Alerte au clonage des voix

Atlantico :  La technologie du clonage des voix a fait de grands progrès depuis dix ans et aujourd’hui elle est devenue assez perfectionnée pour tromper la réalité. Elle est d’ailleurs devenue si efficace qu’elle intéresse les cybercriminels. Comment la technologie fonctionne-t-elle ? Est-elle facilement accessible ?  

Jean-Paul Pinte : Le clonage vocal se produit lorsqu'un programme informatique est utilisé pour générer une copie synthétique et adaptable de la voix d'une personne.

À partir d'un enregistrement de quelqu'un en train de parler, le logiciel est capable de reproduire sa voix en prononçant tous les mots ou phrases que vous tapez sur un clavier.

Le logiciel peut capter non seulement votre accent, mais aussi votre timbre, votre tonalité, votre rythme, votre débit de parole et votre respiration.

Et la voix clonée peut être modifiée pour représenter toute émotion requise - telle que la colère, la peur, le bonheur, l'amour ou l'ennui.

La technologie - qui est dirigée par l'intelligence artificielle, un logiciel qui peut "apprendre" et s'adapter par lui-même - a considérablement progressé au cours des dernières années. Cela a même attiré l'attention des artistes « voix off », des voix transgenres, bref des accents et des voix uniques.

Le clonage vocal peut également être utilisé pour traduire les paroles d'un acteur dans différentes langues, ce qui signifie potentiellement, par exemple, que les sociétés de production de films américaines n'auront plus besoin d'embaucher des acteurs supplémentaires pour faire des versions doublées de leurs films pour une distribution à l'étranger.

La société canadienne Resemble AI affirme qu'elle peut désormais transformer des voix anglaises clonées en 15 autres langues.

Son directeur général Zohaib Ahmed dit que pour générer une copie de qualité de la voix de quelqu'un, le logiciel a besoin d'un enregistrement de quelqu'un qui parle pendant aussi peu que 10 minutes.

"Lorsque l'IA apprend votre voix, elle apprend de nombreuses propriétés... comme le timbre et la hauteur, et l'intensité", dit-il.

Pourtant, bien que la sophistication croissante du clonage vocal ait un potentiel commercial évident, elle a également suscité des inquiétudes croissantes quant à son utilisation dans la cybercriminalité - pour tromper les gens en leur faisant croire que quelqu'un d'autre parle.

Avec les fausses vidéos générées par ordinateur, le clonage vocal est plus communément appelé aujourd’hui "deepfake".

Pour tromper une personne il était très facile de le faire depuis des années via un des e-mails ou des SMS. Avec le téléphone et donc avec une personne dont vous reconnaissiez la voix ce sera moins sûr désormais car les technologies développées ont évolué.

Des cas d’arnaques à la voix vont ainsi voir le jour dans le monde de la cybercriminalité et s’immiscer dans des modes opératoires comme la fraude au président ou les faux ordres de virement où un haut degré d’ingénierie sociale était déjà demandé.

Il faut aujourd’hui seulement 3,7 secondes d’audio afin de cloner votre voix. Cette annonce impressionnante mais aussi quelque peu inquiétante a été émise par le géant chinois de la tech Baidu. En 2019, l’outil de cette entreprise appelé Deep Voice nécessitait 30 minutes d’audio afin de pouvoir cloner une voix humaine. Les prouesses de l’intelligence artificielle permettent désormais une évolution technologique de plus en plus réaliste et intéressent aujourd’hui tous les domaines d’activité de notre société.

Un espoir qui motive également la start-up strasbourgeoise Candyvoice et sa méthode qui ne repose pas sur la concaténation. Moins lourde à mettre en place, elle repose dans un premier temps sur une solution de text-to-speech. Dans un second temps, le spectre vocal, la hauteur de voix et l’analyse du signal sont synthétisés. Une fois cela effectué, Candyvoice permet de nombreuses autres applications comme prêter sa voix aux robots et aux objets communicants. La technologie peut également donner la voix de votre choix aux personnages de jeux vidéo pour une immersion toujours plus poussée.

Enfin, comme l’indique la thèse de ce chercheur (Université de Liège – Faculté des Sciences appliquées) " Nous pensons que des formes de clonage vocal seront disponibles dans un proche avenir " .

Quels risques de sécurité existent lorsque la technologie du deepfake vocal est utilisée par hackers ? Dans quelles situations utilisent-ils cette technique ? 

Comme on le précisait plus haut les idées ne vont pas manquer aux cybercriminels pour user de la technologie de clonage vocal.

Imaginez les arnaques de détournement de la parole pour mieux aider à de faux virements et tout simplement à de faux ordres venant d’une direction.

Pour les hackers, de simples enregistrements audio suffisent à nourrir une intelligence artificielle. Un vrai problème pour les personnalités publiques qui s’expriment régulièrement à la télévision ou sur Internet, de même que pour les appels téléphoniques de patrons concernant des résultats financiers, etc. Sur base de ces enregistrements, l’IA va pouvoir copier la voix de la personne. Plus les audios seront de bonne qualité, plus le résultat sera vraisemblable.

En 2019, le directeur général d’une entreprise énergétique britannique s’est fait avoir par une arnaque de ce type. Il a envoyé 220.000 euros à un fournisseur hongrois après avoir reçu un soi-disant appel téléphonique de son PDG. Son interlocuteur lui a indiqué que le transfert était urgent et qu’il devrait être fait dans l’heure. Les criminels n’ont toujours pas été identifiés.

Dans son dernier rapport, la société de conseil en sécurité NISOS explique avoir analysé l’une de ces arnaques de deepfake audio. Des hackers ont copié la voix du PDG d’une entreprise et ont envoyé un message vocal à un employé indiquant qu’il avait soi-disant besoin d’« une assistance immédiate pour finaliser un accord commercial urgent ».

Ce blog nous rappelle aussi qu’il existe des chercheurs en cybersécurité ayant déjà fait la démonstration de certaines de ces méthodes dans attaques par preuve de concept et le risque a encore gagné en priorité en août lors de la conférence Black Hat, où des pirates ont montré de nouvelles méthodes. Voix "spoofing" et attaquant un assistant numérique personnel très répandu au moyen de commandes vocales .

Existe-t-il des manières de se protéger face à la recrudescence des deepfakes ? Pouvons-nous les détecter ? 

Les attaques de données à grande échelle et les vols de mots de passe ont poussé de nombreuses entreprises pour examiner la vérification biométrique comme alternative (ou peut-être même remplacement complet) du mot de passe. Mais, même sans ce stimulus, le monde s’est déjà dirigé vers des méthodes d’accès universel qui permettent aux consommateurs d’activer et de contrôler leurs gadgets plus facilement et plus rapidement, sans avoir à appuyer physiquement sur des boutons ou à taper dans un écran de connexion. La raison en est simple: le monde des gadgets "intelligents" ne cesse de s'agrandir, qu'il s'agisse d'un thermostat connecté à la maison ou au bureau ou d'une voiture autonome. L'activation par la voix facilite l'utilisation de ces services et les haut-parleurs intelligents émergent également comme une nouvelle technologie à la maison et au travail

La seule solution pour éviter de se faire avoir par une attaque de deepfake audio est de garder son calme malgré la pression de son interlocuteur –, de raccrocher et de rappeler la personne, afin de s’assurer qu’il s’agit bien d’elle. Un mot de sécurité pourrait également être convenu entre les personnes, mais dans l’urgence, il n’est pas toujours évident d’y penser. C’est d’ailleurs pourquoi les hackers jouent sur cet aspect.