Banques : attention, les fraudeurs peuvent copier votre voix !

Lors d’une conférence de la Réserve fédérale des États-Unis à Washington, en juin dernier, Sam Altman, le PDG d’openAI, a mis en garde le monde de la finance contre l’utilisation de l’authentification vocale par les banques. Le cocréateur de ChatGPT a averti que les outils de clonage de voix peuvent facilement contourner ces systèmes et qu’une « crise de fraude » est imminente.

L’authentification vocale déjà déjouée au Canada

Plusieurs grandes banques canadiennes, dont la Banque de Montréal (BMO), la Banque canadienne impériale de commerce (CIBC), la Banque Scotia ou la Banque Toronto-Dominion (TD), ainsi que le Mouvement Desjardins, utilisent l’empreinte vocale pour identifier leurs clients. Avec votre accord, la banque enregistre votre voix pour vous reconnaître. Lors de vos appels, elle compare votre voix à l’empreinte vocale enregistrée pour confirmer votre identité. Cette méthode biométrique, disent les banques, est rapide et sécuritaire.

Toutefois, l’émergence récente des outils d’hypertrucage vocal met en cause le degré de sécurité qu’offre ce mode de protection. À partir de quelques extraits audios, l’IA permet de créer des clones vocaux convaincants. Les outils pour fabriquer une voix de synthèse sont de plus en plus accessibles et rendent extrêmement difficile la distinction entre une voix réelle et son clone artificiel.

Lors d’un reportage pour Radio-Canada, une journaliste du radiodiffuseur national a facilement réussi à tromper les systèmes d’authentification de Desjardins, BMO, CIBC, la Banque Scotia et TD, à partir d’un clone vocal de sa propre voix.

Fraude vocale : les entreprises premières victimes

Les fraudes ayant recours à l’hypertrucage vocal visent majoritairement les grandes entreprises, et peu les particuliers, indique Fyscillia Ream, titulaire de la Chaire de recherche en prévention de la cybercriminalité à l’Université de Montréal. Toutefois, prévient-elle, ces attaques augmenteront à mesure que les outils de clonage vocal deviendront plus accessibles et développés.

De son côté, l’Association des banquiers canadiens (ABC) certifie que les banques travaillent en collaboration étroite avec les diverses autorités « en vue de garantir la sécurité de leurs clients à l’encontre des menaces naissantes ». 

Desjardins, par exemple, qui compte plus de 2 millions de clients utilisant l’authentification vocale, assure surveiller attentivement les avancées technologiques pour adapter en permanence ses méthodes de protection. Cette surveillance est effectuée par son Bureau de la sécurité, qui se concentre notamment sur les défis posés par l’hypertrucage vocal.

À lire : Fuite massive de mots de passe : 4 gestes pour rester en sécurité

Devriez-vous vous abandonner l’authentification vocale ?

La menace liée à l’hypertrucage vocal est réelle et en pleine croissance. Bien que la sécurité bancaire repose en partie sur la vigilance des clients, Fyscillia Ream insiste sur l’importance d’un effort partagé. Si les particuliers doivent rester attentifs, les institutions financières ont également la responsabilité de renforcer leurs systèmes face aux nouvelles menaces.

L’ABC, de son côté, soutient que c’est la combinaison des mesures mises en place qui assure la fiabilité des systèmes d’authentification bancaires.

De votre côté, vous pouvez adopter quelques habitudes pour accroître votre degré de protection :

Vérifiez les modes d’authentification associés à votre compte - Commencez par porter attention aux méthodes d’authentification utilisées pour accéder à votre compte bancaire.

• Assurez-vous que votre mot de passe est robuste, unique et non réutilisé ailleurs.
   
• Soyez également vigilant lorsque vous répondez à vos questions de sécurité.
   
• Demandez-vous si vos réponses sont faciles à deviner ou accessibles publiquement. Par exemple, si la question porte sur le nom de votre premier chien et que vous n’en avez eu qu’un seul, cette information pourrait être simple à trouver.
   
• Vérifiez aussi s’il est possible d’accéder à d’autres modes d’authentification, par exemple à un système de double authentification sur un de vos appareils, pour ajouter une couche de protection à la gestion de vos comptes.

Protégez votre voix en ligne - Les outils de clonage de voix sont alimentés et perfectionnés par des extraits de voix clairs, longs et variés. Cela signifie que vos publications en ligne (vidéos ou enregistrements audios) peuvent servir à entraîner une IA à reproduire votre voix. Il est donc conseillé d’être conscient de ce que vous rendez public, notamment sur les réseaux sociaux. L’idéal est de mettre toutes vos publications sur les réseaux sociaux en mode privé pour que seul un petit cercle de personnes choisies puissent y accéder. Évidemment, si vous présentez le téléjournal, il est plus difficile de vous mettre à l’abri…

Redoublez de prudence face aux fraudeurs - Comme le souligne l’Association des banquiers canadiens, « les clients peuvent jouer un rôle important en redoublant de vigilance, en adoptant des pratiques sécuritaires en ligne et en distinguant les demandes légitimes des tentatives de fraude ».

Consultez souvent les sites gouvernementaux : tant le gouvernement du Québec que les instances fédérales tiennent à jour les informations pour vous aider à vous protéger contre la fraude numérique. En restant vigilant et en adoptant de bonnes pratiques, vous contribuez activement à votre sécurité, sans pour autant porter seul tout ce fardeau.

À lire : IA, désinformation et fraude : comment rester vigilant et Deepfakes : des médecins québécois connus ciblés par des fraudeurs sur Facebook