Comment détourner 35 millions de dollars avec quelques mails bien sentis et un coup de fil ? En utilisant tout simplement des outils de « deep voice » qui permettent d'imiter la voix de quasi n'importe qui.

Vous avez sans doute entendu parler des deepfakes, ces vidéos manipulées par l’intermédiaire d’une intelligence artificielle, pour faire dire n’importe quoi à n’importe qui de manière relativement convaincante. Désormais, il faudra aussi compter avec les « deep voice », un outil qui permet de cloner une voix connue. Et le système a, sans surprise, déjà été utilisé pour des arnaques.

Trahi par des mails et un coup de fil

Comme le détaille un article de Forbes publié le 14 octobre 2021, aux Émirats arabes unis un banquier a autorisé un transfert de 35 millions de dollars, pensant reconnaître la voix d’un client au téléphone. L’arnaque a eu lieu début 2020, lorsqu’un pirate a appelé une agence bancaire locale en se faisant passer pour le PDG d’une grande entreprise. En maquillant sa voix grâce à ce mécanisme de « deep voice », l’homme a pu convaincre le banquier de virer la confortable somme sur plusieurs comptes situés aux États-Unis, prétextant une « acquisition » d’entreprise à venir. « La voix de l’interlocuteur ressemblait à celle du directeur de la société et le responsable de la filiale a donc cru que l’appel était légitime » détaille la plainte déposée auprès du département de justice américaine.

Source : Max Wiedemann, Quirin Berg

Pour donner un air crédible à l’entourloupe, plusieurs mails avaient été adressés au directeur de l’agence, tous supposément envoyés depuis l’adresse mail officielle du client en question. L’un d’eux contenait même une lettre de validation du supposé PDG à un de ses avocats en charge de l’affaire. Convaincu par le coup de fil et l’apparence légitime des mails, le banquier a donc autorisé le transfert.

Des attaques qui vont se multiplier

Ce n’est pas exactement la première fois qu’une arnaque de ce type a lieu. En 2019, un criminel avait utilisé les mêmes outils pour se faire passer pour le PDG d’une entreprise allemande, qui avait besoin d’un virement urgent pour payer un de ses fournisseurs. Le responsable pensant « reconnaître le léger accent allemand de son patron et la mélodie de sa voix au téléphone » a donc viré la coquette somme de 243 000 dollars sur un compte bancaire hongrois.

Interrogé par Forbes, un expert en cybersécurité explique que « la manipulation de l’audio, qui est plus facile à orchestrer que la réalisation de fausses vidéos, ne va faire qu’augmenter. Sans une éducation à ce nouveau type d’attaque, ainsi que de meilleures méthodes d’authentification, de nombreuses entreprises sont susceptibles de se faire avoir par ces conversations très convaincantes. »

Le besoin d’une authentification forte

En récoltant des passages d’interviews, de podcasts ou de vidéos, il devient possible de recréer une voix connue et lui faire dire n’importe quoi. Résultat, il devient de plus en plus difficile de se fier à un coup de fil pour jauger de l’authenticité de quoi que ce soit. Comme l’explique l’expert interrogé par Forbes, la voix n’est plus un facteur d’authentification suffisant. Dans le cas de l’arnaque à 35 millions de dollars, un système de double authentification forte (du type validation biométrique) aurait probablement réduit les risques. Même des mails à l’allure officielle ne peuvent pas servir de méthode de validation, puisqu’il est possible de créer de fausses adresses, via la technique de l’email spoofing entre autres.

Dans un autre style, un récent documentaire retraçant la vie et la mort du chef Anthony Bourdain avait fait polémique, à cause de quelques lignes d’un mail qui avait été lu par un clone numérique de la voix de Bourdain. Ce genre de manipulations est rendu de plus en plus facile par l’essor de l’intelligence artificielle. Des entreprises comme Replica ou Descript en ont même fait leur fonds de commerce (pour des usages légitimes bien entendu). D’autres firmes comme Pindrop sont spécialisées dans la détection de voix digitalisée.

Crédit photo de la une : Scotte Evans - Wikimedia Commons

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux