You are currently viewing L’IA vocale, une menace pour la sécurité bancaire
©bing.com/images/create

De nombreuses banques américaines et européennes utilisent la reconnaissance vocale en tant qu’authentification afin que leurs clients puissent accéder à leurs comptes bancaires par téléphone. Selon ces institutions financières, cette méthode est aussi sûre qu’une identification digitale. Elle vise à remplacer l’authentification traditionnelle qui consiste à communiquer des informations permettant l’authentification. Cette méthode a permis de réduire considérablement les fraudes.

En effet, il est plus facile de connaître les informations concernant une personne plutôt que d’imiter sa voix. Ces données  à caractère personnel ont la particularité d’être uniques et permanentes d’où une infaillibilité certaine. Cependant, avec l’émergence de l’IA, ces données « uniques » peuvent être facilement copiées.

Le cas de la Voice ID : système de défense utilisé par certaines banques :

Il existe un système qui permet de copier une voix humaine, c’est l’IA. Un journaliste, Joseph Cox a réussi à duper le système d’une banque américaine à l’aide d’un logiciel d’IA gratuit. Comme le système téléphonique est entièrement automatisé, il lui a suffit de lancer une piste audio afin de tromper l’IA de la banque.

Les personnes publiques sont particulièrement exposées. En effet, leur voix peut être facilement copiée à la télévision, à la radio ou sur n’importe quel autre format. Il suffit d’un simple extrait de 3 secondes pour que l’IA copie la voix.

On remarque donc que pour mieux tromper l’IA (Voice ID) utilisée par les institutions bancaires afin de sécuriser leur systèmes, il suffit tout simplement d’utiliser l’IA. Il est encore plus ironique d’imaginer qu’une IA accessible gratuitement puisse tromper une IA vantée par les institutions financières comme étant hautement performante.

Le Deep Fake vocale face au banquier 

Cette supercherie n’a pas pour unique but de tromper la Voice ID utilisée par les banques. Elle peut également imiter la voix lors d’un appel téléphonique avec le banquier. Donc la deep fake vocale peut également tromper une véritable personne.

Néanmoins, même si l’IA a la possibilité de copier la fréquence d’une voix, elle ne réussit toujours pas à copier l’élocution humaine. En effet, la voix produite par l’IA reste très robotique et peu naturelle. Elle a pour but de copier une voix et pas de se comporter comme un être humain. Le simple fait de lui poser une question permettra de la déstabiliser. Soit elle répétera la même phrase en boucle, soit il y aura un temps de latence afin que le fraudeur puisse régler l’IA.

Quand est-il de la responsabilité du banquier trompé par la deep fake en France ?

Dans le cas de l’utilisation de la Deep Fake, pour tromper le banquier, celui-ci peut voir sa responsabilité engagée notamment en raison de son obligation de vigilance. En effet, la jurisprudence considère que le banquier doit se montrer vigilant face à une anomalie apparente (Circonstance qui sort de l’ordinaire et qu’un banquier normalement prudent aura nécessairement remarqué). Cette anomalie apparente peut être de deux sortes, soit matérielle soit intellectuelle.

Dans le cas où le banquier est trompé par l’IA, c’est une anomalie intellectuelle. Le banquier doit savoir qu’il parle avec son client. Si il a des doutes, il doit vérifier par le biais des informations personnelles que c’est bien le client qui est au téléphone.

Face à un banquier averti et vigilant, il sera difficile de le tromper. Cela complique davantage la responsabilité du banquier qui se voit élargie. Ce type de phénomène risque de compliquer la relation entre le client et son banquier. Ce dernier de peur d’être au téléphone avec une IA peut refuser de répondre.

Le client peut-il est tenu comme responsable ? 

Le client ne sera pas tenu responsable s’il est victime de ce genre d’escroqueries. Comme ce type d’opération n’est pas du à un agissement frauduleux de sa part ni à une négligence grave, il ne peut être tenu comme responsable.

Le consentement du payeur est requis à tout stade de l’opération de paiement, sa responsabilité ne sera donc pas engagée dans ce cas. Par conséquent la banque devra restituer les sommes indûment prélevées. Le client devra signaler cette fraude sans tarder, dans un délai de 13 mois après la date de débit sous peine de voir son action forclose.

Sources:

  1. How I Broke Into a Bank Account With an AI-Generated Voice
  2. Nouvel outil : les deepfakes vocaux
  3. Quel régime de responsabilité pour l’IA ? La proposition de l’Union Européenne
  4. Cours de droit bancaire du Professeur Jérôme Lasserre Capdeville, M1 Droit de l’économie du numérique.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.