Fabian Eberle, co-fondateur et COO chez Keyless Technologies
Les fraudeurs sont financièrement encouragés , polyvalents et deviennent progressivement plus habiles à utiliser les dernières innovations pour effectuer des fraudes de prise de contrôle de compte, il n’est donc pas surprenant que, comme l’authentification biométrique finit par être courante dans le secteur des services financiers, les mauvaises étoiles trouvent des occasions d’exploiter ces systèmes– mais cela signifie-t-il que les innovations telles que la reconnaissance vocale n’ont pas leur place dans la banque moderne ?
Un article récent de VICE a révélé comment un journaliste a prouvé, en piratant son propre compte, à quel point il était simple de contourner les actions de sécurité bancaire par téléphone en utilisant des innovations de voix synthétique créées par l’IA. Dans certains cas, appelés clonage de voix ou usurpation de voix, ces attaques ont stimulé une vague de problèmes de confidentialité personnelle concernant la collecte et l’utilisation de nos voix contre nous.
Depuis le lancement de Lyrebird et WellSaid Labs, les voix artificielles créées par l’IA ont progressé au point où elles sont impossibles à distinguer des voix authentiques et ne nécessitent qu’une minute de données vocales pour produire des résultats pratiques, comme le rapportent respectivement le MIT et Google. Avec l’avancement de telles innovations, il est tout à fait possible d’usurper les systèmes de reconnaissance vocale lorsque vous avez accès aux données vocales de la victime.
Pas de quoi s’alarmer
Les systèmes de reconnaissance vocale, comme celui-ci utilisé dans l’exposé de VICE, comptez sur la victime pour dire quelque chose à haute voix, soit une phrase de passe unique (comparable à un mot de passe), soit une déclaration générique telle que « ma voix est mon mot de passe ». Les deux sont susceptibles d’être exploités, ce dernier étant particulièrement faible en termes de sécurité.
Bien que cela soit alarmant, ce n’est ni inattendu ni une raison de boycotter complètement l’innovation. De manière générale, les banques ne comptent pas sur un seul type d’authentification, de sorte que l’argument autour de l’efficacité et de la sécurité de la reconnaissance vocale pour cette raison dépend des facteurs atténuants mis en place pour empêcher les risques d’usurpation de s’intensifier en fraude totale.
Les procédures d’évitement des escroqueries exigent généralement que les banques fassent preuve d’une plus grande diligence lorsqu’elles apportent des modifications cruciales, telles que la mise à jour des coordonnées, la réinitialisation des mots de passe, l’ajout de nouveaux destinataires ou l’achat d’une carte de remplacement sur le compte de quelqu’un par téléphone.
Généralement, le consommateur se verrait poser des questions de sécurité spécifiques sur ses informations de transaction et de compte afin de vérifier son identité. Ce type de données est difficile à obtenir sans un accès direct au compte. Cela étant dit, il est possible qu’une star de la menace soit en mesure de supprimer des informations plus inconnues telles que l’historique des transactions de ses victimes, en particulier si la personne leur est connue.
Les personnalités publiques sont de plus en plus préoccupées, car les escrocs peuvent récolter leurs données vocales à partir d’interviews et de réseaux sociaux – avec des plateformes comme Instagram, TikTok et YouTube ouvrant les vannes pour ce type d’attaques. Cependant, obtenir des informations sensibles sur les comptes serait beaucoup plus difficile, ce qui rendrait ce type d’attaque raisonnablement non évolutif pour les acteurs du risque, qui ont aujourd’hui accès à des méthodes plus efficaces d’escroquerie de prise de contrôle de compte.
Échelle vs effet
En ce qui concerne la prévention de la fraude dans les services financiers, l’atténuation des risques en fonction de leur effet monétaire ou de leur capacité à être exécutée à grande échelle est cruciale pour minimiser la surface de la menace.
L’usurpation de reconnaissance vocale est aujourd’hui moins efficace d’un danger pour le public car il est difficile à exécuter à grande échelle. Pour être efficaces, les vedettes de danger devraient avoir des détails individuels importants sur un consommateur afin de réussir à échapper aux défenses de sécurité en couches de la banque. Cependant, cela ne signifie pas que de telles attaques n’ont pas un impact important lorsqu’elles sont efficaces.
Les consommateurs fortunés constituent une menace particulière, car leurs informations transactionnelles peuvent être traitées par des partenaires de confiance tels que des travailleurs, les rendant plus vulnérables à de telles attaques. De plus, ils sont plus susceptibles d’avoir proposé des interviews ou parlé en ligne, ce qui permet aux fraudeurs de récolter illégalement leurs données vocales.
Lorsqu’il s’agit de protéger contre les risques d’usurpation de voix, la réponse ne remplace pas innovations biométriques entièrement, mais en associant les solutions biométriques à des mesures de sécurité supplémentaires.
Appliquer la bonne quantité de friction, en fonction du danger
Pour éviter les risques d’usurpation d’identité, toutes les solutions d’authentification biométrique, qu’elles soient vocales , du visage ou des empreintes digitales – doivent disposer de méthodes de secours robustes et être utilisés avec des moteurs de détection de fraude. Lorsqu’une activité à haut risque est découverte, il est important que les banques ré-authentifient leurs clients, quelle que soit la quantité de frictions que cela déclencherait pour le client.
Les systèmes de détection des escroqueries fournissent généralement aux banques :
- Analyse comportementale
- Cela inclut l’analyse des modèles dans les habitudes de l’utilisateur tout au long du processus d’authentification. Par exemple, le système peut rechercher des schémas de saisie ou des mouvements de souris inhabituels suggérant que l’utilisateur n’est pas celui qu’il prétend être.
- Identification du gadget
- Le système peut également examiner le gadget utilisé pour vérifier l’utilisateur. Cela peut consister à vérifier l’adresse IP, le lieu et d’autres qualités de l’appareil pour garantir qu’il s’agit d’un appareil légitime.
- Géolocalisation
- Le système peut également examiner les informations de géolocalisation de l’utilisateur pour garantir qu’il reste dans un lieu qui correspond à ses habitudes habituelles.
- Analyse temporelle
- Le système peut également analyser l’heure de la journée et le jour de la semaine où la tentative d’authentification est effectuée. Cela peut aider à identifier les modèles de comportement inhabituels ou suspects.
- Analyse des modèles trompeurs
- Les algorithmes d’apprentissage automatique peuvent être utilisé pour examiner de grandes quantités de données et reconnaître des modèles liés à un comportement trompeur. Ces algorithmes peuvent apprendre des habitudes passées trompeuses et utiliser cette compréhension pour déterminer de toutes nouvelles circonstances d’escroqueries.
Si et quand une activité à haut risque est trouvé, il est très important que les banques utilisent une authentification renforcée pour s’assurer qu’il s’agit bien de la personne qui confirme l’authenticité, et non d’un fraudeur utilisant une innovation deepfake. L’authentification renforcée se produit lorsque les clients sont invités à se ré-authentifier. Cela peut se produire lors de l’ajout d’un tout nouveau bénéficiaire, de l’achat d’une toute nouvelle carte ou d’un virement vers un compte non identifié ou tout nouveau.
Par rapport aux mots de passe et aux codes PIN, qui peuvent être rapidement compromis , les services d’authentification biométrique offrent un niveau de sécurité beaucoup plus élevé, mais cela ne signifie pas qu’ils doivent être utilisés isolément. En combinant des solutions biométriques, telles que la reconnaissance vocale et faciale avec d’autres défis d’authentification et des systèmes de détection de fraude, les banques peuvent aider à protéger leurs consommateurs contre l’impact monétaire des escroqueries d’identité et des risques de prise de contrôle de compte.
À propos de l’auteur
Fabian Eberle est co-fondateur et COO chez Keyless Technologies. Keyless est une entreprise d’authentification sans mot de passe, pionnière en matière de services biométriques préservant la confidentialité pour l’authentification des employés et des clients.
AVIS DE NON-RESPONSABILITÉ : les aperçus de l’industrie de Biometric Update sont soumis au contenu. Les opinions révélées dans cet article sont celles de l’auteur et ne reflètent pas nécessairement les opinions de Biometric Update.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
