Par : Jocelyn Girard
Président, Chapitre de Montréal
Association of Certified Fraud Examiners (ACFE)
Après 2 ans de pandémie, notre société est à même de constater que les ajustements temporaires apportés à nos vies personnelles et professionnelles engendrent certains changements qui pourraient demeurer. C’est aussi le cas dans le domaine de la fraude, où les criminels qui se spécialisent dans les crimes basés sur l’identité ont dû s’adapter à la disparition du service à la clientèle en présentiel. Les entreprises visées doivent donc optimiser leurs approches de détection de la fraude pour pouvoir faire face à ces nouvelles menaces virtuelles de plus en plus sophistiquées.
Heureusement, la biométrie offre la possibilité aux entreprises de reprendre le dessus dans cet affrontement. C’est le message que nous a lancé M. Simon Marchand, CFE, Adm. A, chef de la prévention des fraudes chez Nuance Communications inc. et spécialiste en sécurité biométrique. Lors de son passage comme conférencier au Chapitre de Montréal de l’Association of Certified Fraud Examiners (ACFE), en juin 2022, M. Marchand nous a démontré les avantages particuliers de l’utilisation de la voix comme outil d’identification biométrique et de prévention de la fraude.
D’abord, M. Marchand nous a expliqué que le vol d’identité a explosé durant la pandémie, les fraudeurs exploitant notamment la création des différents programmes d’aide financière gouvernementaux, dont la Prestation canadienne d’urgence (PCU). Dans la dernière décennie, le vol d’identité est aussi devenu un produit qui circule à travers une véritable chaîne d’approvisionnement, au sein de laquelle les acteurs se spécialisent dans un créneau en particulier. Il existe maintenant des pirates informatiques qui volent l’information, des intermédiaires qui revendent les données volées et, finalement, des fraudeurs qui utilisent l’information pour soutirer illicitement des fonds. Ces derniers utilisent donc plusieurs méthodes pour sonder, par téléphone et en ligne, les défenses des entreprises visées. M. Marchand décrit aussi l’apparition d’identités synthétiques, qui sont créées de toute pièce et qui sont introduites progressivement, sur plusieurs mois et à travers plusieurs appels ou courriels, pour éviter les soupçons. Malheureusement, toutes les mesures de protection sont basées sur des données personnelles de clients qui sont évidemment corrompues. De plus, les mesures de doubles authentifications grandement répandues, comme les messages SMS, sont aussi vulnérables à une interception malveillante.
Devant ces menaces, M. Marchand estime qu’il faut passer d’une approche basée sur l’information biographique d’une personne à une approche misant sur les attributs biométriques pour confirmer l’identité. Mais quel attribut biométrique se prête le mieux à cette tâche et quel est celui qui pourra être adopté avec un minimum de contraintes? M. Marchand fait valoir que l’utilisation de l’empreinte vocale permet de confirmer efficacement l’identité et d’éviter d’être berné avec l’information compromise.
Selon M. Marchand, les algorithmes actuellement disponibles permettent en quelques phrases d’identifier un client en fonction du rythme, de la vitesse, du ton, de la syntaxe, du vocabulaire ainsi que de l’accent et d’autres caractéristiques uniques à la conversation de chaque individu. Il ne suffit que d’obtenir l’empreinte vocale d’un client lors d’un appel ou d’une rencontre initiale. M. Marchand affirme qu’il est même possible de détecter à travers une capture audio d’un interlocuteur si celui-ci utilise un script de conversation pour tenter de contourner à grande échelle les mesures de détection de la fraude. De plus, une fois ce fraudeur détecté, il est possible de stocker et de partager cette empreinte vocale pour enrayer d’autres tentatives de fraude de la part de cet individu ou encore de requérir sa présence en personne avec des pièces d’identité.
Quant aux enjeux légaux que soulèvent la capture d’une empreinte vocale, M. Marchand explique que chaque entreprise doit procéder à sa propre évaluation des règles auxquelles elles sont soumises, mais que la transparence avec les clients reste la meilleure manière d’obtenir une large adhésion à des services d’authentification biométrique. Comme il s’agit d’une mesure de protection simple et efficace, les clients sont généralement en faveur de la capture, qui leur permet aussi d’éviter d’avoir à répondre à une longue série de questions personnelles à chaque appel ou de se présenter en personne en succursale.
Dans l’affrontement continu entre fraudeurs et entreprises, il semble que l’utilisation de technologies de confirmation de l’identité basées sur l’empreinte vocale offre un avantage intéressant dans la lutte contre la fraude. Ne soyez donc pas surpris si on vous demande un échantillon de votre voix lors de votre prochain appel: ce pourrait être la meilleure voie à prendre pour confirmer votre identité dans l’avenir, si ce n’est pas déjà le cas aujourd’hui.
Bonjour,
J’aimerais savoir (hormis le fait qu’aucun système de prévention ne serait parfait) ce que l’auteur de cet article et/ou le conférencier invité répondrait à ces incidents dont l’un remonte à septembre 2019 (en un mot, ça fait presque 3 ans qu’ailleurs dans le monde, ils sont au courant de ces choses):
https://www.forbes.com/sites/jessedamiani/2019/09/03/a-voice-deepfake-was-used-to-scam-a-ceo-out-of-243000/
https://www.forbes.com/sites/glenngow/2021/05/02/the-scary-truth-behind-the-fbi-warning-deepfake-fraud-is-here-and-its-serious-we-are-not-prepared/?sh=3a4881cf3179
https://www.forbes.com/sites/thomasbrewster/2021/10/14/huge-bank-fraud-uses-deep-fake-voice-tech-to-steal-millions/?sh=2c1823ab7559
Continueront-ils à affirmer que l’empreinte vocale est efficace pour lutter contre la fraude alors qu’ailleurs dans le monde, on souligne le danger représenté par les deepfake audio?
https://unidir.org/sites/default/files/2021-12/UNIDIR_2021_Innovations_Dialogue.pdf
C’est bien beau de vendre aux clients qu’il est dans leur intérêt d’accepter que leur empreinte vocale soit enregistrée, sous prétexte que ce serait in fine une donnée unique ou « la meilleure voie à prendre pour confirmer votre identité dans l’avenir. » C’est qui va supporter le risque financier en cas de fraude grâce à un audio synthétique qui a contrefait la voix de quelqu’un? Le pauvre client à qui on avait assuré mordicus qu’il ne courrait aucun risque de fraude? Il fait comment, mieux encore, il les trouve où les moyens pour prouver que ce n’était pas sa voix quand la différence entre un audio synthétique et la vraie voix, est de plus en plus imperceptible.
Nous en avons discuté durant la conférence et je vous dirai en résumé que les 2 histoires sont basées sur bien peu de preuves concrètes. La réalité étant que les fraudes du président opérées dans ces 2 cas sont communes et ne nécessitent aucune utilisation de voix de synthèse. Les sources sont minces ou n’ont carrément pas été impliquées dans l’enquête. Par ailleurs générer une voix de synthèse qui pourrait briser un algorithme de biométrie vocale et de détection de deepfakes n’est pas à la portée du commun des fraudeurs qui vont toujours chercher le point de moindre résistance pour perpétrer leurs attaques.
Je vous invite à lire les nombreux articles et commentaires écrits à ce sujets qui soulignent comment les deepfakes ne sont pas une menace concrète en ce qui concerne la fraude et ne seront pas dans un futur prévisible à cause de la robustesse de la biométrie face aux technologies de synthèses vocales.. La seule menace réelle concerne des interventions étatiques et, dans même dans ces cas, n’importe quelle technologie digne de ce nom peut quand même détecter les deepfakes – pour peu qu’elle soit déployée. Je vous invite à voir l’épisode de J.E. à ce sujet paru à l’hiver 2021 et lors duquel je me suis prononcé à ce sujet par ailleurs.
Donc en résumé, il ne faut pas se laisser emporter par des articles mal ou peu sourcés, et c’est une technologie effectivement très fiable qui protège les consommateurs mieux que n’importe quelle autre mesure de sécurité si son implantation est bien faite.