Google veut authentifier vos appels : du TLS pour le téléphone

Quand le caller ID affiche "Maman" mais que c'est un escroc avec une voix clonée, le problème n'est plus l'inconnu. C'est le connu.

Google vient de sortir une parade sur Android, et le principe technique mérite qu'on s'y arrête deux minutes.

C'est quoi exactement ?

Google déploie la détection de faux appels dans Phone by Google. Le rollout est mondial, ce mois-ci, sur les appareils Android 12 et plus, en commençant par les Pixel.

La feature est activée par défaut et tourne en arrière-plan. Vous n'avez rien à configurer.

Le contexte est simple. Les gens ne décrochent plus aux numéros inconnus. Donc les escrocs changent de tactique :

• Ils spoofent un numéro de confiance (votre banque, un proche, votre employeur).
• Ils collent une voix deepfake par-dessus pour avoir l'air d'une figure d'autorité ou d'un membre de la famille.
• Ils demandent un virement pour une fausse urgence.

Le scénario type que cite Google : un appel marqué "Maman", la voix de votre mère au bout du fil, sauf que c'est un outil d'IA qui demande de l'argent.

Comment ça marche techniquement ?

Google appelle ça une "poignée de main numérique entre appareils". Pour un dev, c'est une description qui parle.

Le flow est le suivant :

• Un contact vous appelle, vous êtes tous les deux sur Phone by Google.
• Son téléphone envoie un signal de confirmation silencieux au vôtre.
• Ce signal sert à vérifier que l'appel vient bien de son appareil à lui.

Et si un escroc tente de se faire passer pour ce contact, le signal initial est tout simplement absent.

À ce moment-là, votre téléphone ne se contente pas de hausser les épaules. Il ping l'appareil réel du contact pour double-checker. Si le vrai téléphone répond "je ne suis pas en train d'appeler", vous recevez un warning à l'écran qui vous dit de raccrocher.

La vérité c'est que ce design ressemble beaucoup à une logique de challenge-response. On ne fait pas confiance à ce que l'appel prétend être. On demande à la source supposée de prouver qu'elle est bien à l'origine de l'appel. Pas de preuve, pas de confiance.

C'est exactement le raisonnement d'une authentification d'origine. Le caller ID seul, c'est une donnée déclarative que n'importe qui peut falsifier. Le handshake, c'est la couche de vérification par-dessus.

Pourquoi RCS change la donne

Le point qui m'intéresse le plus est là. Google a construit la feature au-dessus de RCS (Rich Communication Services).

Conséquence directe : d'autres apps et d'autres entreprises peuvent adopter la techno.

Si Google avait gardé ça en silo Pixel ou en silo Phone by Google, l'effet aurait été marginal. Une protection qui ne marche qu'entre deux utilisateurs de la même app fermée, ça ne protège personne à l'échelle.

En posant la brique sur RCS, Google la rend interopérable au moins en théorie. RCS est un standard porté par la GSMA, pas un format propriétaire enfermé. C'est le même mouvement qui a fini par forcer iMessage à parler RCS.

Donc la question légitime devient:

est-ce que l'écosystème va adopter le mécanisme de vérification d'origine comme un standard ?

Ce que ça vaut, et ses limites

Soyons clairs sur le périmètre, parce que l'annonce est plus modeste qu'elle n'en a l'air.

Les limites que je vois :

• Ça ne marche que si les deux interlocuteurs sont sur Phone by Google. Hors de cet écosystème, pas de handshake, pas de protection.
• Ça vérifie l'origine de l'appel, pas le contenu. Un escroc qui appelle depuis son propre numéro avec une voix clonée passe le test d'origine sans souci.
• C'est une réponse au spoofing de numéro, pas au deepfake vocal en soi. Le titre marketing parle d'IA, mais la techno traite surtout l'usurpation d'identité du numéro.

Ce qui ne retire rien à l'intérêt. Le spoofing reste le vecteur qui rend le deepfake crédible : sans le bon numéro affiché, la voix clonée tombe à plat. Couper la jambe du spoofing, c'est affaiblir toute la chaîne d'attaque.

Le reste du lot Android

Google a glissé la feature au milieu d'autres annonces, histoire de meubler le communiqué :

• Google Photos catalogue vos vêtements depuis vos photos pour les essayer virtuellement. Rollout aux US, en Inde et au Brésil sur Android 10+.
• Google Play Books ajoute un "Catch me up" qui résume où vous en étiez dans une histoire, avec questions sur un passage surligné.
• Circle to Search sait maintenant chercher une tenue entière d'un coup au lieu de pièce par pièce.

Du confort produit, rien qui change le métier.

Ce qu'il faut retenir

L'idée forte n'est pas "Google bloque les arnaques deepfake". C'est qu'on commence à mettre de l'authentification d'origine sur la voix, comme on a mis du TLS sur le web il y a vingt ans.

Le téléphone a longtemps fonctionné sur un modèle de confiance par défaut : le réseau te dit qui appelle, tu le crois. Ce modèle est mort le jour où le spoofing est devenu trivial et le clonage vocal accessible.

La vraie bataille des prochaines années, c'est de savoir qui imposera le standard de vérification, et s'il restera ouvert. Google pose une brique sur RCS. Reste à voir qui construit le reste du mur.