Devant la CNIL, le Crédit du Nord et la BPCE font le pari de la reconnaissance vocale

Devant la CNIL, le Crédit du Nord et la BPCE font le pari de la reconnaissance vocale

Il était une voix...

Avatar de l'auteur
Marc Rees

Publié dans

Internet

29/05/2017 5 minutes
15

Devant la CNIL, le Crédit du Nord et la BPCE font le pari de la reconnaissance vocale

La CNIL vient d’autoriser neuf banques à expérimenter pour un an un dispositif d’authentification de clients par reconnaissance vocale. Il s'agit de la BPCE d'un côté et des établissements du groupe Crédit du Nord de l'autre, en partenariat avec la Société générale.

Le déploiement des services à distance conduit le secteur bancaire à trouver de nouvelles solutions pour améliorer le confort de ses clients. En témoigne l’an passé le feu vert accordé à la Banque Postale pour mettre en œuvre Talk-to-Pay, une authentification vocale pour le paiement à distance.

Neuf autres banques ont saisi la CNIL pour se voir autoriser à déployer un an durant, un système d’authentification auprès de plusieurs clients, basé sur la reconnaissance vocale. « L’objectif de ce dispositif, résume la Commission, est de sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites ‘de sécurité’ ». 

Un test et un bilan répertoriant notamment le taux de fausses acceptations

Les banques font le pari d’un système plus simple tout en étant fiable pour protéger les précieuses données. De son côté, l’autorité de contrôle note que « ces projets satisfont les exigences (…) en matière d’expérimentation ».

Le mécanisme sera soumis au consentement préalable du client, pour une durée limitée et un périmètre restreint. Il doit respecter plusieurs garanties en matière de confidentialité.

Enfin, l’expérimentation sera suivie par un bilan qui relatera notamment le taux de participation, et le temps moyen d’authentification, les éventuels dysfonctionnements, et leurs causes, le taux de fausses acceptations ou de faux rejets. Les responsables du traitement devront alors décrire les suites envisagées : amélioration, abandon, nouvelle expérimentation, mise en œuvre à titre permanent.

BPCE, Crédit du Nord et un partenariat avec la Société générale

Quels sont les établissements concernés ? Il s’agit d’une part de la BPCE (Banque populaire, Caisse d’épargne) et d’autre part, le Crédit du Nord et toutes les sociétés du groupe : la Banque Tarneaud, la Société Marseillaise de Crédit, la Banque Laydernier, la Banque Courtois, la Banque Nuger, la Banque Kolb et la Banque Rhône-Alpes.

En partenariat avec la Société Générale, les clients de ce deuxième ensemble « pourront accéder aux services bancaires à distance en s’authentifiant par leur voix en contactant un numéro de téléphone dédié les mettant en relation avec un serveur vocal interactif spécifique du centre d’appels du groupe Crédit du Nord intitulé Prosodie ». L’utilisateur « pourra également s’authentifier par biométrie vocale lors d’un appel direct à son conseiller multimédia qui le redirigera vers le serveur vocal ».

VocalPassword de Nuance et Secure Call d'Alias Lab

Dans toutes les délibérations, le système repose sur la solution de reconnaissance vocale développée par Nuance Communications, VocalPassword, et parfois sur le dispositif Secure Call commercialisé par Alias Lab.

Quantitativement, l’expérimentation sera plus vaste au Crédit du Nord puisqu’elle visera en tout 8 000 personnes. À la BPCE, elle sera mise en œuvre auprès de 400 clients des Caisses d’Epargne Lorraine Champagne-Ardenne et Rhône-Alpes, dont 200 « qui exercent une profession libérale », histoire de prendre le pouls sur cette catégorie professionnelle.

Des gabarits conservés chiffrés à la SG ou chez Telecom Italia Sparkle Grèce

Dans son communiqué, la CNIL a tenu à rappeler sa préférence sur « les dispositifs qui garantissent à la personne concernée de garder la maîtrise de son gabarit. Cela suppose de stocker le gabarit biométrique sur un support détenu par la seule personne concernée, ou en base de données sous une forme inexploitable, car illisible sans un secret détenu par la seule personne concernée ». Une problématique qui avait déjà été rencontrée avec le fichier biométrique TES des cartes nationales d’identité et des passeports.

Dans le partenariat Banque Populaire, la base des gabarits sera conservée chiffrée dans les locaux de la Société générale. Pour la BPCE, cette conservation aura lieu chez la société Telecom Italia Sparkle Grèce. Dans tous les cas, « l'accès à ces locaux est restreint aux seules personnes autorisées au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel ».

Une étude d'impact en mode RGPD

Pour la Commission, « ces expérimentations constituent des opportunités de tester le niveau global de risques en matière de sécurité et de confidentialité des données ». De fait, son feu vert à l’expérimentation ne présage en rien du sort à l’issu de cette année de test.

D’ailleurs, doigt sur le calendrier, l’autorité rappelle aux responsables de traitement qu’en 2018, la mise en œuvre du règlement général sur la protection des données personnelles leur imposera d’accompagner le dispositif d’une étude d’impact. L’article 35-3 du RGPD impose une telle analyse d’impact pour les traitements à grande échelle de catégories particulières de données, parmi lesquelles les données biométriques aux fins d’identifier une personne physique de manière unique. 

15

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un test et un bilan répertoriant notamment le taux de fausses acceptations

BPCE, Crédit du Nord et un partenariat avec la Société générale

VocalPassword de Nuance et Secure Call d'Alias Lab

Des gabarits conservés chiffrés à la SG ou chez Telecom Italia Sparkle Grèce

Une étude d'impact en mode RGPD

Commentaires (15)


Moi ça me plaie, c’est plus facile d’obtenir un échantillon de voix que de couper un doigt (et puis c’est mieux pour la victime).


Moi aussi ça me plaie quand on me coupe un doigt <img data-src=" />



Plus sérieusement, je me demande ce que le test va donner… De mon point de vue, beaucoup de voix se ressemblent, et une même personne a d’énormes variations de voix. Curieux d’en savoir plus sur ce dont un ordinateur est capable à ce niveau-là !








Loufute a écrit :



Plus sérieusement, je me demande ce que le test va donner… De mon point de vue, beaucoup de voix se ressemblent, et une même personne a d’énormes variations de voix. Curieux d’en savoir plus sur ce dont un ordinateur est capable à ce niveau-là !



Faut pas être enrhubé ou avoir une extinction de voix <img data-src=" />



Donc quant tu as un rhume tu ne peux plus accéder à ton compte bancaire <img data-src=" />


Donc c’est trop compliqué de demander aux crétins du gouvernement d’appliquer les garde-fous qu’ils imposent aux banques?








ProFesseur Onizuka a écrit :



Donc quant tu as un rhume tu ne peux plus accéder à ton compte bancaire <img data-src=" />





Toujours le même débat



Hint: quand tu as le doigt coupé tu peux quand même déverrouiller ton smartphone, et même avec une cagoule tu peux déverrouiller ton ordi



Tu utiliseras CandyVoicepour dépanner dans ce cas là.


Ah, j’ai retrouvé où je l’avais entendu : un exemple de ce que l’on peut faire en synthèse vocale actuellement


Il sera intéressant de voir comment cela sera mis en place. Deux problématiques me viennent à l’esprit. D’une part, il est possible de synthétiser la voix de quelqu’un ; Adobe en a fait la démonstration avec son VoCo (à venir). D’autre part, tous les appels téléphoniques semblent désormais enregistrés pour “améliorer la qualité de service” : quid de l’identification ?


J’ai fait aussi une expérimentation dans ma boîte, sur 500 utilisateurs internes (avec déclaration CNIL aussi). Grosso modo la précision est d’environ 1 pour 100, selon les réglages. Ca peut aussi être 1 pour 1000 mais dans ce cas il y a beaucoup plus de rejets à tort (“faux négatifs”, c’àd des personnes légitimes qui n’arrivent pas à s’authentifier).



Après faut voir ce qu’on veut : empêcher les fraudeurs à tout prix au risque de pénaliser les utilisateurs légitimes, ou faciliter l’expérience utilisateur au risque de laisser passer de temps en temps un fraudeur (“faux positifs”, si je ne me trompe pas dans le sens des “faux”).









jackjack2 a écrit :



Donc c’est trop compliqué de demander aux crétins du gouvernement d’appliquer les garde-fous qu’ils imposent aux banques?



Ca ne veut rien dire ta phrase. Le garde fou c’est la CNIL, banque ou pas, gouvernement ou pas.







bilbonsacquet a écrit :



Faut pas être enrhubé ou avoir une extinction de voix <img data-src=" />



On a regardé aussi ce cas de figure, être enrhumé ne change quasiment rien à l’authentification, qui se base sur plusieurs caractéristiques de la voix.







Z-os a écrit :



Ah, j’ai retrouvé où je l’avais entendu : un exemple de ce que l’on peut faire en synthèse vocale actuellement



Oui effectivement il y a beaucoup de progrès de ce côté là, tout comme dans la photographie (empreinte digitales, iris). Enregistrer une voix est très facile.



Le principal problème de la biométrie est qu’en cas de compromission (vol ou reproduction), vous ne pouvez pas changer d’empreinte ou de voix. Donc votre caractéristique est compromise à vie et sur tous les systèmes l’utilisant.



Donc la biométrie a de l’intérêt mais sûrement pas pour de l’authentification dans les systèmes informatiques (ou marginalement et en complément d’autres systèmes d’authentification). Avis personnel sans aucun lien avec la position de mon employeur.



Note : le bilan de l’expérimentation est exigé systématiquement par la CNIL.




le vocal c’est tellement has been.

ils auraient pu passer aux ondes cérébrales directement.








janiko a écrit :



Ca ne veut rien dire ta phrase. Le garde fou c’est la CNIL, banque ou pas, gouvernement ou pas.





Et en l’occurrence le gouvernement s’est assis sur les recommandations de la CNIL sur la façon de gérer les données biométriques dans le TES



Entreprises privées veulent faire du biométrique : accord de la CNIL obligatoire

Gouvernement veut faire du biométrique : lol balec yolo









janiko a écrit :



Le principal problème de la biométrie est qu’en cas de compromission (vol ou reproduction), vous ne pouvez pas changer d’empreinte ou de voix.





rooooh un bon coup dans le larynx, ça se fait <img data-src=" />



(merci pour le témoignage, cela dit)

Vous avez également fait des tests avec des voix enregistrées ? (d’ailleurs, est-ce qu’il existe un moyen pour différencier une voix “en live” d’un enregistrement ?)



En Belgique, il y un imitateur qui a déverrouillé l’iphone (avec Siri) du premier ministre pour essayer de &nbsp;contacter Obama.



ça a marché, mais pas avec Obama car pas dans le répertoire.








WereWindle a écrit :



Vous avez également fait des tests avec des voix enregistrées ? (d’ailleurs, est-ce qu’il existe un moyen pour différencier une voix “en live” d’un enregistrement ?)





Oui, il y a des moyens, mais pas infaillibles. Le plus efficace est d’authentifier durant une conversation courante (je crois que c’est le type d’authentification que testera le Crédit du Nord), de faire répéter la phrase ou le mot servant d’authentification (le système peut détecter le rejeu car il y a trop de ressemblances dans les 2 tentatives)… mais un fraudeur trouvera très souvent des contournements.



Pour l’histoire de l’imitateur belge, je n’y crois pas trop : les caractéristiques intrinsèques sont différentes. Même si à l’oreille ça se ressemble, une machine verra beaucoup de différences.



Par contre on n’a pas testé de voix de synthèse, mais apparemment ça commence à être de qualité suffisante pour tromper les systèmes vocaux, cf https://www.uab.edu/news/innovation/item/6532-uab-research-finds-automated-voice-imitation-can-fool-humans-and-machines.







jackjack2 a écrit :



Entreprises privées veulent faire du biométrique : accord de la CNIL obligatoire

Gouvernement veut faire du biométrique : lol balec yolo





Oui, la loi est ainsi faite, et heureusement que l’Etat peut avoir plus de pouvoir qu’une entreprise (ou plutôt qu’une entreprise ait moins de pouvoir que l’Etat), surtout dans ses prérogatives régaliennes. On peut déplorer que pour l’Etat français la CNIL ne puisse que donner un avis que le gouvernement n’est pas obligé de suivre, maisc’est le cas pour d’autres commissions ou organismes (comme le Comité consultatif national d’éthique, le CNNun, le Conseil d’Etat dans certains cas, etc).