Un nouveau risque à maîtriser pour les RSSI et DSI ? Si on se fie à un récent rapport de Recorded Future, cela en a tout l'air. Le spécialiste du suivi des menaces cyber alerte sur les risques que fait peser le clonage des voix associé aux progrès de l'intelligence artificielle. En plus de la propagation de désinformation, la technique est susceptible de contourner les authentifications multifacteurs (MFA) exploitant la voix et de servir dans des approches criminelles basées sur l'ingénierie sociale (les fraudes au président notamment).

« Les plateformes d'IA en Open Source ou freemium abaissent la barrière à l'entrée pour les cybercriminels peu qualifiés et inexpérimentés qui cherchent à percer dans ce domaine. La facilité d'utilisation et les fonctionnalités prêtes à l'emploi de ces plateformes permettent à ces acteurs de rationaliser et d'automatiser des tâches cybercriminelles qu'ils ne seraient sinon peut-être pas en mesure d'accomplir », écrit Recorded Future. Sans oublier le fait que certaines plateformes payantes sont accessibles à des tarifs très bas (5 dollars par mois), comme celle d'ElevenLabs qui a servi de base à Recorded Future pour rédiger son rapport et qui permet aux utilisateurs d'uploader leurs propres échantillons de voix.

Une authentification MFA contournée

Surtout, les auteurs du rapport notent une accélération de l'intérêt des cybercriminels pour cette technique. La première référence au clonage de voix comme vecteur de cyberattaque reste assez récente (août 2019, sur le forum russophone XSS), et même si certains cybercriminels doutent encore de sa pertinence (en particulier hors de l'anglais), les discussions sur ce sujet s'accélèrent sur les espaces d'échange du Dark Web. En particulier fin 2022 et début 2023.

Rappelons que début 2023, un journaliste de Vice, Joseph Cox, est parvenu à tromper la sécurité de sa banque grâce à un échantillon de voix créé avec l'outil d'ElevenLabs. Basé sur un simple échantillon de 5 minutes de la voix de Joseph Cox, le son ainsi généré a suffi à tromper le système MFA du service d'assistance téléphonique, lui ouvrant l'accès à son compte. Comme le rappelle Recorded Future, le clonage a aussi été utilisé de façon avérée dans des fraudes au président : « de 2019 à 2023, de nombreuses escroqueries très médiatisées ont été commises par des escrocs qui ont utilisé la technologie du clonage vocal pour imiter les voix de cadres supérieurs et escroquer les entreprises et les banques », en demandant des virements d'argent, prétextant une urgence.