©Reuters
Password vocal
Signature biométrique : notre voix nous servira-t-elle demain de mot de passe quasi universel ?
La reconnaissance vocale permet de faciliter de nombreux processus. C'est ce qu'a compris Citibank, qui a installé un système de reconnaissance de la voix très perfectionné pour ses clients asiatiques. Si cette tendance devait se développer, elle devra aussi se perfectionner pour éviter les risques d'effraction.
Jean-Paul Pinte
Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.
Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.
Certifié par l'Edhec et l'Inhesj en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.
Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.
Atlantico : CitiBank vient de développer un service de reconnaissance vocale pour ses clients, qui permet de réduire considérablement le temps nécessaire à l'authentification. En ayant analysé la voix de l'utilisateur des pays concernés (Australie, Taïwan, Singapour, Hong Kong) la banque peut donner accès aux services sans avoir à passer par les habituelles questions sur l'identité. En quoi est-ce que l'identification vocale est-elle particulièrement pratique dans ces situations d'identification à distance ?
Jean-Paul Pinte : La reconnaissance ou biométrie vocale comme la problèmatique d’empreinte vocale ont toujours été l’objet de nombreuses convoîtises dans le monde des affaires où le temps c’est de l’argent.
49 % des utilisateurs jugent en effet que la procédure d'authentification basée sur les connaissances est trop longue et devrait être inférieur à 5 secondes.
Apparemment, il nous faudrait aujourd’hui 45 secondes en moyenne juste pour confirmer que nous sommes bien la bonne personne.
Une telle interaction qui commencerait par un processus d'authentification convivial du type "mon mot de passe c’est ma voix" constituerait aujourd’hui un réel avantage pour le client comme pour l’entreprise.
Qu’il s’agisse d’un échantillon de voix enregistré pour la contrôler ensuite à l’aide d’algorithmes lors d’un prochain appel ou d’une conversation naturelle qui aurait été, comme on vous le propose souvent, enregistrée pour une question de qualité et d’amélioration du service il y a de quoi gagner du temps à la longue avec cette technologie.
S’il s’agit encore d’une phrase que l’on nous propose de répéter nous n'aurons pas besoin de mémoriser cette phrase, c'est notre façon unique de la prononcer qui permettra de nous authentifier.
Avec la reconnaissance vocale les tâches de traitement s’en trouvent facilitées et beaucoup plus rapides, car elle diminue forcément le temps de traitement. On pourrait même parler d’une échelle de 1 à 5 fois plus rapide pour un accès à un service via cette reconnaissance vocale.
Les temps de traitement et le coût des services des secrétariats dédiés s’en trouvent aussi facilités rien qu’en imaginant un instant les milliers d’appels générés chaque jour. Ils seraient même l’occasion pour une entreprise, une banque, une administration de développer leur clientèle.
Les derniers algorithmes informatiques peuvent analyser toutes ces centaines de variables et de venir avec une authentification quasi certaine dans les trois secondes. La méthode fixe "passphrase" prend seulement 1,5 secondes pour authentifier et c’est là un autre avantage qui va inévitablement avec une réduction des fraudes.
Ce type de données biométriques n'est-elle pas aisément contournable ? Quelles sont les limites de son utilisation ?
La sécurité par biométrie vocale est certes plus sécurisée car une empreinte vocale est une signature alphanumérique unique, dont aucun pirate ne devrait pouvoir s’emparer.
Le fait de laisser sa propre empreinte vocale sur une application mobile ou un centre d’appels pourrait aussi exclure le fraudeur tout en alertant les forces de l'ordre.
Les empreintes digitales donnent moins de 20 points de mesure et de comparaison, les voix en offrent plus de 1000. Ceci ne peut empêcher le fraudeur d’enregistrer la voix d'un client comme il ou elle dit la phrase, puis utiliser cet enregistrement de haute qualité pour essayer d'usurper leur chemin à travers la sécurité à l'avenir.
Les mots de passe, on le sait disparaîtront progressivement d’ici 2025 et pour sécuriser l'authentification totalement il faudrait, rappelons le, faire appel à deux sources d'identification. C’est dans ce sens que la technologie de biométrie comportementale et d’authentification à deux facteurs sont à la hausse comme des alternatives plus sûres, selon une étude de 600 professionnels en sécurité de l’opérateur de téléphonie mobile ID TeleSign.
La société Nuance est assez catégorique sur la fiabilité de la technologie "Nous analysons une centaine de caractéristiques dans la voix. Certaines sont physiques, comme la fréquence d'un son. D'autres sont comportementales, comme le débit ou l'accent. Nous sommes donc capables de nous adapter aux variations résultant, par exemple, d'un rhume ou du vieillissement", explique Joël Drakes responsable avant-vente.
Tout le monde n'est pas de cet avis. L'Association Francophone de la Communication Parlée, par exemple, va jusqu'à dénoncer le "mythe de l'empreinte vocale". Pour ces scientifiques, les variations de la voix dépendent de beaucoup trop de facteurs - l'émotion notamment - pour pouvoir être mises en équation. Plusieurs de leurs travaux ont montré la sensibilité des extraits choisis sur la pertinence de la reconnaissance. Sans compter que la voix peut être modifiée volontairement et même falsifiée par un imitateur ou avec des enregistrements.
Peut-on considérer que ce genre de technologies vont se développer par la suite ?
A terme la biométrie vocale sera à mon sens le moyen le plus sûr de s'identifier à distance et d'ici trois ou quatre ans, l'authentification vocale pourrait même devenir une fonction standard dans le secteur.
L'inconvénient de ce système pour une banque comme pour une entreprise d’ailleurs est qu’elles auront besoin d'obtenir la permission des clients avant l'enregistrement des empreintes vocales.
En effet, dès 2018, un règlement sur la protection des données générales de l'Union Européenne exigera des organisations de dire quelles sont les données qu'elles recueillent sur vous, pour quelles fins, et d'obtenir votre consentement explicite.
Les banques ont bien sûr commencé à s'intéresser à cette technologie. Alors que Banque Accord avec BNP Paribas, Crédit Agricole et Crédit Mutuel, se sont associées pour tester la solution de paiement par authentification des empreintes digitales de Natural Security, La Banque Postale de son côté expérimente depuis 2 ans un système d'authentification par la voix qu'elle souhaitait généraliser en 2015.
Ainsi on peut citer l’exemple de l'application "Talk to Pay", qui se déclenche dès qu'elle détecte une page de paiement. Le client reçoit alors un coup de téléphone pour s'authentifier vocalement. Cette étape permet au système de générer un code à trois chiffres à usage unique (le CVV) et de remplir automatiquement les données cartes sur la page paiement de l'e-commerçant.
D’autres banques comme Atom Bank au Royaume-Uni et aux États-Unis, par exemple - demandent de nouveaux clients d'enregistrer leur voix, le visage et le code d'accès, et leur laisse lequel choisir.
La technologie est aujourd'hui mature avec une vingtaine de fournisseurs reconnus comme Agnitio, Nuance, ValidSoft, VoiceVault, VoiceTrust ou encore Verint.
Les idées ne manquent pas pour implanter cette technologie dans nos sociétés ne serait-ce qu'en pensant aux paramètres vocaux, aux distributeurs de boissons et à toute notre administration, notre industrie automobile et hôtelière, par exemple, dont les services ont de quoi innover avec la biométrie vocale.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !