Incidents associés
Le système d'identification par reconnaissance vocale de HSBC utilisé par un demi-million de clients pour un accès sécurisé à leurs comptes bancaires a été piraté par le jumeau d'un client imitant sa voix.
Quand il a été lancé l'année dernière Responsable de la banque de détail de HSBC a affirmé que le nouveau système était sécurisé, insistant sur le fait que "tout comme votre empreinte digitale, votre empreinte vocale est unique".
Mais lorsque le journaliste de BBC Click Dan Simmons a créé un compte authentifié par identification vocale HSBC, son jumeau non identique, Joe, a pu tromper le système et lui a donné accès au compte de son frère.
HSBC a déclaré qu'il allait revoir la sécurité de ses systèmes d'accès vocal à la suite de la violation. Contrairement aux systèmes de mot de passe traditionnels, qui verrouillent les utilisateurs après des échecs répétés, Joe Simmons a essayé sept fois d'imiter la voix de son jumeau avant que HSBC n'autorise l'accès.
La banque a déclaré qu'elle n'autoriserait à l'avenir les utilisateurs qu'à trois tentatives d'accès à leurs comptes à l'aide de l'identification vocale avant de les bloquer.
Le système HSBC demande aux utilisateurs de dire "ma voix est mon mot de passe" dans le téléphone, qui est ensuite associé à un enregistrement original de la voix de la personne, permettant l'accès à son compte.
Selon la BBC, la violation n'a pas permis à Joe Simmons de retirer de l'argent, mais il a pu accéder aux soldes et aux transactions récentes, et s'est vu offrir la possibilité de transférer de l'argent entre comptes.
"Ce qui est vraiment alarmant, c'est que la banque m'a autorisé sept tentatives pour imiter l'empreinte vocale de mon frère et me tromper, avant que je n'entre à la huitième tentative", a-t-il déclaré.
Voice ID est actuellement déployé auprès de 15 millions de clients HSBC. Lors du lancement, HSBC a déclaré : « La technologie est désormais le moyen ultime d'effectuer des opérations bancaires en toute sécurité, sans avoir besoin de mots de passe. En quelques mots, faire affaire avec HSBC est aussi simple que d'être soi-même.
Mais dans un communiqué publié après que la violation a été rendue publique, HSBC a déclaré : « La sécurité et la sûreté des comptes de nos clients sont de la plus haute importance pour nous et Voice ID est l'une des méthodes les plus sûres d'authentification des clients.
« L'introduction de cette technologie a entraîné une réduction significative de la fraude téléphonique et s'est avérée plus sûre que les NIP, les mots de passe et les phrases mémorables. Notre système VoiceID nous permet d'apporter des modifications à différents paramètres de sécurité, et après un examen, nous avons apporté des modifications pour le rendre encore plus sécurisé.
Les responsables embarrassés de HSBC ont suggéré que l'expérience BBC Click, bien que réelle, n'ouvre pas la porte aux fraudeurs. L'un d'eux a déclaré: «Ce n'est pas ainsi que fonctionnent les fraudeurs. C'était un jumeau assis avec son frère. Il connaîtrait tout aussi probablement d'autres données de sécurité telles que le nom de jeune fille de la mère, le nom de l'animal, etc.
« Dans une situation réelle, vous n'auriez pas un fraudeur assis à côté de vous. S'il essayait d'enregistrer votre voix en disant "ma voix est mon mot de passe", cela ne fonctionnerait pas non plus, car le système est capable de détecter les caractéristiques vocales synthétiques.
Barclays a introduit un logiciel de reconnaissance vocale pour l'ensemble de ses 300 000 clients les plus riches du Royaume-Uni en 2013. Un an plus tard, la banque a déclaré que la technologie avait connu un tel succès qu'elle serait déployée auprès de 12 millions de clients de la banque de détail.
Barclays a déclaré qu'il avait été "incroyablement populaire" auprès des clients les plus riches, le temps nécessaire pour vérifier leur identité passant de 1,5 minute à moins de 10 secondes.