Incidents associés
Un logiciel de sécurité conçu pour empêcher la fraude bancaire a été trompé par un journaliste de la BBC et son jumeau.
Le journaliste de BBC Click, Dan Simmons, a créé un compte HSBC et s'est inscrit au service d'authentification par identification vocale de la banque.
HSBC affirme que le système est sécurisé car la voix de chaque personne est « unique ».
Mais la banque a laissé le jumeau non identique de Dan Simmons, Joe, accéder au compte par téléphone après avoir imité la voix de son frère.
La banque a déclaré qu'elle "examinerait" les moyens de rendre le système d'identification plus sensible à la suite de l'enquête de la BBC.
"Vraiment alarmant"
HSBC a introduit la sécurité basée sur la voix en 2016, affirmant qu'elle mesurait 100 caractéristiques différentes de la voix humaine pour vérifier l'identité d'un utilisateur.
Les clients donnent simplement les détails de leur compte et leur date de naissance, puis disent : "Ma voix est mon mot de passe".
Bien que la violation n'ait pas permis à Joe Simmons de retirer de l'argent, il a pu accéder aux soldes et aux transactions récentes, et s'est vu offrir la possibilité de transférer de l'argent entre comptes.
"Ce qui est vraiment alarmant, c'est que la banque m'a autorisé sept tentatives pour imiter l'empreinte vocale de mon frère et me tromper, avant que je n'entre au huitième essai", a-t-il déclaré.
"Les attaquants potentiels peuvent-ils essayer aussi souvent qu'ils le souhaitent jusqu'à ce qu'ils réussissent?"
Séparément, un chercheur de Click a découvert que HSBC Voice ID continuait à les laisser essayer d'accéder à leur compte après avoir délibérément échoué à 20 reprises réparties sur 12 minutes.
On pense que le déjouement réussi du système par Click est la première fois que la mesure de sécurité vocale a été violée.
HSBC a refusé de commenter la sécurité du système jusqu'à présent.
Un porte-parole a déclaré: "La sécurité et la sûreté des comptes de nos clients sont de la plus haute importance pour nous.
"Voice ID est une méthode très sécurisée d'authentification des clients.
"Les jumeaux ont une empreinte vocale similaire, mais l'introduction de cette technologie a entraîné une réduction significative de la fraude et s'est avérée plus sûre que les NIP, les mots de passe et les phrases mémorables."
Compte ouvert
"Je suis choqué", a déclaré Mike McLaughin, expert en sécurité chez Firstbase Technologies.
"Cela ne devrait pas se produire.
"Une autre personne ne devrait pas pouvoir accéder à votre compte bancaire.
"Les voix sont uniques - mais si le système permet trop de divergences dans l'empreinte vocale d'un match, alors ce n'est pas sécurisé.
"Et cela semble être ce qui s'est passé ici."
Le professeur Vladimiro Sassone, expert en cybersécurité de l'Université de Southampton, a déclaré que la biométrie pouvait, en général, constituer une couche de sécurité efficace, mais qu'il y avait des dangers si les entreprises accordaient trop de confiance à quelque chose qui n'était pas sûr à 100 %.
"En principe, il ne devrait y avoir aucune place à l'erreur", a déclaré le professeur Sassone.
"Ça devrait être bon du premier coup."
"L'identification vocale n'est pas comme un système de mot de passe."
"Vous ne pouvez pas oublier votre voix ou vous tromper.
"Après deux tentatives, les systèmes devraient être en mesure de dire s'il s'agit d'une correspondance ou non et d'alerter la banque et l'utilisateur si d'autres tentatives sont effectuées."
Le professeur Sassone a déclaré que l'utilisation de traits biométriques uniques en tant que vérificateur devrait rendre la tâche plus difficile pour les pirates - mais s'ils devaient être copiés par des criminels, les utilisateurs ne pourraient alors pas changer leur voix, leur visage ou leur empreinte digitale comme ils le feraient avec un mot de passe.
"Si vous devez prouver que ce n'est pas vous qui avez accédé à votre compte - qu'il s'agissait soit d'un imitateur, soit d'un logiciel informatique - alors comment allez-vous faire ?" Il a demandé.
"Surtout si la banque prétend que le système est parfait."
L'expert en sécurité, le professeur Alan Woodward, de l'Université de Surrey, a déclaré qu'il était dangereux de s'appuyer sur une caractéristique biologique pour authentifier quelqu'un, même s'il s'agissait d'une caractéristique unique à cette personne.
"La sécurité basée sur la biométrie a un historique de mesures copiées", a-t-il déclaré.
"Nous avons vu des empreintes digitales être copiées avec tout, des oursons gommeux aux photographies des mains des gens.
"Par conséquent, la biométrie, tout comme d'autres aspects de la sécurité, devra toujours évoluer à mesure que des mesures émergent pour les menacer.
"La sécurité est une histoire de mesures et de contre-mesures."
Il a déclaré que HSBC devait probablement réévaluer sa technologie et idéalement ajouter un autre "facteur" à côté de la vérification de l'empreinte vocale pour authentifier l'identité.
"En plus d'exiger quelque chose que vous êtes, cela nécessiterait quelque chose que vous savez ou quelque chose que vous avez, comme un code PIN", a-t-il déclaré.
"Cela rend les compromis beaucoup plus difficiles."
Ce n'est pas seulement la capacité des humains à tromper les ordinateurs qui inquiète certaines entreprises de haute technologie.
La start-up Lyrebird travaille sur des moyens de reproduire une voix en utilisant seulement quelques minutes de discours enregistré.
Le co-fondateur Jose Sotelo a déclaré qu'il ne faisait aucun doute que cela avait des "implications" pour les systèmes d'identification vocale.
"Nous travaillons avec des chercheurs en sécurité pour trouver la meilleure façon de procéder", a-t-il déclaré à Click.
"C'est l'une des raisons pour lesquelles nous n'avons pas encore publié cela au public.
"C'est une application effrayante, mais nous pensons que nous devons être prudents et ne pas avoir peur de la technologie et nous devons essayer d'en tirer le meilleur parti", a-t-il déclaré.
"Une idée que nous envisageons est de filigraner les échantillons audio que nous produisons afin que nous puissions détecter immédiatement si c'est nous qui avons généré cet échantillon."