4TB of voice samples just stolen from 40k AI contractors at Mercor
Le 4 avril 2026, le groupe d'extorsion Lapsus$ a publié un dump nommé Mercor contenant environ 4 téraoctets de données associant des enregistrements vocaux et des pièces d'identité pour plus de 40 000 sous-traitants. La combinaison d'extraits audio propres de deux à cinq minutes et de copies de permis ou passeports permet désormais de générer des clones vocaux convaincants utilisables avec une identité vérifiée. Des techniques documentées incluent le contournement de vérifications bancaires vocales, des campagnes de vishing pour détourner des fonds ou accès, des appels vidéo deepfake pour autoriser des virements, des fraudes aux assurances et des escroqueries émotionnelles ciblant des proches. Les recommandations pratiques sont d'auditer et réduire son empreinte audio publique, d'établir un mot de passe verbal avec les contacts financiers et familiaux, de supprimer ou réenrôler les empreintes vocales auprès des services, de demander aux banques de désactiver la reconnaissance vocale et de soumettre tout enregistrement suspect à un scan médico-légal; ORAVYS propose trois vérifications gratuites pour les victimes de Mercor. Les analystes forensiques recherchent des artefacts techniques (incohérence de codec, schémas de respiration, micro‑vibrations, trajectoires de formants, réverbération, prosodie et rythme) et ORAVYS combine plus de 3 000 moteurs, détection de watermark, module anti‑spoofing et traitement conforme au RGPD pour évaluer l'authenticité des échantillons.