André Kassis, doctorant en cybersécurité à l’Université de Waterloo (UW), a publié ses conclusions après avoir obtenu l’accès à un compte protégé par biométrie à l’aide d’enregistrements audio générés par l’IA.
Un pirate informatique peut créer une fausse voix avec cinq minutes de la voix enregistrée de la cible, qui peut être extraite de publications publiques sur les réseaux sociaux, selon la recherche. Le logiciel d’IA open source de GitHub peut créer de l’audio deepfake qui peut surpasser l’authentification vocale.
Il a utilisé le deepfake pour exposer une faiblesse du système d’authentification vocale Amazon Connect, un la version UW révèle. Les attaques de quatre secondes sur Connect ont eu un taux de réussite de 10 %, et les attaques de plus de 30 secondes ont réussi 40 % du temps.
En réponse, la société a ajouté un logiciel anti-usurpation d’identité biométrique capable de trouver des marqueurs numériques sur un enregistrement vocal, révélant s’il a été réalisé par une machine ou un humain. Cela a fonctionné jusqu’à ce que Kassis utilise un logiciel gratuit pour supprimer les marqueurs numériques de ses deepfakes.
Sa méthode peut contourner les systèmes d’authentification biométrique vocale moins sophistiqués avec un taux de réussite de 99 % après six essais, selon annonce.
« Notre attaque », déclare Kassis dans son article de journal, « cible les points de défaillance communs que partagent toutes les contre-mesures d’usurpation d’identité, ce qui les rend en temps réel, indépendants du modèle et complètement blackbox sans qu’il soit nécessaire d’interagir avec la cible pour créer les échantillons d’attaque. » Les contre-mesures utilisent des indices facilement identifiables et falsifiables pour différencier l’audio falsifié de l’audio authentique.
Le professeur Urs Hengartner, professeur d’informatique, superviseur de Kassis et co-auteur du rapport, a déclaré qu' »en démontrant l’insécurité du style authentification vocale, nous espérons que les entreprises qui comptent sur l’authentification vocale comme seul facteur d’authentification envisageront de déployer une authentification supplémentaire ou renforcée mesures. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
