Violation de Mercor : 4 To d'échantillons vocaux et de pièces d'identité volés – Ce que les attaquants peuvent faire maintenant

Le 4 avril 2026, le groupe d'extorsion Lapsus$ a publié Mercor sur son site de fuite. La fuite fait environ quatre téraoctets, regroupant des données biométriques vocales associées à des documents d'identité gouvernementaux de plus de 40 000 sous-traitants qui ont étiqueté des données, enregistré des lectures de passages et effectué des appels de vérification pour l'entraînement de l'IA.

Pourquoi cette fuite est différente

La plupart des fuites vocales se répartissent en deux catégories : les enregistrements de centres d'appels sans identification facile, ou les fuites de documents d'identité sans audio. Mercor a fusionné les deux. Le processus d'intégration des sous-traitants demandait un scan de passeport ou de permis de conduire, un selfie via webcam, puis un enregistrement vocal assis lisant des prompts scriptés. Cette séquence est exactement ce dont un service de clonage vocal synthétique a besoin comme entrée. Le clonage vocal de haute qualité nécessite désormais environ 15 secondes d'audio de référence propre — les enregistrements de Mercor durent en moyenne 2 à 5 minutes de parole propre comme en studio par sous-traitant, associés à une pièce d'identité vérifiée.

Ce que les attaquants peuvent faire

Ces modèles de menace sont déjà documentés dans la nature :

• Contournement de la vérification bancaire : Plusieurs banques américaines et britanniques utilisent l'empreinte vocale comme l'un des deux facteurs. Un clone lisant une phrase de défi franchit la porte audio, ne laissant qu'une question de connaissance issue du même ensemble de données fuite.
• Vishing auprès de l'employeur de la victime : Appeler les RH ou la finance en se faisant passer pour l'employé pour rediriger la paie, demander un virement ou déverrouiller un poste de travail. Krebs on Security recense plus de deux douzaines de cas confirmés depuis 2023.
• Appels vidéo deepfake (modèle Arup) : En 2024, un employé financier d'Arup a viré environ 25 millions de dollars après un appel vidéo deepfake multipersonnes construit à partir de séquences publiques — les fuites de Mercor fournissent un audio studio ainsi qu'une pièce d'identité vérifiée.
• Fraude aux réclamations d'assurance : Pindrop a signalé une augmentation de 475 % en glissement annuel des attaques vocales synthétiques contre les centres d'appels d'assurance en 2025.
• Escroqueries sentimentales et au grand-parent : Le FBI IC3 a enregistré 2,3 milliards de dollars de pertes pour les victimes de 60 ans et plus en 2026 ; la catégorie à la croissance la plus rapide était les appels d'usurpation d'identité en urgence.

Comment vérifier si votre voix est utilisée abusivement

Si vous avez téléchargé un échantillon vocal sur Mercor ou tout autre courtier d'entraînement IA avant 2025, traitez votre voix comme un mot de passe fuité. Vous ne pouvez pas la changer, mais vous pouvez modifier ce qu'elle déverrouille :

• Auto-auditionnez votre empreinte audio publique : cherchez sur YouTube, les répertoires de podcasts et les anciens enregistrements Zoom des échantillons de votre voix. Supprimez ce que vous pouvez.