Florence Baldo
Consultant

« Je compte sur vous ! » La voix est assurée, le script imparable. Grâce à son talent oratoire et à son assurance à toute épreuve, Gilbert Chikli a réussi à dérober plus de 50 millions d’euros entre 2005 et 2010 en se faisant passer pour le PDG de diverses sociétés (La Poste, les Galeries Lafayette, Disneyland Paris, les Pages jaunes ou encore la Caisse d’épargne) ou pour un agent de la DGSE. Sous pression, les employés répondant au téléphone, même expérimentés, n’ont pas hésité à effectuer des virements à l’adresse demandée et même à déposer de l’argent liquide dans des cafés parisiens pour obéir aux ordres. L’escroc, aujourd’hui en prison, a été incarné par Vincent Elbaz dans un film justement intitulé Je compte sur vous qui illustre la virtuosité et l’efficacité de la fameuse « arnaque au faux président ».

La pandémie de coronavirus a également entraîné une multiplication des attaques téléphoniques de tout type : hameçonnage, ingénierie sociale, tentatives d’extorsion… Étonnamment, la sécurité des systèmes d’information repose tout autant sur les facteurs humains que sur la technique.

Si les dispositions réglementaires encadrant l’authentification sont de plus en plus strictes, il existe une marge de progression importante pour fiabiliser les processus dans les établissements les plus sensibles, notamment les banques. Des innovations décisives ont vu le jour ces dernières années : la biométrie vocale en est la parfaite illustration. Les cas d’usage sont nombreux et les besoins en protection explosent. Décryptage.

La DSP2 : une avancée majeure vers l’authentification forte

Entrée en vigueur en 2018-2019, la DSP2 ou Directive sur les Services de Paiement a fixé de nouvelles normes en termes de sécurité des systèmes d’information. Elle a notamment imposé l’authentification à double facteur dans le secteur bancaire. Ainsi, afin de valider une opération ou un paiement en ligne, un code à usage unique (« One Time Password » ou code OTP) est demandé en plus du code personnel du client. Généralement lié au numéro de téléphone portable, il permet d’éviter les fraudes à la carte bleue sur la plupart des sites marchands.

Cependant, cette technique possède plusieurs limites : d’une part, si le portable a également été volé ou piraté, rien ne permet de garantir que c’est bien son propriétaire officiel qui l’utilise. D’autre part, la clientèle âgée ou peu équipée technologiquement n’est pas toujours à même de manipuler les mots de passe et les codes OTP avec aisance. Ce frein à l’adoption a notamment été constaté dans les établissements de type banque privée ou gestion de fortune.

Il existe aujourd’hui de nombreuses autres façons d’authentifier une transaction, l’utilisation d’un appareil ou l’accès à un bâtiment. Utilisée depuis de nombreuses années par la police – on pense notamment aux fameuses empreintes digitales –, la biométrie est l’une des techniques les plus matures, les plus avancées et les plus fiables dans ce domaine. De nombreux constructeurs l’utilisent déjà : ainsi, nos smartphones disposent-ils déjà de moyens d’identification biométrique comme l’empreinte digitale ou la reconnaissance faciale. Pour l’ouverture d’un compte en ligne, la Société Générale utilise par exemple la reconnaissance faciale en comparant la photo de la carte d’identité du client avec celle d’un selfie dynamique. Le processus prend une dizaine de minutes et repose sur la technologie fournie par Idemia (né de la fusion d’Oberthur Technologies et de Morpho, ex-Safran Identity & Security). La Société Générale a d’ailleurs été la première banque française à obtenir l’accord de la CNIL pour l’utilisation de la reconnaissance faciale.

Le Règlement Général sur la Protection des Données, en vigueur depuis le 25 mai 2018, impose d’obtenir le consentement de chaque prospect ou client en fonction de la finalité poursuivie et de détruire les données biométriques dès la fin du processus. En effet, celles-ci sont considérées comme sensibles par la CNIL en raison de l’utilisation qui peut en être faite aux dépens de la personne concernée.

Si l’authentification forte s’inscrit dans un cadre réglementaire bien précis, une seule technique permet aujourd’hui de lutter contre l’usurpation d’identité au téléphone : il s’agit de la reconnaissance vocale biométrique.

L’empreinte vocale : une signature unique à chaque individu

Il existe de multiples façons d’identifier une personne, mais toutes ne se valent pas. Par exemple, on sait aujourd’hui que les empreintes digitales et la reconnaissance faciale ne sont pas fiables à 100 %. Le scan de l’iris et l’analyse de l’ADN offrent des niveaux de garantie supérieurs mais peuvent s’avérer difficiles à exploiter.

En revanche, la voix est propre à chaque individu. Même des vrais jumeaux n’ont pas la même tessiture, les mêmes intonations, etc. À la différence des techniques ci-dessus, aucun matériel particulier n’est requis à part l’utilisation de la technologie de reconnaissance vocale en elle-même : la voix est l’outil le plus naturel de l’homme pour communiquer. En comparant un échantillon de la voix d’un client avec le contenu d’un appel téléphonique, il est possible d’identifier un individu en temps réel. Aujourd’hui, dans la plupart des banques de détail, on demande au client de répondre à une question aussi banale que sa date de naissance… ce qui n’est évidemment pas suffisant.

L’empreinte vocale est utilisée depuis des années en criminologie. Ainsi, le FBI a investi plusieurs milliards de dollars dans de gigantesques bases de données biométriques dès le début des années 2000, mais l’usage commercial de la reconnaissance vocale avait peiné à s’imposer.

Cependant, la société américaine NICE (que nous avons rencontrée), dont le siège est situé à Hoboken à côté de New-York, a fortement contribué à démocratiser cette technologie en la proposant aux établissements bancaires. En Suisse, la société PostFinance, spécialisée dans les paiements, a adopté la technologie NICE RTA (Real Time Authentification). Résultat : le temps d’attente a été divisé par deux dans les centres d’appel, puisqu’il n’y a plus besoin de poser les questions d’usage pour identifier le client, et l’usurpation n’est plus possible. NICE investit également dans l’analyse de la sémantique qui permet de détecter les émotions. Un appel créé de toute pièce avec une voix de synthèse et utilisé lors d’une attaque téléphonique est immédiatement neutralisé. Les cas d’usage sont multiples et comprennent par exemple l’assistance aux opérateurs commerciaux lors des appels de prospection pour comprendre quelle partie du script doit être améliorée.

Cotée au NASDAQ, la société NICE est l’un des leaders mondiaux en solutions d’exploitation analytique des données structurées et non structurées destinées au service client, à la lutte contre la fraude et à la protection des citoyens.

Avec les technologies actuelles, l’aventure de Gilbert Chikli n’aurait sans doute pas été possible. Si les particuliers et les professionnels sont de plus en plus sensibilisés aux bonnes pratiques de protection des données et de sécurité des systèmes d’information, la législation et l’innovation continuent d’avancer. Selon Action Fraud, le centre national de signalement britannique pour la fraude et la cybercriminalité, les attaques téléphoniques sont celles qui connaissent la progression annuelle la plus rapide. La biométrie vocale se présente comme l’une des rares solutions capables d’endiguer ce flux. Les conditions du succès ? L’ajustement des coûts de déploiement et la levée des freins psychologiques vis-à-vis des données biométriques qui ont encore mauvaise presse, en particulier en France où la culture de la confidentialité reste forte.