Cette fois, le diable est sorti de la boîte : l'annonce récente par OpenAI de la mise au point d'un service de synthèse vocale extrêmement fidèle à partir d'un échantillon original de quelques secondes rend obsolètes les systèmes d'authentification forte fréquemment déployés par les institutions financières, notamment dans leurs centres d'appel.Naturellement, le risque existait depuis le début (je l'évoquais dans ces colonnes dès 2013). Perçus comme une riposte imparable à la fragilité des protections par mot de passe, les outils biométriques présentent l'inconvénient majeur de devenir caducs, en tant que tels, dès l'instant où les éléments de reconnaissance mis en jeu risquent d'être compromis, puisqu'il est impossible pour un individu de changer d'empreinte digitale ou de voix si ses caractéristiques personnelles sont susceptibles d'être usurpées.
Au fil du temps, des démonstrations d'attaques possibles sont venues régulièrement confirmer le danger… sans grandes conséquences sur l'adoption par les entreprises, probablement parce que considérées (à tort) trop théoriques. Or les progrès de l'intelligence artificielle, entre création de « deepfakes » (hypertrucages ?) quasiment indétectables et réplication en temps réel d'une voix quelconque, accessibles à tous, dont bien sûr aux escrocs de tout poil, donnent désormais crédit aux alertes précoces.
La situation est particulièrement critique pour les banques (et autres organisations), relativement nombreuses, qui ont installé des plates-formes d'authentification forte à base de reconnaissance vocale dans leurs centres de contact. Un appel téléphonique pour capturer l'extrait nécessaire à l'entraînement et le tour est joué : n'importe qui peut se faire passer pour un client légitime et accéder à ses comptes, comme l'aurait apparemment vérifié la dirigeante d'une firme britannique de hacking éthique.
Au vu de la maturité des technologies accessibles aujourd'hui, la seule solution envisageable consistera à remplacer ou, à tout le moins, compléter le dispositif existant… et probablement revenir à des approches plus traditionnelles, avec leurs faiblesses notoires. En tout état de cause et le développement de mesures défensives étant voué à être toujours en retard sur les menaces, la biométrie vocale a maintenant perdu sa valeur dans les politiques de cybersécurité. Et le même sort attend, à court ou moyen terme, toutes les variantes (reconnaissance faciale, de l'iris ou de la pupille de l'œil, de la paume de la main…), qui font pourtant encore les titres de l'actualité.
Illustration par Karolina Grabowska (via Pixabay)
Jeu de briques
Snake
Pacman
Bubble