Incidents associés
Un système d'identification vocale utilisé par le gouvernement australien pour des millions de personnes présente une grave faille de sécurité, a révélé une enquête de Guardian Australia.
Centrelink et l'Australian Taxation Office (ATO) donnent tous deux aux gens la possibilité d'utiliser une "empreinte vocale", ainsi que d'autres informations, pour vérifier leur identité par téléphone, leur permettant ensuite d'accéder aux informations sensibles de leurs comptes.
Mais à la suite de rapports selon lesquels une voix générée par l'IA formée pour ressembler à une personne spécifique pourrait être utilisée pour accéder à des services bancaires par téléphone à l'étranger, Guardian Australia a confirmé que le système d'empreinte vocale peut également être trompé par une voix générée par l'IA.
En utilisant seulement quatre minutes d'audio, un journaliste de Guardian Australia a pu générer un clone de sa propre voix et a ensuite pu l'utiliser, combiné à son numéro de référence client, pour accéder à son propre compte libre-service Centrelink.
Le service d'empreinte vocale, décrit comme la "représentation numérique du son, du rythme, des caractéristiques physiques et des motifs de votre voix", était utilisé par 3,8 millions de clients Centrelink à la fin du mois de février, et plus de 7,1 millions de personnes avaient vérifié leur voix avec l'ATO.
Services Australia, le département qui supervise Centrelink, déclare sur son site Web que le service est "sécurisé, précis et fiable".
"Il est très difficile pour quelqu'un d'accéder à vos informations personnelles. Le système peut dire quand quelqu'un se fait passer pour vous ou utilise un enregistrement de votre voix. Nous ne leur donnerons pas accès à vos coordonnées.
Quiconque essaie d'utiliser l'empreinte vocale doit également connaître le numéro de référence client du titulaire du compte, qui n'est normalement pas accessible au public, mais le numéro n'est pas traité de manière aussi sécurisée qu'un mot de passe et est inclus dans la correspondance de Centrelink et d'autres prestataires de services, tels que la garde d'enfants. centres.
Le système téléphonique en libre-service permet aux personnes d'accéder à du matériel sensible comme des informations sur le paiement de leurs prestations et de demander des documents à envoyer par courrier, y compris des cartes de concession ou de santé de remplacement.
Lorsque Guardian Australia a contacté Services Australia avec des détails sur la vulnérabilité de sécurité, il a refusé de dire si la technologie d'empreinte vocale serait modifiée ou supprimée de Centrelink.
Un porte-parole, Hank Jongen, a déclaré que Services Australia "a la capacité d'évaluer en permanence les risques et de mettre à jour les processus en conséquence" et que l'identification vocale est une "méthode d'authentification hautement sécurisée" utilisée par Centrelink.
"Nous recherchons en permanence les menaces potentielles et apportons des améliorations continues pour assurer la sécurité des clients", a-t-il déclaré.
"Si nous identifions des circonstances inhabituelles dans la façon dont les clients utilisent nos systèmes d'authentification, nous appliquons des tests supplémentaires pour confirmer l'identité de l'appelant."
La ligne téléphonique en libre-service de Centrelink utilise l'empreinte vocale dans un système automatisé au lieu d'un mot de passe, mais l'ATO et au moins une banque australienne - Bank Australia - proposent l'empreinte vocale en option lors des conversations avec le personnel afin de réduire le besoin de questions de vérification. Cela peut être moins vulnérable à l'exploitation par un logiciel vocal généré par l'IA car il est plus difficile de répondre avec des réponses de haute qualité en temps réel, mais la technologie pour le faire s'améliore régulièrement.
Toby Walsh, le scientifique en chef de l'Institut d'IA de l'Université de Nouvelle-Galles du Sud, a déclaré à Guardian Australia qu'il était capable de cloner sa propre voix en cinq minutes, et la facilité avec laquelle l'IA pouvait contourner l'identification biométrique a montré ses limites en tant qu'outil de sécurité. Walsh n'a pas utilisé la voix clonée pour tester l'accès à des services.
"Je pense que la leçon de base ici est que la biométrie ne va pas nous sauver des tracas que nous avons aujourd'hui avec les mots de passe et l'authentification à deux facteurs", a-t-il déclaré.
"Si vous avez contacté la personne par plusieurs voies - via son téléphone ou son compte Internet - alors vous avez une certaine confiance que la personne est \ [ce qu'elle prétend être ], mais le simple fait de voir son visage ou d'entendre sa voix ne va pas être suffisant.
Ed Santow, ancien commissaire aux droits de l'homme et maintenant directeur des politiques à l'Institut de technologie humaine de l'Université de technologie de Sydney, a déclaré que les agences gouvernementales utilisant la biométrie comme forme de vérification devaient s'assurer qu'elles avaient les meilleurs systèmes en place, et qu'il y avait la législation qui sous-tend ces systèmes.
"Il faut une législation vraiment claire pour s'assurer que les garde-fous sont en place du point de vue du gouvernement, [ainsi que] les normes de base", a-t-il déclaré. "Afin que l'agence gouvernementale n'utilise la technologie que lorsqu'elle est sûre et fiable, et ne sera pas soumise à des abus et à la cybercriminalité."
Un porte-parole de l'ATO a déclaré que l'agence avait mis en place des mesures solides pour protéger le système contre les menaces, y compris le clonage de voix par IA.
"L'ATO analyse activement les vulnérabilités potentielles et améliore son système selon les besoins pour assurer la sécurité et la protection des données des clients ATO, et des contrôles appropriés sont intégrés dans les services numériques que nous offrons à la communauté australienne."
Un porte-parole de Bank Australia a déclaré que la banque travaillait "en étroite collaboration avec nos partenaires technologiques pour surveiller régulièrement et améliorer continuellement nos systèmes afin de nous assurer que nous restons en avance sur les nouvelles menaces, y compris celles posées par les outils émergents d'IA et d'apprentissage automatique".
Nuance, la société dont la technologie est utilisée pour le service d'empreinte vocale, n'a pas spécifiquement répondu aux questions sur la vulnérabilité, mais a dirigé Guardian Australia vers un [article de blog de février](https://whatsnext.nuance.com/customer-engagement/detect -and-beat-synthetic-voices-with-biometrics/), dans lequel il aborde la question des « voix synthétiques ».
Dans le billet de blog, la société a décrit ses efforts pour détecter les voix synthétiques et a affirmé que sa dernière technologie pouvait détecter et signaler avec précision l'utilisation de voix clonées dans 86 % à 99 % des cas, selon la technologie utilisée.
« Chez Nuance, nous savons que nous ne pouvons pas nous reposer sur nos lauriers et que les fraudeurs chercheront continuellement des moyens de contourner nos technologies de sécurité. C'est pourquoi nous consacrons énormément d'efforts de R&D à anticiper les prochaines étapes des criminels et à garder constamment une longueur d'avance », indique le message.
Le clonage de la voix, une technologie relativement nouvelle utilisant l'apprentissage automatique, est proposé par un certain nombre d'applications et de sites Web, gratuitement ou pour une somme modique, et un modèle vocal peut être créé avec seulement une poignée d'enregistrements d'une personne.
Bien que la voix générée soit meilleure avec des enregistrements de haute qualité, toute personne ayant des enregistrements publics d'elle-même sur les réseaux sociaux, ou qui a été enregistrée ailleurs, pourrait être vulnérable à la reproduction de sa voix.