La vérification de l’identité en ligne, via le stockage et l’utilisation de données issues de documents d’identité physique, de selfies ou de vidéos (du document ou du visage) facilite les usages numériques mais engendre de nouveaux risques. Avec l’arrivée prochaine de l’identité numérique, il devient essentiel de changer de vision afin de prévenir au mieux la fraude.
Depuis le 11 septembre 2001, véritable événement cathartique, les documents d’identité et leur contrôle sont devenus des éléments clés de la sécurité des États et de leurs citoyens. Passeports et cartes d’identité doivent pleinement jouer leur rôle : assurer que la personne en possession de la pièce d’identité est bien celle qu’elle prétend être. Pour y parvenir, de nombreux éléments de sécurité électroniques (MRZ, NFC, puces, 2D-Doc) et des données biométriques de la personne (empreintes digitales, iris, voix, visage voire démarche) ont été ajoutés. Malgré tout, la fraude à l’identité n’a jamais faibli et a même explosé pendant la pandémie de Covid. Selon la FTC (Federal Trade Commission), les incidents liés à l’usurpation d’identité ont augmenté d’environ 45 % en 2020. Comment l’expliquer ?
Le numérique réinvente les processus de vérification d’identité à distance
Le contrôle d’identité réalisé en face à face est considéré par les régulateurs comme la référence en matière de vérification dans le cadre de la procédure KYC (Know Your Customer), permettant aux entreprises de vérifier l’identité de leurs clients, conformément aux exigences réglementaires en vigueur. Les plateformes de solutions doivent calquer les méthodes de contrôle du monde physique et les reproduire dans le monde numérique, la puissance de l’intelligence artificielle et du deep learning en plus. La vérification d’identité en ligne s’est donc largement complexifiée, depuis la vérification automatique des attributs (nom, prénom, date de naissance…), à la lecture des éléments de sécurité (NFC), et l’analyse de photos et vidéos (du visage et/ou du document). En quelques secondes, les solutions réalisent plusieurs dizaines de contrôles électroniques incluant l’analyse comparative des photos et vidéos des documents d’identité avec les photos ou vidéos des visages des utilisateurs transférées par ces derniers.
En mimant la vérification d’identité du monde physique, les plateformes permettent aisément aux utilisateurs comme aux entreprises le passage d’un monde à l’autre et sont partie prenante de la numérisation profonde de nos usages. Mais le stockage et l’utilisation de données d’identité extraites de documents physiques amènent de nouveaux risques et ouvrent de nouvelles possibilités pour les fraudeurs. Alors comment s’en prémunir et anticiper leur avancée technologique ?
Les cybercriminels professionnalisent leurs techniques d’usurpation
L’usurpation d’identité représente le fait de collecter les informations personnelles d’un individu et de les utiliser pour effectuer des actes, plus ou moins criminels, en simulant son identité. Plusieurs types de fraude existent, dont la fraude documentaire, qui consiste en la contrefaçon, la falsification ou encore le vol de documents vierges afin d’être personnalisés ; le deep face (ou encore le deep voice) d’une personne ciblée sur des photos ou vidéos.
Derrière un écran ou à distance, la fraude est, elle aussi, devenue numérique et le travail des fraudeurs a été largement facilité. Ils n’ont plus besoin de produire physiquement de faux documents, les ressources nécessaires à l’usurpation digitale (photos ou vidéos de titres d’identité, documents officiels volés) sont aujourd’hui disponibles et accessibles en quelques clics, sur le dark web. Ils peuvent aussi facilement industrialiser leurs attaques à toute heure du jour ou de la nuit. Entre mars et juin 2021, en plein confinement, une augmentation de près de 180% de fraude documentaire a été constatée.
Pour se défendre, il convient d’adopter une vision commune à tous, volonté forte défendue par la Commission européenne. Plusieurs travaux sont engagés au niveau communautaire, dont celui de l’ETSI (European Telecommunications Standards Institute) qui travaille sur un standard d’exigences applicables aux prestataires de vérification d’identité à distance et qui vise à uniformiser la vérification de l’identité et à garantir la même sécurité pour tous : citoyens et entreprises. Dans la même lignée, la France, pionnière en Europe, s’est dotée d’un référentiel d’exigences applicables aux prestataires de vérification d’identité à distance (PVID).
Adopter une nouvelle approche centrée sur l’utilisateur et son environnement
Ces nouveaux risques amenés par le numérique doivent être réduits au maximum, par la technologie. Et pour répondre aux enjeux de demain, il devient primordial de passer d’une approche centrée sur le document d’identité et les informations qu’il abrite à une approche centrée sur l’utilisateur et l’environnement dans lequel il évolue. Contrôler le document n’est qu’une étape de la vérification d’identité, à laquelle il faut ajouter la vérification d’éléments identifiants supplémentaires tels que le comportement numérique de l’utilisateur, la vérification des dispositifs électroniques.
Cela signifie ne pas uniquement se focaliser sur les éléments constitutifs de l’identité d’une personne, mais également sur l’appareil qu’elle utilise pour effectuer sa démarche : quel smartphone, la taille de l’écran, sa résolution, est-ce le même que d’habitude ? Si l’appareil semble différent, un e-mail de confirmation ou une demande de connexion sécurisée est envoyé. Ce n’est qu’en multipliant les couches de sécurité, en intégrant plusieurs types de vérifications dans un seul processus et dans le même laps de temps, que les défenseurs pourront contrer les attaquants.
Cette question de la protection est essentielle à l’heure où l’Europe annonce qu’elle souhaite accélérer sur l’EU Wallet et son uniformisation à tous les pays de l’union. L’objectif poursuivi est de permettre au citoyen de sélectionner les données qui sont nécessaires au moment où il en a besoin et ne pas divulguer les autres.
___________________
Par Lovro Persen, directeur de la Gestion documentaire et fraude, ARIADNEXT by IDnow