Des arnaques par téléphone technologiquement avancées

Les lecteurs de ce blog sont déjà familiers des arnaques par téléphone, vous avez sans doute reçu un appel ou deux de ce genre. Toutefois, si vous n’acceptez pas des offres provenant d’inconnus ou ne leur donnez pas d’informations personnelles, vous faites bien, n’est-ce pas ?

Eh bien pas tout à fait. Il n’y a pas très longtemps, la Federal Communications Commission (FCC) a émis un avertissement concernant une arnaque par téléphone inhabituelle. Les fraudeurs appellent leurs victimes et posent une question apparemment innocente : « Vous m’entendez ? » Un oui leur suffit. Répéter une réponse affirmative enregistrée leur permet d’abonner leurs victimes à des services payants, qui seront inclus dans la facture de téléphone des victimes.

Ce type d’arnaque où des services additionnels sont ajoutés à la facture d’un souscripteur sans son consentement (par exemple, des messages quotidiens avec l’horoscope ou des actualités) est appelé cramming.

Voyons quelques points alarmants de ce type d’arnaque. Comment le cramming est-il possible ? Pourquoi les responsables de l’application de la loi ne peuvent rien faire ? Est-il vraiment possible d’utiliser un enregistrement vocal pour inscrire quelqu’un à des services additionnels ?
Techniquement, le cramming est possible étant donné que les entreprises téléphoniques permettent l’inclusion de services tiers dans les factures des abonnés.

La ruse en elle-même n’est pas nouvelle : 800Notes.com, un site web qui liste des numéros de téléphone suspicieux, a informé les utilisateurs à ce sujet dès 2008. A l’époque, la ruse était utilisée pour imposer des services à des organisations. Selon ceux qui en ont été victimes, les enregistrements audio étaient modifiés de telle sorte que les victimes semblaient d’accord pour ajouter des services payants.

Les autorités tentent de lutter contre le cramming : ainsi, en 2015, le FCC a obligé les géants des télécommunications Verizon et Sprint à payer 158 millions de dollars pour régler les réclamations des clients qui avaient été victimes de services imposés.

Banque vocale

Compte tenu de la popularité grandissante de l’authentification vocale, quelque chose de similaire au cramming pourrait devenir un problème dans le secteur bancaire dans un avenir proche. Par exemple, une des plus importantes banques au Royaume-Uni, Barclays, a introduit l’authentification vocale pour tous ses clients privés en 2016.

La société financière internationale HSBC laisse ses clients utiliser l’authentification vocale au profit d’un mot de passe. Les clients doivent appeler la banque, s’authentifier en utilisant un mot code, et dire à haute voix, « Ma voix est mon mot de passe ».

HSBC affirme que le système est protégé contre les tentatives de le contourner avec des enregistrements vocaux des clients. Soi-disant, la technologie biométrique vocale crée une empreinte vocale qui reconnaît les nuances physiques et comportementales lorsque quelqu’un parle.

D’ailleurs, les arnaqueurs téléphoniques devront trouver un moyen pour qu’un client d’une banque dise la phrase secrète en entier. Cela semble difficilement possible ; cependant, ils peuvent tenter d’obtenir des mots du client dont ils ont besoin un par un en passant plusieurs coups de fil.

Chaque fois que quelqu’un invente un moyen de tromper les gens, quelqu’un d’autre va chercher un moyen d’éviter d’être dupé. Pindrop a créé une technologie qui prend en compte une variété de facteurs (y compris la localisation) lors de l’évaluation de l’authenticité d’une personne à distance. Un appel du mauvais côté de la planète alerte le système par exemple. Les banques utilisent ce type de technologie à des fins anti-fraude également.

Un autre signe (bien que ce ne soit pas un signe sûr) est la chaîne de communication suivie. Selon les statistiques de Pindrop, les fraudeurs utilisent la VoIP dans 53% des cas, tandis que pour les clients la proportion est quelque peu différente, avec seulement 7% utilisant la VoIP pour contacter leurs banques. C’est pour cette raison que le système note automatiquement des appels VoIP.

Naturellement les fraudeurs prennent des contre-mesures, en simulant par exemple une connexion de faible qualité, qui théoriquement rend plus difficile pour le système l’identification de celui qui appelle. Evidemment, les arnaqueurs téléphoniques étendront leur arsenal avec de nouveaux outils puissants bientôt.

Ne dites rien

Le Projet VoCo, qui a été baptisé le « Photoshop pour voix » a été décrit lors de l’Adobe MAX conférence en 2016.

Après l’analyse d’un fragment de discours, le système génère un échantillon vocal de la personne, y compris des mots prononcés qui n’étaient pas dans l’enregistrement source. L’invention, selon la BBC, a soulevé des inquiétudes parmi les experts en sécurité informatique. VoCo, tout comme son ancêtre graphique, pourrait devenir un outil pour pirater des utilisateurs, ou une méthode pour contourner les systèmes d’authentification vocale.

Adobe n’est pas le seul. Google avait annoncé son propre projet d’une synthèse vocale réaliste en 2016, et une start-up basée au Canada appelée Lyrebird avait annoncé sa technologie pour la génération de parole en avril 2017. Un enregistrement vocal d’une minute est suffisant pour entraîner le système à prononcer des phrases à distance avec la voix d’une personne qui a été enregistrée (vous pouvez écouter une discussion synthétisée entre des politiques américains ici). Même les développeurs ont la capacité de voir si un discours est potentiellement dangereux, plus particulièrement pour les acteurs dans l’arène politique.

Les fondateurs de Lyrebird ont résolu le problème éthique de leur technologie avec la déclaration suivante: « Nous espérons que tout le monde connaîtra bientôt une telle technologie et que la copie de la voix de quelqu’un d’autre sera possible ».

Comment faire face à tout cela

1. Les spécificités de cette attaque dans laquelle une victime est incitée à ne dire qu’un seul mot (« oui ») appelle à une solution radicale. La FFC recommande de ne pas répondre aux appels provenant de numéros inconnus. Si quelqu’un souhaite vraiment vous contacter, il ou elle laissera un message.
2. Ne dévoilez pas du tout de données personnelles.
3. Vérifiez toujours vos factures.
4. Une méthode individuelle qui offre une protection contre certains spams téléphoniques énumère vos informations de contact sur l’annuaire que les télévendeurs doivent exclure de leurs listes. Bien sûr, il ne s’agit que d’une option pour les pays qui ont de tels annuaires, les Etats-Unis par exemple. Dans l’Union Européenne, c’est un peu plus compliqué : Il n’y a pas d’annuaire européen, bien qu’il existe des listes nationales de liste rouge.