Le groupe d'extorsion Lapsus$ a publié le 4 avril 2026 un fichier de quatre téraoctets contenant les données biométriques de plus de 40 000 collaborateurs de Mercor, une plateforme qui recrute des contractuels pour entraîner des modèles d'intelligence artificielle. La fuite inclut des enregistrements vocaux, des scans de documents et des selfies de vérification, ce qui a déclenché cinq recours collectifs en dix jours pour absence d'avertissement concernant l'utilisation des empreintes vocales comme identifiant biométrique permanent.
Clonage vocal avec quinze secondes d'échantillon 🎙️
Le risque technique réside dans le fait que le clonage vocal de haute qualité ne nécessite que quinze secondes d'audio propre pour répliquer une identité vocale. Les enregistrements de Mercor, qui durent entre deux et cinq minutes dans des conditions optimales, fournissent suffisamment de matière pour générer des modèles de voix synthétique. Cela transforme chaque fichier en un vecteur d'usurpation, sans que les personnes concernées puissent révoquer leur empreinte vocale. La biométrie vocale manque de mécanismes de changement, contrairement aux mots de passe ou aux jetons physiques, ce qui amplifie le préjudice potentiel face aux extorsions ou aux fraudes téléphoniques automatisées.
Ta voix n'est plus à toi, c'est un fichier d'entraînement 🤖
Le plus curieux dans cette affaire est que les personnes concernées travaillaient à entraîner des modèles d'IA, et ce sont maintenant eux qui servent d'ensemble de données involontaire pour une autre forme d'intelligence artificielle. Mercor leur a demandé de parler clairement pour améliorer des algorithmes, mais a oublié de mentionner que leur voix ne serait plus jamais privée. Avec quinze secondes d'enregistrement, n'importe quel script open source peut imiter un contractuel demandant un prêt. Au moins, si on leur vole le visage avec les selfies, ils peuvent porter des lunettes de soleil ; pour la voix, il ne reste que le silence.