir de quelques échantillons sonores. Il suffit ensuite d’écrire un texte pour faire dire à peu près n’importe quoi à n’importe qui. Cette fonction a rapidement généré des abus: la voix de l’actrice Emma Watson a notamment été utilisée pour proférer des insultes racistes.

Un dispositif prétendu infaillible

Afin de limiter les abus, ElevenLabs a revu ses règles d’utilisation. Désormais, le service est payant pour imiter la voix d’une personne autre que soi-même. Mais la reproduction de sa propre voix reste gratuite. C’est cette option qu’a utilisée le journaliste de Vice pour tester l’efficacité du système de protection sonore de sa banque.

Alors que les établissements proposant l’identification par la voix vantent un dispositif infaillible, l’expérience a malheureusement prouvé le contraire. Du moins avec la solution d’ElevenLabs. Des tests ont été réalisés avec d’autres générateurs de voix, mais les logiciels ont eu du mal à reproduire correctement l’accent britannique du journaliste.

L'intelligence artificielle d’ElevenLabs a permis de générer deux fichiers audios. Le premier a servi à formuler sa demande: "check my balance" ("vérifier mon solde", en français). Le second à s'identifier en prononçant la phrase "my voice is my password" ("ma voix est mon mot de passe", en français).

Des contre-mesures déployées

Lors de son appel, le journaliste a simplement lancé les fichiers audio au lieu de parler. Seule sa date de naissance (qu’il a pu saisir manuellement) lui a été demandée en plus. Il a ainsi eu accès à ses comptes, incluant ses informations bancaires, ses soldes, ses dernières transactions et ses transferts récents.

Lloyds Bank a expliqué être au courant des risques que peuvent représenter les voix synthétiques. Il assure déployer des contre-mesures et qu'aucune fraude auprès de ses clients n’a pour l’heure été observée.

Contactée par Vice, la spécialiste de l’ingénierie social, Rachel Tobac, à la tête de SocialProof Security, a tout de même recommandé "à toutes les structures qui utilisent l'authentification vocale de passer à une méthode sécurisée de vérification de l’identité, comme l’authentification à double facteur, dès que possible".