Fraude téléphonique avec « oui allô » : pas de panique

Radio-Canada, 3 décembre 2024.

Les fraudeurs ne peuvent pas accéder à vos comptes bancaires seulement en vous enregistrant pendant que vous prononcez les mots « oui allô », assurent des experts.

Il en faut plus que l’enregistrement d’un simple « oui allô » pour déjouer les systèmes de reconnaissance vocale des grandes banques, assurent plusieurs experts en cybersécurité interrogés par les Décrypteurs. Il vaut mieux appliquer un ensemble de conseils de base pour sécuriser ses comptes, même si les grandes banques devraient mieux protéger leurs clients victimes de fraude, selon ces experts.

On est des millions de Québécois à répondre ça au téléphone. Si l’on dit qu’il faut collectivement changer notre façon de parler parce que ça ouvre la porte aux fraudeurs, je pense qu’on s’attaque au mauvais problème, estime le responsable de l’équipe de recherche sur les cybermenaces ciblées chez Proofpoint, Alexis Dorais-Joncas. D’ailleurs, il ne compte pas arrêter d’employer cette formule de salutation téléphonique de sitôt.

La préoccupation qu’on doit avoir quand on répond au téléphone, c’est qu’on peut être en train de parler à des fraudeurs. Une fois qu’ils réussissent à entrer en communication avec nous, ils vont essayer de nous manipuler, de nous stresser et de nous maintenir dans un état d’anxiété qui leur permet de plus facilement nous frauder, met en garde Simon Marchand, expert en prévention de la fraude et conseiller senior en fraude chez GeoComply.

L’idée que le oui allô serait à proscrire a suscité plusieurs réactions sur les réseaux sociaux et dans les médias la semaine dernière à la suite de la parution d’un article dans La Presse (Nouvelle fenêtre). Le quotidien a publié un second article (Nouvelle fenêtre) qui approfondit le sujet, mercredi.

Dans l’article original, on rapportait qu’une dame s’était fait refuser des remboursements de virements Interac totalisant 6000 $ à une entreprise de cryptomonnaie. Le service à la clientèle de la Banque Nationale lui aurait reproché d’avoir utilisé les mots oui allô en répondant au téléphone.

Contactée par les Décrypteurs, la Banque Nationale a refusé de se prononcer sur ce cas spécifique pour des raisons de confidentialité. Nous n’avons pas de conseils particuliers en ce qui a trait aux mots à prononcer en répondant au téléphone, a toutefois fait savoir le conseiller principal en affaires publiques de la Banque Nationale, Alexandre Guay.

L’article rapportait également que le Centre antifraude du Canada (CAFC) déconseillait de répondre au téléphone en utilisant cette formule après avoir reçu plusieurs signalements du public selon lesquels des fraudeurs enregistraient le oui allô à des fins malveillantes.

Joint par les Décrypteurs, l’agent de sensibilisation à la clientèle et agent de communication du CAFC, Jeff Horncastle, soutient qu’il n’existe aucune preuve montrant que des délinquants se sont servis d’enregistrements de oui allô dans le cadre de fraudes.

Si une personne victime nous dit qu’elle a reçu un appel, qu’elle a dit oui allô, qu’il n’y avait personne sur la ligne et qu’elle pense qu’ils ont enregistré son oui allô, on le documente. C’est documenté, mais on ne peut pas prouver que le oui allô a été utilisé par des fraudeurs, dit Jeff Horncastle.

Il rappelle d’ailleurs que le CAFC ne mène pas d’enquêtes et ne fait que colliger des données.

Si vous répondez au téléphone d’une autre façon, les fraudeurs peuvent faire du clonage vocal de toute manière. – Jeff Horncastle, agent de sensibilisation à la clientèle et agent de communication du Centre antifraude du Canada

La façon la plus efficace de se protéger est d’éviter le plus possible de répondre aux appels de numéros de téléphone qu’on ne reconnaît pas, conseille Jeff Horncastle.

Le clonage vocal, un risque ou pas?

Les systèmes de reconnaissance vocale des grandes banques analysent par l’intelligence artificielle l’empreinte vocale du client, qui contient de nombreuses caractéristiques. Le client doit parler un certain temps pour que sa voix soit validée, donc il faut plus qu’un simple oui ou oui allô enregistré pour déjouer ces systèmes.

Toutes les grandes banques canadiennes ont des dispositifs d’authentification vocale, sauf la Banque Laurentienne. Les deux institutions financières qui ont répondu à nos demandes et qui se servent de ces systèmes, la Banque Nationale et Desjardins, assurent par ailleurs que la voix du client est validée par leurs dispositifs en continu, tout au long de l’appel.

Simon Marchand a occupé le poste de chef de prévention de la fraude chez Nuance Communications, qui vendait des solutions de reconnaissance vocale avant d’être rachetée par Microsoft. Il affirme que les dernières versions de ces systèmes analysent près d’un millier de paramètres de la voix des clients.

Ces systèmes peuvent détecter si une voix est synthétique. En 2023, des chercheurs de l’Université de Waterloo ont toutefois réussi à berner différents systèmes (Nouvelle fenêtre) de reconnaissance vocale offerts sur le marché en créant des voix synthétiques, connues sous le nom d’hypertrucage (deepfake). Ils ont ensuite appliqué des techniques de réduction du bruit aux voix clonées pour éliminer des éléments qui pourraient les identifier comme étant des hypertrucages.

Leur taux de succès était de 72 %, mais ces tests ont été effectués en vase clos, et non en temps réel auprès d’institutions financières.

Juste un oui allô, c’est un peu court pour cloner une voix. Un acteur malveillant pourrait toutefois tenir une conversation avec sa victime pour une ou deux minutes et ça devrait fonctionner, croit Urs Hengartner, professeur agréé à l’École de science informatique de l’Université de Waterloo, et l’un des chercheurs à l’origine de cette expérience.

Ces tests ont d’ailleurs été menés à partir d’échantillons vocaux de haute qualité, et non d’enregistrements téléphoniques. M. Hengartner croit néanmoins que les résultats pourraient être répliqués avec des voix captées au téléphone, considérant que les systèmes d’authentification des institutions financières s’attendent à ce que la voix à l’autre bout du fil soit de faible qualité.

Simon Marchand nuance en rappelant que ce genre de test ne reproduit pas des conditions réelles.

Le faire dans des conditions parfaites ne démontre pas qu’il y a un risque. Ça démontre que, dans des conditions idéales, ça pourrait techniquement fonctionner. C’est théoriquement possible, mais est-ce qu’un fraudeur pourrait le faire demain matin? Non, croit M. Marchand. Il soutient que beaucoup de paramètres ne sont pas couverts dans ce genre d’étude.

Urs Hengartner ne croit pas pour autant que l’authentification vocale est inutile, tant qu’elle est combinée avec d’autres mesures de sécurité, comme le font de grandes banques.

Les questions de sécurité n’ont pas la réputation d’être très sûres, donc tout dépend du type de questions posées. Si quelqu’un est réellement intéressé par votre argent, il pourrait être en mesure de répondre à vos questions de sécurité, nuance-t-il.

Nous n’avons pas de solution parfaite. Les mots de passe ne sont pas idéaux : les gens choisissent des mots de passe faibles ou non uniques. Les SMS ne sont pas très sécurisés non plus. Il existe de nombreuses technologies, mais aucune n’est particulièrement robuste. Les banques en utilisent donc au moins deux en même temps, en espérant que le fraudeur ne pourra pas les contourner, ajoute Urs Hengartner.

Les banques défendent leurs systèmes

La Banque Nationale, qui déploie progressivement la technologie pour les clients qui y consentent, rappelle que l’authentification vocale à elle seule ne permet pas d’effectuer de transactions dans un compte bancaire. Elle dit d’ailleurs combiner la reconnaissance vocale avec d’autres mesures d’authentification, comme les questions de sécurité.

Un des avantages de cette technologie est qu’en cas de fraude, le système peut signaler une voix enregistrée ou synthétique. Il peut même détecter la voix de fraudeurs connus des équipes de sécurité, ajoute le conseiller principal en affaires publiques de la Banque Nationale, Alexandre Guay.

Desjardins se sert de l’authentification vocale depuis 2021. La directrice des solutions d’interactions vocales de la coopérative financière, Camille Garcia-Bigras, explique qu’à tout moment un conseiller en appels peut – et même doit – utiliser d’autres mesures d’authentification sécuritaire en combinaison avec l’authentification par la voix.

On a commencé il y a plusieurs années à voir émerger ces stratagèmes d’utilisation de voix synthétique, d’enregistrement ou même d’hypertrucage. Je vous confirme que ce n’est jamais survenu chez Desjardins, ce type d’attaque là, mais qu’on a tout de même décidé de mettre en place des mesures de protection contre ces stratagèmes, assure Camille Garcia-Bigras.

La directrice des solutions vocales n’est d’ailleurs pas inquiète des études ou des expériences comme celle de l’Université de Waterloo et dit avoir totalement confiance en la robustesse des mécanismes de sécurité de Desjardins.

On s’assure de continuellement mettre à jour nos systèmes, nos opérations et nos stratégies de prévention de la fraude pour être en avance par rapport aux stratagèmes. Il faut aussi distinguer les études faites par des chercheurs spécialistes des activités que mènent les fraudeurs professionnels, dit Camille Garcia-Bigras.

La Banque Nationale et Desjardins rappellent d’ailleurs que l’authentification vocale est optionnelle pour leurs clients.

Des victimes laissées à elles-mêmes

Il n’en demeure pas moins que les victimes de fraude devraient bénéficier d’une meilleure protection de la part de leur institution financière, selon les experts consultés.

Je me demande pourquoi ce genre de paiement là est autorisé et n’est pas étudié plus en profondeur, dit David Décary-Hétu, professeur de criminologie à l’Université de Montréal, au sujet du cas rapporté dans La Presse.

Les meilleures pratiques aujourd’hui veulent qu’on ralentisse les flux financiers, que l’on donne la chance aux gens d’annuler des transactions. Quand on a des choses qui sortent de l’ordinaire, il est toujours prudent de ralentir la transaction pour donner le temps à tout le monde de bien évaluer ce qu’on veut faire.

Depuis quelques mois, les banques au Royaume-Uni doivent rembourser les victimes de fraude à hauteur de 85 000 £ (Nouvelle fenêtre) (151 000 $). L’adoption de lois semblables au Canada transférerait la responsabilité de la fraude aux banques et les inciterait à prendre davantage de mesures et à investir dans des technologies pour mieux protéger leurs clients, croit Simon Marchand.

Alexis Dorais-Joncas rappelle que les fraudeurs mettent habituellement la main sur les informations personnelles des gens grâce à l’hameçonnage. La technique consiste à tromper une personne pour qu’elle divulgue volontairement des renseignements comme ses identifiants de connexion, ses mots de passe, ses informations bancaires ou encore ses questions de sécurité. Cela passe notamment par des courriels, des textos ou des appels frauduleux.

Un des vecteurs principaux d’usurpation d’identité pour accéder à des comptes bancaires consiste en des pages d’hameçonnage. Les gens sont exposés à des pages web qui imitent parfaitement le site d’Interac et qui mènent la personne à croire que c’est un site légitime, où elle entre des informations sensibles. Tout ça se retrouve dans la main d’un fraudeur qui peut sortir de l’argent du compte bancaire très rapidement, souligne-t-il.

C’est davantage de ce type de menace dont il faut se méfier que du geste de répondre par oui, allô au téléphone.

Des conseils pour protéger vos comptes

• Ayez des mots de passe forts et uniques pour chacun de vos comptes. Un gestionnaire de mots de passe peut être d’une grande aide.
• Activez l’authentification à deux facteurs. Des applications d’authentification comme Google Authenticator sont plus sécuritaires que des textos ou des courriels.
• Ne répondez pas à des appels de numéros inconnus.
• Choisissez des questions de sécurité difficiles à deviner, mais faciles à retenir pour vous.
• Ne fournissez jamais vos informations personnelles ou bancaires à quelqu’un qui vous les demande, à moins que vous ayez vous-même établi le contact avec une entité fiable et vérifiée.
• Ne vous fiez pas à ce qui est écrit sur votre afficheur. Si la personne à l’autre bout du fil dit être un employé d’une banque, raccrochez et appelez le numéro à l’endos de votre carte bancaire.