Face à l’usage grandissant des outils de reconnaissance vocale, au point que la CNIL vient d’autoriser neuf banques à se servir de ce moyen pour s’authentifier lors d’une connexion à un compte ou pour effectuer des transactions, la question de la fiabilité de l’authentification par la voix se pose. D’autant qu’il est aisé de « voler » la voix d’une personne. Du coup, les piratages risquent d’être nombreux. Face à cette menace, une étude réalisée par le spécialiste des procédés d’identification Pindrop tire la sonnette d’alarme. Menée auprès de 3.000 consommateurs européens, elle illustre l’impact de ces piratages sur les comportements des utilisateurs et du marché.
Le risque de la fraude
A l’instar du film « Je compte sur vous » réalisé par Pascal Elbé et qui met en scène Vincent Elbaz en arnaqueur, les arnaques par téléphone sont désormais bien connues : les fraudeurs glanent des informations sur leur future victime grâce aux réseaux sociaux puis réussissent à capturer leur voix afin de répondre à des questions au niveau bas de sécurité. Ils accèdent ainsi à leurs comptes pour s’en servir se servir. Trop simple ? Pour les chercheurs de l’enquête, il faut blâmer « les lacunes entre les centres de contact en matière de sécurité et renforcer la protection des communications par téléphone, un canal négligé depuis trop longtemps. »
Des lacunes sur les enseignements basiques de la sécurité informatique
Autre responsable, l’internaute lui-même : l’enquête montre à quel point les internautes sont peu sensibilisés au B.A.BA de la sécurité informatique. Près de deux tiers des répondants auraient déjà partagé des éléments de réponse à des questions de sécurité sur des réseaux sociaux. De même en France, alors que 57% des sondés contactent régulièrement (au moins une fois par mois) des prestataires de services par téléphone, ils sont 41% à admettre oublier leurs réponses aux questions de sécurité posées par leurs banques ou leurs fournisseurs d’eau et d’électricité pour s’authentifier. Étourderie ou mauvaise foi ? Selon l’enquête, ces manquements aux basiques de la sécurité informatique s’expliqueraient par le fait que les sondés ne sont pas satisfaits des méthodes d’identification utilisées par les entreprises de services. Ainsi 52% se disent frustrés par le manque d’originalité des méthodes d’authentifications utilisées.
La voix représente 61% des fraudes enregistrées par les services financiers
« Il semble que les arnaqueurs profitent des mauvaises habitudes des consommateurs en matière de partage d’informations personnelles sur les médias sociaux, remarque Matt Peachey, vice-président des activités à l’international chez Pindrop. Ces consommateurs s’exposent à des risques importants car les arnaqueurs pourraient se servir de ces informations pour répondre à des questions de sécurité par téléphone à leur place. » D’ailleurs, selon une étude intitulée Contact Centers : The Fraud Enablement Channel, réalisée par le groupe Aite, 61% des fraudes enregistrées par les établissements financiers auraient lieu via ce canal.
Négligence et risque sous-évalué
En première ligne, ce sont surtout les 18-24 ans qui sont visés, du fait de leur plus grande négligence. En effet, 80% d’entre eux confirment qu’au moins une information visible sur leurs profils sur les médias sociaux pourrait être utilisée à des fins d’authentification, y compris leur date ou lieu de naissance. Une tendance qui pourrait s’expliquer par le fait que les consommateurs sous-estiment encore trop les risques du canal téléphonique. Si 64% des interrogés craignent que leurs comptes soient piratés en ligne, seuls 55 % d’entre eux soupçonnent les risques de l’identification par téléphone. Qui plus est, cette ignorance concerne aussi l’usage des données personnelles : seuls 8% des répondants ont une connaissance étendue des canaux et de la façon dont ces données personnelles sont exploitées. Une personne sur cinq s’estime moins confiante qu’il y a 12 mois par rapport à la protection de ses informations personnelles. « Compte tenu de la facilité avec laquelle il est possible d’abuser d’un système de biométrie vocale, il est clair que la seule utilisation de la voix comme mode d’authentification n’est pas une approche de sécurité suffisant, estime Matt Peachy. Pour mieux lutter contre les arnaques par téléphone, les organisations doivent mettre en place un système de défense à plusieurs couches. La solution doit être capable d’analyser la voix ainsi que les caractéristiques de l’appel lui-même au niveau sonore et du réseau. »
Ségolène Kahn
Commentez