Motherboard est parvenu à accéder aux détails du compte bancaire de l'un de ses journalistes en utilisant une IA simulant sa voix, lui permettant d'accéder au solde de ses comptes, ainsi qu'à une liste de ses dernières transactions et transferts.
Le robot téléphonique de la banque, après lui avoir demandé de décliner sa date de naissance, lui a demandé de répéter « ma voix est mon mot de passe ». Au bout de quelques secondes, la banque a validé la voix synthétique comme étant vraiment celle du journaliste.
Sur son site web, la Loyds Bank indique pourtant que son programme Voice ID est sécurisé, au motif que « votre voix est unique, comme votre empreinte digitale » :
« Voice ID analyse plus de 100 caractéristiques différentes de votre voix qui, comme votre empreinte digitale, vous sont propres. Par exemple, comment vous utilisez votre bouche et vos cordes vocales, votre accent et la vitesse à laquelle vous parlez. Il vous reconnaît même si vous avez un rhume ou un mal de gorge. »
Contactée, la Lloyds Bank explique être consciente des risques posés par les voix synthétiques, mais précise ne pas encore avoir vu de cas de détournement d'usage ou de fraude visant ses clients :
« Les voix synthétiques [qui] offrent des niveaux de sécurité plus élevés que les méthodes d'authentification traditionnelles, ne sont pas aussi attrayantes pour les fraudeurs que d'autres méthodes beaucoup plus courantes, et l'identification vocale a entraîné une baisse significative de la fraude avec les services bancaires par téléphone. »
Interrogé par Motherboard, Rachel Tobac, PDG de la société d'ingénierie sociale SocialProof Security, recommande d'opter pour l'authentification multifacteurs, et de ne jamais reposer que sur la seule authentification vocale, digitale ou biométrique.
Commentaires (52)
#1
Très bonne idée d’utiliser comme authentification quelque chose qui devient public à l’instant où on ouvre la bouche. On n’avait pas trouvé mieux depuis l’authentification par empreinte digitale.
#1.1
Exact, et avec un argument comme « votre voix est unique, comme votre empreinte digitale » je lis « une fois compromise ce sera a vie ».
Bravo les champions
#1.2
Pas certain que tata Janine elle mette tous les jours des videos d’elle qui chante.
Très honnêtement, c’est plus sure que pas mal d’autres méthodes.
Plus sécure que le mot de passe à 4, 5 ou 6 chiffres de pas mal de banques en effet.
Faut un minimum c’est certain.
Si avec 1 identifiant c’est total open bar ..
C’est du ultra ciblé, où tu sais déjà ce que tu vas trouver.
C’est pas une attaque sur ne personne lambda où tu te dis “tiens, je vais lui piquer son fric vite teuf”
T’as plus vite fait de choper la voix de tes voisins dans ce cas là et les RS et Conf te fileront pas vraiment plus.
Genre Axa banque jusqu’à début de l’an dernier, ils sont passé à 5 .. youhou …
Tu fera de l’ingenierie sociale de proximité alors, vu qu’elle n’auront pas de vie online (confcall, video RS, etc …
On en revient à “méfie toi de tes voisins plus que du gars à l’autre bout de la Russie/chine/US/ …”
No comment, faut avoir compris le sens de sa phrase
#2
Encore faut-il une banque qui propose et utilise ce genre d’authentification …
#3
Et comme l’empreinte digitale c’est copiable par un pirate, mais non modifiable par le titulaire.
C’est donc une très bonne méthode d’authentification.
#4
Voilà ce qu’il arrive quand on confond identification et authentification !
#5
Le biométrique, c’est le mot de passe que tout le monde peut voir et que tu ne peux pas changer…
Sinon, « ma voix est mon mot de passe » pourrait être une référence au film de 1992 “Les Experts” (en anglais Sneakers), où la biométrie vocale se faisait déjà défoncer… Auquel cas on pourrait applaudir ceux qui ont implémenté ce système à la Loyds pour cette clairvoyance.
#5.1
Me souviens d’un audit de comparaison entre 2 salles machines
La première avait un sas tournant avec badge du genre “Beam me up Scottie” l’autre avait une porte classique avec controle biométrique palme de la main.
#5.2
Comparer un sas unipersonnel avec une porte, c’est plutôt ça qui est ridicule.
#5.3
Dans ma boite c’est sas unipersonnel avec détecteur d’unicité de passage donc le principe c’est :
entrée dans le sas par première porte avec un badge
isolement dans le sas avec le détecteur qui permet de vérifier qu’une seule personne passe
passage de la deuxième porte avec contrôle biométrique qui doit correspondre au badge utilisé à la première porte
#5.4
Bien sûr que c’est ridicule mais pas que ça
Le SAS unipersonnel n’est bon que si quelqu’un surveille ce SAS ( caméra , ronde whatever)
La porte avec 5 points d’entrée n’est bonne que si derrière il y a détection de mouvement ou caméra
La détection de mouvement n’est bonne que si quelqu’un est devant une console ou près de l’alarme pour s’en apercevoir
La personne avertie par l’alarme n’est bonne qu si elle peut intervenir ou faire intervenir
Car si ce n’est pas le cas quelq’un peux détruire le SAS avec un pied de biche, passer 3 heures en salle blanche sans qu’on puisee faire que ce soit.
Le ridicule est partout : dans la personne qui se laisse berner par le mot “Biométrique” “détection infrarouge” “détecteur de mouvement” ou “porte blindée”
C’est la façon dont la sécurité est implémentée en fonction de l’environnement qui sera efficace et non pas la dernière techno à la mode
Mais bon ….
#6
Vous tirez sur l’ambulance mais c’est pas vraiment juste. Quel est la chance qu’un pirate russe ou nord-coréen ait accès à votre voix ? Je veux bien qu’en théorie, faire reposer l’authentification sur la voix n’est pas la meilleure approche, mais c’est certainement plus sécurisé qu’utilisé un mot de passe à 4 chiffres qui n’a rien de personnel. De plus, l’utilisation de la voix est relativement intuitive pour les clients (je pense aux personnes âgées).
Puissiez vous élever votre avis à des critères plus généraux que ceux de votre personne.
#6.1
Bof, à l’heure des vidéos tout azimuts, des “assistants personnels” et autres micros connectés, il ne doit pas être si compliqué de se constituer une petite base mails/nom/voix/infos personnelles diverses. De plus, il n’est pas forcement nécessaire d’avoir un échantillons de la voix d’une personne je suppose que la reconnaissance d’une voix se fait via des marqueurs. Obtenir ces marqueurs devrait permettre de reconstituer une voix qui les valident.
Ce qui est intuitif pour une personne agée est généralement de se rendre d’un pas hésitant dans une vraie agence pour parler à une vraie personne. Tout le reste est moins pratique.
#7
Très élevées s’ils se fixent l’objectif de l’obtenir. Réseaux sociaux, vidéoconf mal sécurisée, malware qui active les micros … ou tout simplement un faux appel commercial où le simple fait de répondre “non, je ne suis pas intéressé” suffira …
4 chiffres, c’est nul, mais il y a peu de systèmes de nos jours qui te demandent réellement 4 chiffres pour t’authentifier. Les 4 chiffres sont généralement utilisés pour un objet physique qui lui contient les vrais données d’authentication.
Et elles seront certainement une cible de choix, comme à l’accoutumée.
Si je m’en réfère à tes arguments, “élever” n’est pas le bon verbe…
#8
L’utilisation de la voix comme moyen d’identification me semble une très mauvaise idée. À l’inverse de la possibilité du piratage, il y a le problème du changement temporaire de voix qu’une personne peut avoir pour diverses raisons (grippe, problème de dents, etc.). Ça me rappelle une vidéo d’une personne qui n’arrivait justement pas à entrer chez elle à cause d’un problème de dents et le système de la porte d’entrée n’arrivait pas à reconnaître la voix…
#8.1
C’est un moyen parmi d’autres :)
Ils ont testé celui là parce que la notif validée dans l’app il faut le tel du journaliste et connaitre éventuellement sont code secret c’est qui est en soit plus compliqué.
#9
Les cartes bleues à puce ne disposent que d’un code de 4 chiffres et elles sont quasiment inviolables.
La complexité du mot de passe n’est pas une fin en soit.
#9.1
Au bout de 3 essais ta carte est flinguée, l’accès à ton compte en ligne c’est pas le cas après 3 essais
Si t’as pas plus constructif comme remarque, je vais aller me prendre un café.
#9.2
C’est pareil sur les accès en ligne des banques et autres assurances : limité à quelques essais (généralement 3).
Le risque est le piratage de la base des mots de passe et les essais sans limitation de tentative. Espérons que les banques savent détecter cela et tout réinitialiser.
#9.4
Bah y’a déjà des bases des PIN de cartes, et ça va se développé sur d’autres systèmes avec le PIN Online qui se généralise pour les paiements par carte
Dans tous les cas, vous n’effleurez que certains points, on peut aussi te coller un MITM sur un appel téléphonique. Tu peux profité avec certains vieux sans file des appels GSM des gens à proximité, etc …
En plus, c’est pas plus risqué qu’avec l’ingénierie sociale minime où le fraudeur se fait passer pour le conseiller bancaire et te fait valider une opération dans l’app de la banque.
C’est bien, TA banque le fait, c’est cool, mais y’a des biais pour passer outre chez d’autres.
Le jour où Numérama sera une référence sur ce genre de sujets rappels moi stp
#9.5
Et le 2FA est obligatoire.
#9.3
L’accès à mon compte en ligne est bloquée après plusieurs tentatives infructueuses. J’ai déjà dû aller en agence pour le réactiver…
#10
Je suis le seul à tiquer sur l’image avec un handicapé incapable de se servir correctement de son téléphone et développant un trouble musculosquelettique en prime?
#10.1
Fais comme moi : n’affiche pas les images. J’attends avec impatience le jour où ce paramètre permettra de ne pas les charger, ces images !
#10.2
C’est la position la plus optimisée pour le micro du smartphone.
Vu que l’utilisateur a du patienter pendant 30 minutes son téléphone était en haut parleur.
#11
Tu es sur de toi ? Tu as essayé ?
Ca ne semble pas être le cas :
#12
Juste une question. C’est autorisée en France l’identification par la voix ?
#13
En revanche, le petit neveu de tata Janine (celui qui s’y connaît un peu en informatique) peut très bien enregistrer ses conversations, s’en servir pour entraîner une IA qui duplique sa voix, et ainsi avoir accès aux comptes de tata Janine et lui piquer son argent. Parce que, tu comprends, cette année elle a été un peu pingre avec les étrennes, donc il est un peu vénère.
#14
La Banque Postale le proposait un temps, je sais pas si c’est toujours le cas (expérimentation autorisée par CB dans mes souvenirs).
Il peut aussi mettre un mouchard sur le tel de tonton jean-jean ou de ses parents ou de sa copine
Ca il le fait peut être déjà, en quoi ça change quelque chose, c’est juste le moyen qui change, la fraude elle était déjà là.
Comme disait JoePike, le contexte/environement c’est important.
#14.1
un mot de passe ça se change, et ça peut être différent suivant les comptes. même si ça tombe dans une BDD piratée
Une fois que tu as la voix , le visage, l’iris, et / ou tes empreintes digitales , dans une BDD , tu fais quoi tu fais de la chirurgie ? on passe à l’empreinte de l’oreille et après ? du sexe ?
#15
Rien compris.
Oui, il y a d’autres points faibles, mais inutile d’en ajouter.
Next INpact, ça va comme source ?
#16
Ce sont des attaques phishing comme les autres. Il y a juste le côté où la voix est enregistrée en plus des habituelles collectes d’infos perso. Bon, un critère est d’avoir une qualité audio correcte, mais ça s’améliore.
Non, ça nécessite un peu de sophistication, mais ça va se démocratiser rapidement, et les call-centers dédiés au phishing peuvent évoluer pour produire l’info.
Encore une fois, il y a une différence si le code à 4 chiffres est utilisé directement comme source d’authentication ou comme moyen de débloquer un outil physique d’authentication. Le premier est juste inacceptable, le second n’est pas ce qu’il y a de pire, surtout si c’est avec un mécanisme de challenge/response.
D’abord on est plus en 2019: pendant la pandémie, on a bien appris à nous aînés à garder le contact via plein de moyens plus ou moins sécurisés.
Et si ça ne fait pas le boulot, le téléphone fera l’affaire si la qualité de l’appel est suffisante.
La voix est juste un point de plus dans la liste des choses à collecter dans une attaque phishing.
#17
Non, non, la CNIL aussi tique sur ce sujet. Idem pour les empreintes : il y a des adermatoglyphes. Et je parle pas des accidents divers (brûlures, section, etc.)
La biométrie n’est pas un bon moyen d’authentification dans l’absolu, mais cela peut diminuer le risque dans certains cas, cf. notre article. Le gros souci est que ça n’est pas secret et que ça n’est pas modifiable. Ok, quelqu’un qui te cible, pour l’instant c’est rare. Mais une fois les caractéristiques (voix ou empreinte ou forme de l’iris) compromises, c’est-à-dire stockées dans une base de données, tout le monde pourra se la partager (chez les méchants pirates). Et toi tu ne pourras ni changer ta voix… ni la réutiliser puisqu’elle sera compromise !
Quant à l’éternel histoire du code PIN pour les sites bancaires, la plupart de ceux que je connais bloquent (souvent temporairement, genre 1 jour) l’accès après 3 ou 4 tentatives. C’est déjà pas mal, surtout que depuis DSP2, les accès sont normalement renforcés (au moins pour certaines opérations).
#18
Faut voir …
Si tu dis à tata jeannine qu’elle à juste à dire “bonjour monsieur” pour être connecté à sa banque, ça peut le faire …
Quand on voit ce qu’on peut faire en jouant sur la crédulité des gens … suffit de coller un autocollant “cette machine se commande à la voix” sur un copieur pour rigoler un bon moment aux dépens de ses collègues …
#19
Si tu lis l’article de Motherboard, tu verras que ce n’est pas si simple. Ses premiers essais ont été infructueux. Il a fallu qu’il entraîne mieux le logiciel en parlant plus longtemps :
Mais, en enregistrant une conversation naturelle pas trop courte, ça doit être possible de répéter l’expérience.
#20
En bref, comme toujours la réponse c’est “circulez, y’a rien à voir, notre système est totalement sécurisé”
#21
Tout ceci est déjà de la biométrie, inutile de se répéter.
#22
Le plus important n’est pas d’empêcher l’intrusion (même si c’est important) mais de savoir qu’il y a eu intrusion.
#22.1
ça ça peut être une vision étriquée de l’intrusion ( attention c’est pas méchant
)
Quand on fait du DR on pense que le mec qui entre n’est peut-être venu que pour foutre le feu à la baie réseau et mettre 15000 utilisateurs au chomage
Mais bon t’as compris ce que je voulais dire
#23
Vu qu’il faut le faire à travers le navigateur ou le téléphone qu’elle a généralement peur d’utiliser ppur sa banque car elle entend souvent que c’est pas sécurisé (c’est pour cette raison qu’elle paye super cher un antivirus et pare-feu), je pense aussi que ces personnes préfèrent aller en agence.
Tu veux sans doute dire “s’il y a eu une tentative d’intrusion”, ratée ou réussie.
#24
Sauf que c’est pas comparable.
La biométrie “classique” ne sert pas à s’authentifier mais à déverrouiller. Dans une implémentation classique de reconnaissance d’empreinte (ton téléphone, ton ordi …), la banque n’utilise pas ton empreinte comme authentification. C’est ton appareil qui utilise ton empreinte pour déchiffrer une clé qui elle sera transmise à la banque.
Ton empreinte ne suffit pas à authentifier : il faut aussi te voler, en plus de ton empreinte, l’appareil (et uniquement celui là) sur lequel tu t’es connecté la première fois, et se connecter à ta banque avant que tu ne te rendes compte du vol (et que tu verrouilles tes accès).
Si on ne te vole que ton empreinte, on ne pourra se connecter à ta place qu’en utilisant physiquement ton appareil à ta place, ce qui semble peu pratique.
Ici c’est différent puisqu’il suffit effectivement de “juste” voler ta voix.
#25
Je pense que si.
Déverrouiller, c’est s’authentifier sur ton appareil. À partir du moment, où tu utilises un élément falsifiable comme l’empreinte digitale, c’est un moyen très faible d’authentification. Normalement, une empreinte digitale devrait juste servir à l’identification : qui a cette empreinte. C’est d’ailleurs comme cela qu’elle est utilisée par la police.
Non, mais ton appareil lui le fait et il laisse ensuite le libre accès à ton moyen d’authentification vis-à-vis de ta banque à un usurpateur.
C’est très pratique de fournir son empreinte au lieu de taper un code pin, mais on ne devrait pas sacrifier autant de sécurité pour un petit peu de confort.
Et dans le cas des cartes bancaires à lecture d’empreinte digitale, elle utilise bien l’empreinte pour t’authentifier.
Il suffit de te saouler ou droguer pour avoir à disposition à la fois tes empreintes (tes doigts) et ton appareil le temps nécessaire à te piquer du fric avec un virement instantané.
Il est relativement facile de voler les 2, comme je l’ai indiqué plus haut. En plus, sur ton smartphone, il y a probablement de belles empreintes à copier.
Il suffit de voler ton smartphone pour récupérer aussi tes empreintes. Match nul.
#26
C’est pas un problème de dents, mais un problème dehors.
Ok, je ->[] (pour le coup)
#26.1
#27
Tu as entendu parler des cartes bancaires avec empreinte digitale ? L’empreinte digitale remplace le code secret. Donc là, l’empreinte sert d’authentification. Tu me diras, ce n’est que sur un service pas très important, la carte bancaire.
Oui, il faut voler ton portable et ton empreinte, ou voler ta carte bleue et ton empreinte (plus facile, finalement, que choper le code), ou voler ton empreinte et avoir accès à ton PC où ton coffre LastPass est protégé par empreinte digitale, etc. Les variantes sont nombreuses, et je n’ai pas l’impression que l’on soit invulnérable sur tous ces tableaux.
#28
Je ne connaissais pas.
Il semblerait que c’est pour authentifier paiement sans contact.
#28.1
Oui, mais sans la limite de paiement de 50 € du sans contact habituel. les plafonds classiques de la carte s’appliquent.
#29
En effet, mais comme le paiement sans contact devient “sécurisé”, le plafond de 50€ saute.
#29.1
#30
Bon pour que ça marche faut quand même que la voix soit un minimum ressemblante, pas demain la veille que Canteloup pourra se mettre à la fraude bancaire