Usurper une voix avec l’intelligence Artificielle

Published by Jean-Claude on

Joseph Cox raconte comment il a réussi à tromper le système bancaire grâce à l’Intelligence Artificielle.

Voix fabriquée par Intelligence Artificielle

Comment j’ai pénétré par effraction dans un compte bancaire avec une voix générée par l’IA ?

Au cours des dernières semaines, j’ai testé quelques services de génération de voix par IA. La plupart d’entre eux avaient des problèmes ou des limitations pour recréer mon accent britannique, ce qui serait nécessaire pour accéder au compte Lloyds Bank. Finalement, j’ai utilisé ElevenLabs, qui a bien géré l’accent.

Pour créer la voix, j’ai enregistré environ cinq minutes de discours et je l’ai téléchargé sur ElevenLabs (pour les clips audios, j’ai lu des sections de la loi européenne sur la protection des données). Peu de temps après, la voix synthétique était prête à l’emploi, indiquant le texte saisi sur le site d’ElevenLabs.

Les banques aux États-Unis et en Europe présentent l’identification vocale comme un moyen sécurisé de se connecter à votre compte.
J’ai prouvé qu’il était possible de tromper de tels systèmes avec des voix générées par l’IA gratuites ou bon marché.
La banque a cru qu’elle me parlait; la voix générée par l’IA sonnait certainement comme une voix humaine.

Mercredi, j’ai téléphoné à la ligne de service automatisée de ma banque.
Pour commencer, la banque m’a demandé pourquoi j’appelais.
Plutôt que de parler à haute voix, j’ai cliqué sur un fichier sur mon ordinateur portable à proximité pour lire : « vérifier mon solde ».
Mais ce n’était pas vraiment ma voix. C’était un clone synthétique que j’avais créé en utilisant une technologie d’intelligence artificielle facilement disponible.

« D’accord », a répondu la banque. Il m’a ensuite été demandé d’entrer ou de dire ma date de naissance comme première authentification.
Après avoir tapé cela, la banque a dit « s’il vous plaît dites, ‘ma voix est mon mot de passe.' »

Encore une fois, j’ai lancé un fichier son à partir de mon PC « Ma voix est mon mot de passe ».
Le système de sécurité de la banque a passé quelques secondes puis à authentifier la voix.

« Merci », m’a dit la banque. J’étais entré sur un compte bancaire qui n’était pas le mien.

Je n’arrivais pas à y croire – ça avait marché. J’avais utilisé une réplique d’une voix alimentée par l’IA pour pénétrer dans un compte bancaire. Après cela, j’ai eu accès aux informations du compte, y compris les soldes et une liste des transactions et transferts récents.

Les banques aux États-Unis et en Europe utilisent ce type de vérification vocale pour permettre aux clients de se connecter à leur compte par téléphone.
Certaines banques présentent l’identification vocale comme l’équivalent d’une empreinte digitale, un moyen sûr et pratique pour les utilisateurs d’interagir avec leur banque.
Mais cette expérience brise l’idée que la sécurité biométrique basée sur la voix offre une protection infaillible dans un monde où n’importe qui peut désormais générer des voix synthétiques pour pas cher ou parfois gratuitement.
J’ai utilisé un service de création de voix gratuit d’ElevenLabs, une société d’intelligence artificielle.

Désormais, l’abus des voix d’IA peut s’étendre à la fraude et au piratage. Certains experts à qui j’ai parlé après avoir fait cette expérience demandent maintenant aux banques d’abandonner complètement l’authentification vocale, bien que les abus dans le monde réel à l’heure actuelle puissent être rares.

Voix fabriquée par IA

La voix est trouvée sur Internet

Rachel Tobac, PDG de la société d’ingénierie sociale SocialProof Security, a déclaré à Motherboard : « Je recommande à toutes les organisations d’utiliser l’ « authentification » vocale pour passer à une méthode sécurisée de vérification d’identité, comme l’authentification multi-facteurs, ASAP ». Ce type de réplique vocale peut être « réalisée sans jamais avoir besoin d’interagir avec la personne dans la vie réelle ».

Les trolls en ligne ont déjà utilisé ElevenLabs pour créer des répliques de voix de personnes sans leur consentement, en utilisant des clips des voix des personnes en ligne.
Potentiellement, toute personne ayant ne serait-ce que quelques minutes de sa voix accessible au publicn YouTubers, influenceurs des médias sociaux, politiciens, journalistes, pourrait être sensible à ce type de clonage de voix.

J’ai effectué le test sur un compte auprès de la Lloyds Bank au Royaume-Uni.
Sur son site Internet, la Lloyds Bank indique que son programme « Voice ID » est sûr. « Votre voix est comme votre empreinte digitale et unique pour vous », lit-on sur le site. « Voice ID analyse plus de 100 caractéristiques différentes de votre voix qui, comme votre empreinte digitale, vous sont propres. Par exemple, comment vous utilisez votre bouche et vos cordes vocales, votre accent et la vitesse à laquelle vous parlez. Il vous reconnaît même si vous avez un rhume ou un mal de gorge », ajoute-t-il.

Protection vocale répandue

De nombreuses banques aux États-Unis proposent des services de vérification vocale similaires.
La Banque TD en a une appelée « VoicePrint » et indique sur son site Web « Votre empreinte vocale, comme votre empreinte digitale, vous est unique – personne d’autre n’a une voix comme vous ». Chase a « Voice ID » qui, comme Lloyds Bank, affirme également que l’empreinte vocale d’un client « est créée à partir de plus de 100 caractéristiques physiques et comportementales différentes » de Wells Fargo , quant à elle, «protège efficacement votre identité», selon le site Web de la banque.

Bien que je n’aie effectué le test que sur Lloyds Bank, étant donné la nature et le fonctionnement similaires de ces autres systèmes, ils peuvent également présenter un risque pour les voix alimentées par l’IA.
De nombreuses banques permettent aux utilisateurs d’effectuer une multitude de fonctionnalités bancaires par téléphone, telles que la vérification de l’historique des transactions, les soldes des comptes et, dans certains cas, le transfert de fonds.

Réaction de la Lloyds Bank

Pour cette attaque particulière, un fraudeur aurait également besoin de la date de naissance de la cible. Mais grâce à une pléthore de violations de données, de courtiers ou de personnes partageant des informations personnelles en ligne, une date de naissance est souvent facilement disponible.

Un porte-parole de la Lloyds Bank a déclaré dans un communiqué que « l’identification vocale est une mesure de sécurité facultative, mais nous sommes convaincus qu’elle offre des niveaux de sécurité plus élevés que les méthodes d’authentification traditionnelles basées sur les connaissances, et que notre approche en couches de la sécurité et de la prévention de la fraude continue de fournir le bon niveau de protection pour les comptes des clients, tout en facilitant leur accès en cas de besoin.

La Lloyds Bank a déclaré être consciente de la menace des voix synthétiques et du déploiement de contre-mesures, mais n’a pas vu de cas où une telle voix a été utilisée pour commettre une fraude contre ses clients. Les voix synthétiques ne sont pas aussi attrayantes pour les fraudeurs que d’autres méthodes beaucoup plus courantes, et l’identification vocale a entraîné une baisse significative de la fraude avec les services bancaires par téléphone, a déclaré la Lloyds Bank.

Étant donné la rareté de la fraude vocale synthétique à l’heure actuelle, les consommateurs sont probablement mieux placés pour l’utiliser si cela signifie les protéger contre d’autres types de fraude, comme le phishing. Ce calcul pourrait changer si le consommateur est une personnalité publique, avec beaucoup d’audio de haute qualité de sa voix facilement disponible sur Internet.

IA Banques poursuivies

Les banques poursuivies

TD Bank, Chase et Wells Fargo n’ont pas répondu à une demande de commentaires sur la question de savoir s’ils sont au courant de l’utilisation de voix alimentées par l’IA pour cibler les comptes clients et des mesures d’atténuation, le cas échéant, qu’ils prennent pour arrêter la menace. En septembre, des avocats ont poursuivi un groupe d’institutions financières américaines parce que les empreintes vocales biométriques utilisées pour identifier les appelants violent la California Invasion of Privacy Act.

Le Consumer Financial Protection Bureau, l’une des agences américaines qui réglemente le secteur financier, m’a dit dans un communiqué après que j’ai envoyé la vidéo de démonstration « Le CFPB est préoccupé par la sécurité des données, et les entreprises sont averties qu’elles seront tenues responsables de pratiques malhonnêtes. Nous attendons de toute entreprise qu’elle respecte la loi, quelle que soit la technologie utilisée.

Source : Vice

Tweetez
Partagez
Partagez
Enregistrer
Categories: Uncategorized

Related Posts

Suppression virus informatique

Comment trouver des programmes gratuits pour supprimer les virus

Trouver un antivirus gratuit pour désinfecter votre ordinateur des virus informatiques. N'hésitez pas à comparez. Utiliser le logiciel Sécurité Windows,

Windows 11

Les bienfaits d’une réparation de matériel informatique par un expert

Un expert informatique pourra vous assister pour un dépannage informatique en prenant garde à ,sauvegarder vos données. Sa discrétion est assurée par sa déontologie.

Changer de service Internet

Comment choisir le meilleur Fournisseur d »Accès Internet à domicile ?

Choisir un nouveau fournisseur Internet est toujours une source de questionnement; Qualité du service, vitesse de connexion, Prix, frais cachés ou disponibilité des techniciens et conseillers...