Techno

Fraude bancaire Nouvel outil : les deepfakes vocaux

ILLUSTRATION ARIEL DAVIS, THE NEW YORK TIMES

Des escrocs tentent d’inciter des banques à leur envoyer de l’argent en utilisant une intelligence artificielle qui imite la voix de clients légitimes.

Au printemps dernier, Clive Kabatznik, un investisseur de Floride, a appelé la représentante locale de la Bank of America pour discuter d’un important transfert d’argent qu’il prévoyait d’effectuer. Puis il a rappelé.

Mis à jour le 3 sept. 2023

Emily Flitter ET Stacy Cowley The New York Times

Sauf que le deuxième appel n’était pas de Kabatznik. Un logiciel avait généré artificiellement sa voix et tenté de tromper la banquière pour qu’il transfère l’argent ailleurs.

M. Kabatznik et sa banquière ont été la cible d’une tentative d’escroquerie de pointe qui attire l’attention des experts en cybersécurité : l’utilisation de l’intelligence artificielle pour générer des deepfakes vocaux, c’est-à-dire des rendus vocaux qui imitent la voix de véritables personnes.

Le problème est encore assez nouveau pour qu’il n’y ait pas d’évaluation complète de la fréquence des escroqueries. Mais un expert dont la société, Pindrop, surveille le trafic audio pour un nombre important de grandes banques américaines dit avoir constaté une augmentation du phénomène cette année – et de la sophistication des tentatives de fraude vocale des escrocs. Un autre grand fournisseur d’authentification vocale, Nuance, a vu sa première attaque réussie de deepfake contre un client du secteur des services financiers à la fin de l’année dernière.

Dans le cas de M. Kabatznik, la fraude était détectable. Mais la rapidité du développement technologique, la baisse des coûts des programmes d’intelligence artificielle générative et la grande disponibilité des enregistrements de voix sur l’internet ont créé les conditions parfaites pour les escroqueries à l’IA liées à la voix.

Échantillons audio

Les données relatives aux clients, telles que les coordonnées bancaires, qui ont été volées par des pirates informatiques – et sont largement disponibles sur les marchés clandestins –, aident les escrocs à mener à bien ces attaques. Celles-ci sont encore plus faciles à réaliser avec des clients fortunés, dont les apparitions publiques, notamment les discours, sont souvent largement publiées sur l’internet. Trouver des échantillons audio de clients ordinaires peut également être aussi simple qu’effectuer une recherche en ligne – par exemple sur des applications de médias sociaux comme TikTok et Instagram – pour trouver le nom d’une personne dont les escrocs possèdent déjà les coordonnées bancaires.

« Il y a beaucoup de contenu audio », explique Vijay Balasubramaniyan, PDG et fondateur de Pindrop, qui examine les systèmes de vérification vocale automatique de huit des dix plus grands prêteurs américains.

Au cours des dix dernières années, Pindrop a examiné les enregistrements de plus de 5 milliards d’appels reçus par les centres d’appels des sociétés financières qu’elle sert. Ces centres gèrent des produits comme les comptes bancaires, les cartes de crédit et d’autres services proposés par les grandes banques de détail. Tous les centres d’appel reçoivent des appels de fraudeurs, généralement entre 1000 et 10 000 par an. Selon M. Balasubramaniyan, il n’est pas rare de recevoir 20 appels de fraudeurs par semaine.

Jusqu’à présent, les fausses voix créées par des programmes informatiques ne représentent qu’une « poignée » de ces appels, précise le fondateur de Pindrop, et elles n’ont commencé à faire leur apparition qu’au cours de l’année écoulée.

La plupart des attaques par fausse voix que Pindrop a observées ont eu lieu dans des centres d’appels de services de cartes de crédit où des représentants humains traitent avec des clients qui ont besoin d’aide avec leur carte.

Voix d’automate

M. Balasubramaniyan a fait écouter à un journaliste l’enregistrement anonyme d’un appel de ce type qui a eu lieu en mars. Bien qu’il s’agisse d’un exemple très rudimentaire – dans ce cas, la voix est robotique et rappelle davantage un lecteur électronique qu’une personne –, l’appel illustre la manière dont les escroqueries peuvent se produire à mesure que l’IA permet d’imiter plus facilement les voix humaines.

On entend un banquier accueillir le client. Puis la voix, qu’on aurait dit automatisée, rapporte : « Ma carte a été refusée. »

Le banquier répond : « Puis-je vous demander à qui j’ai le plaisir de parler ? »

« Ma carte a été refusée », répète la voix.

Le banquier demande de nouveau le nom du client. Un silence suit, pendant lequel on entend un léger bruit de frappe. Selon M. Balasubramaniyan, le nombre de frappes correspond au nombre de lettres du nom du client. Le fraudeur tape des mots dans un programme qui les lit ensuite.

En l’occurrence, le débit artificiel de l’appelant a conduit l’employé à transférer l’appel à un autre service et à le signaler comme potentiellement frauduleux, explique M. Balasubramaniyan.

Les appels comme celui décrit ici, qui utilisent la technologie de synthèse vocale, font partie des attaques qu’il est le plus facile de contrer : les centres d’appels peuvent utiliser des logiciels de filtrage pour détecter les indices techniques indiquant que le discours est généré par une machine.

« La parole synthétique laisse des artefacts derrière elle, et de nombreux algorithmes anti-usurpation d’identité s’appuient sur ces artefacts », explique Peter Soufleris, PDG d’IngenID, fournisseur de technologies de biométrie vocale.

Mais comme pour de nombreuses mesures de sécurité, il s’agit d’une course aux armements entre les fraudeurs et les leurs cibles, qui a récemment évolué. Un escroc peut désormais simplement parler dans un microphone ou taper une invite et voir son propos traduit très rapidement avec la voix de la personne dont il a usurpé l’identité.

M. Balasubramaniyan a fait remarquer qu’un système d’IA générative, VALL-E de Microsoft, pouvait créer une fausse voix qui disait tout ce que l’utilisateur souhaitait en utilisant un échantillonnage audio d’à peine trois secondes.

Supercherie

Si les démonstrations effrayantes de deepfake sont monnaie courante dans les conférences sur la sécurité, les attaques réelles restent extrêmement rares, assure Brett Beranek, gestionnaire général de la sécurité et de la biométrie chez Nuance, un fournisseur de technologie vocale que Microsoft a racheté en 2021. La seule intrusion réussie chez un client de Nuance, en octobre, a nécessité plus d’une douzaine de tentatives de la part de l’auteur de l’attaque.

Ce qui préoccupe le plus M. Beranek, ce ne sont pas les attaques contre les centres d’appels ou les systèmes automatisés, comme les systèmes de biométrie vocale déployés par de nombreuses banques. Il s’inquiète des escroqueries dans lesquelles un appelant joint directement une personne, par exemple le PDG, en se faisant passer pour quelqu’un d’autre.

C’est ce qui s’est passé dans le cas de M. Kabatznik. Selon la description de la banquière, quelqu’un semblait essayer de lui faire transférer de l’argent vers un nouveau lieu, mais la voix était répétitive, parlait en même temps qu’elle et ses propos étaient confus. La banquière a raccroché.

Après avoir reçu deux autres appels de ce type en peu de temps, la banquière a signalé le problème à l’équipe de sécurité de la Bank of America, explique M. Kabatznik. Inquiète pour la sécurité du compte de M. Kabatznik, elle a cessé de répondre à ses appels et à ses courriels, même à ceux qui provenaient du vrai M. Kabatznik. Il a fallu une dizaine de jours pour qu’ils rétablissent le contact, lorsque M. Kabatznik s’est arrangé pour lui rendre visite à son bureau.

« Nous formons régulièrement notre équipe à identifier et à reconnaître les escroqueries et à aider nos clients à les éviter », explique William Halldin, porte-parole de la Bank of America. Il ajoute qu’il ne peut commenter le cas de clients en particulier ou leurs expériences.

Bien que les attaques soient de plus en plus sophistiquées, elles découlent d’une menace de cybersécurité de base qui existe depuis des décennies : une violation de données qui révèle les informations personnelles des clients d’une banque.

Entre 2020 et 2022, des données personnelles concernant plus de 300 millions de personnes sont tombées entre les mains de pirates informatiques, ce qui a entraîné des pertes de 8,8 milliards de dollars, selon la Federal Trade Commission.

Une fois qu’ils ont récolté un lot de numéros, les pirates passent au crible les informations et les font correspondre à des personnes réelles. Les personnes qui volent les informations ne sont presque jamais celles qui finissent par les utiliser. Au lieu de cela, les voleurs les mettent en vente. Les spécialistes peuvent utiliser l’un des nombreux programmes facilement accessibles pour usurper les numéros de téléphone des clients ciblés, ce qui a probablement été le cas de M. Kabatznik.

Il est facile de trouver des enregistrements de sa voix. Sur l’internet, on trouve des vidéos de lui s’exprimant lors d’une conférence et participant à une collecte de fonds.

« Je pense que c’est assez effrayant », a déclaré M. Kabatznik. « Le problème, c’est que je ne sais pas ce qu’il faut faire. Faut-il simplement entrer dans la clandestinité et disparaître ? »

Cet article a été publié à l’origine dans le New York Times

Consultez l’article original (en anglais ; offert avec abonnement payant)

Techno En continu

01:30

Techno

La sortie de Grand Theft Auto VI prévue à l’automne 2025

(San Francisco) L’éditeur américain de jeux vidéo Take-Two Interactive, la maison mère de Rockstar Games, a annoncé jeudi que le très attendu jeu vidéo Grand Theft Auto VI sortirait à l’automne 2025.

Publié à 19h11
Techno

Protection des mineurs L’Union européenne ouvre une enquête visant Facebook et Instagram

(Bruxelles) La Commission européenne a ouvert jeudi une enquête visant les réseaux sociaux Facebook et Instagram (groupe Meta) soupçonnés de développer des comportements addictifs chez les enfants et de ne pas suffisamment les protéger contre les « contenus inappropriés ».

Publié à 7h51
Techno

Les États-Unis ont parlé à la Chine de sa « mauvaise utilisation » de l’IA

(Washington) Les États-Unis ont affirmé mercredi avoir soulevé avec la Chine le problème de sa « mauvaise utilisation » de l’intelligence artificielle (IA), mais souhaitent poursuivre le dialogue qui vient de s’ouvrir avec Pékin sur ce sujet.

Publié hier à 16h09
Techno

Vie numérique Aircove Go : de la confidentialité en boîte

Le routeur portable Aircove Go facilite à l’extrême l’utilisation d’un réseau privé virtuel (RPV) : il suffit d’y connecter un appareil, par WiFi ou Ethernet, pour faire croire aux serveurs que vous êtes dans un des 105 pays offerts. La configuration initiale demande tout de même un peu de patience et on est limité à un seul fournisseur.

Mis à jour hier à 16h00
Techno

Conçu par le studio d’Ubisoft à Québec Le nouveau jeu Assassin’s Creed sortira le 15 novembre

Le studio d’Ubisoft à Québec n’est peut-être pas aussi gros que son frère à Montréal.

Publié hier à 12h55
Techno

Google et l’IA Les créateurs web craignent une hécatombe

Le blogue de cuisine rapide de Kimber Matherne est un grand succès : il génère des millions de clics par mois.

Mis à jour hier à 9h00
Techno

Le moteur de recherche de Google carburera à l’intelligence artificielle

(Mountain View, Californie) En mai dernier, Sundar Pichai, PDG de Google, a annoncé que l’entreprise utiliserait l’intelligence artificielle pour réimaginer l’ensemble de ses produits.

Mis à jour hier à 8h00
Techno

Pays-Bas Le fabricant de Fortnite à l’amende pour avoir poussé des enfants à l’achat

(La Haye) Les autorités néerlandaises ont infligé mardi une amende de 1,1 million d’euros à Epic Games, fabricant du populaire jeu en ligne Fortnite, estimant qu’il exploitait des enfants vulnérables et les poussait à effectuer des achats dans le jeu.

Publié le 14 mai
Techno

Meater 2 Plus Capable d’en prendre, de la chaleur

Difficile de se passer du Meater 2 Plus une fois qu’on l’a essayé. Ce thermomètre de cuisson Bluetooth envoie sans faille ses informations à une application mobile, évalue le temps de cuisson et, nouveauté, supporte des températures jusqu’à 1000 degrés Farenheint. Ça sent la note parfaite.

Publié le 14 mai
Techno

Android Google lance un service de localisation d’urgence

(Toronto) La prochaine fois que les utilisateurs d’Android au Canada appelleront le 911, un nouveau service intégré à leur téléphone transmettra leur localisation aux intervenants d’urgence.

Publié le 13 mai
01:06

Techno

OpenAI offre la vision et la voix à ChatGPT

(San Francisco) OpenAI a présenté lundi une nouvelle version de ChatGPT qui peut désormais tenir des conversations orales et fluides avec ses utilisateurs, un pas de plus vers des assistants d’intelligence artificielle (IA) ultra perfectionnés, le graal actuel de la Silicon Valley.

Publié le 13 mai
Techno

HeartLink 3-en-1 Les murs ont vraiment des oreilles

Vous avez de la difficulté à entendre vos séries préférées ou votre professeur à l’avant de la classe ? Un appareil de la taille du petit doigt, le HeartLink, peut vous rendre de fiers services en relayant le son par Bluetooth. Avec une qualité disons minimale et quelques commandes un peu mêlantes.

Publié le 13 mai
Techno

Lutte contre la haine dans les jeux vidéo On peut faire mieux, disent des experts

Des progrès ont été réalisés dans la lutte contre la haine depuis la triste campagne de harcèlement sexiste connue sous le nom de « Gamergate », il y a 10 ans, disent des experts.

Publié le 11 mai
Techno

L’intelligence artificielle nous trompe déjà, s’alarment des experts

Vous craignez la menace d’une intelligence artificielle qui deviendrait malveillante ? En réalité, c’est déjà le cas, selon une nouvelle étude.

Mis à jour le 11 mai
Techno

Station SD4880P de Kensington Accoster en 17 ports

Avec ses 17 ports, dont 10 USB et quatre sorties pour moniteur, la station SD4880P ressemble plus à un fantasme d’ingénieur qu’à un accessoire indispensable. Chose certaine, il remplit ses promesses et se révèle d’une compatibilité exemplaire.

Publié le 10 mai
Techno

Hong Kong Des avatars numériques en guise de professeurs dans une université

(Hong Kong) Casque de réalité virtuelle sur la tête, des étudiants de Hong Kong suivent le cours d’un Albert Einstein généré par l’intelligence artificielle (IA), technologie en plein essor expérimentée au sein de leur université pour apporter de nouveaux visages au corps enseignant.

Publié le 10 mai