Au bout du fil, une voix extrêmement posée et professionnelle se présente comme appartenant au service de cybersécurité de la plateforme de cryptomonnaies Binance.
Son objectif affiché ? Sécuriser mon compte suite à une prétendue connexion suspecte. Pendant près de 10 minutes, mon interlocuteur déroule un argumentaire redoutablement bien ficelé.
Pour me mettre en confiance, il utilise mes données personnelles : nom, prénom, et adresse e-mail exacte. Il justifie même sa connaissance de mon dossier en évoquant la récente fuite de données de l’opérateur Free, m’expliquant que mes informations ont été compromises à cette occasion (ce qui est vrai) et qu’il faut agir vite.
Bref, le pirate se sert d’un incident réel de cybersécurité pour asseoir sa propre crédibilité.
Après avoir procédé à une fausse « authentification » de mes e-mails, le ton devient soudain plus grave. Le faux conseiller m’annonce qu’il doit réinitialiser mes identifiants de compte, mais que cette manipulation risque d’« écraser mon wallet » (mon portefeuille de cryptomonnaies).
Sentant le piège grossier se refermer, je lui répond avec détachement qu’il peut écraser le wallet sans aucun problème. Décontenancé par ma réaction, mon correspondant immédiatement raccroche.
Le mystère des 10 minutes au téléphone
Intrigué, je file sur le web et tape ce fameux numéro en 01 sur Google. Sans surprise, je tombe sur des quantités de discussions sur Reddit relatant exactement la même arnaque.
Mais un détail continue me poser question. Pourquoi ce pirate a-t-il passé 10 longues minutes à me rassurer et à me faire parler, alors que la finalité semblait vouée à l’échec face à un compte dépeuplé ?
Pour en avoir le cœur net, j’ai interrogé Miguel Fornes, expert en cybersécurité chez SurfShark. Et son analyse fait froid dans le dos. Selon lui, il est fort possible que la finalité de cet appel n’ait pas été un simple vol de cryptomonnaies. Mais une tentative de clonage vocal.
« Le fait que le hacker soit resté au téléphone aussi longtemps peut paraître surprenant mais en fait pas vraiment », m’explique le spécialiste. « De plus en plus de cybercriminels utilisent des clones vocaux à des fins d’escroquerie. […] il est possible que le pirate laisse parler la victime pour récolter un maximum d’échantillons de voix ».
L’objectif final ? Contacter ensuite mes proches en utilisant ma voix clonée, par exemple pour leur soutirer de l’argent en évoquant une fausse urgence.
Le clonage vocal par IA : une menace devenue invisible et accessible
Et de fait, l’hypothèse de Miguel Fornes est plus que crédible. La technologie de l’intelligence artificielle a fait des bonds spectaculaires : selon une étude de McAfee, il suffit désormais de seulement trois secondes d’audio pour reproduire le profil vocal d’un individu.
Et les pirates se jettent sur ces outils génératifs qui pullulent en ligne.
Une récente évaluation menée par Consumer Reports a d’ailleurs épinglé plusieurs grands noms du secteur (comme ElevenLabs, Speechify, PlayHT ou Lovo) qui ne disposent d’aucun mécanisme technique empêchant le clonage de la voix d’une personne à son insu. La protection s’y limite souvent à une simple case à cocher pour confirmer que l’on possède les droits sur la voix.
Pire encore, les modèles d’IA de nouvelle génération ne se contentent plus de cloner un timbre de voix : ils sont capables de simuler les émotions, comme les pleurs, la nervosité ou la panique.
C’est l’arme absolue pour l’ingénierie sociale. Imaginez la réaction de l’un de vos proches s’il vous entend sangloter au téléphone, vous suppliant de lui envoyer un mandat international en urgence. L’émotion prend alors immédiatement le pas sur le jugement rationnel.
Comment se protéger face à ces nouvelles arnaques ?
Cette expérience m’a servi de leçon. Bitdefender souligne d’ailleurs qu’une simple réponse à un appel silencieux (ou l’engagement d’une conversation) confirme aux pirates que votre numéro est actif et prêt à être exploité pour du vishing (hameçonnage vocal) ou du clonage.
Comment lutter contre les tentatives de clonage vocal ?
Voici les nouveaux réflexes à adopter, recommandés par les experts en sécurité :
Ne parlez pas en premier : Face à un numéro inconnu, laissez l’interlocuteur engager la conversation. Ne dites pas « Allo ? » dans le vide. Méfiez-vous des voix familières : À l’ère de l’IA, une voix connue n’est plus une preuve d’identité suffisante. Instaurez un « mot de passe » familial ou professionnel : Mettez en place un mot-clé ou un code secret avec vos proches et vos collaborateurs pour vérifier leur identité lors d’une transaction financière ou d’une demande d’aide inhabituelle. Raccrochez et rappelez : En cas de demande urgente d’un « proche », raccrochez et rappelez-le sur son numéro habituel, ou initiez un appel en visioconférence.
La prochaine fois qu’un soi-disant conseiller technique très professionnel vous tiendra la grappe pendant 10 minutes au téléphone, posez-vous la question : en veut-il à votre portefeuille, ou à votre voix ?
Source:
www.zdnet.fr
