Pourquoi les grandes banques choisissent la biométrie pour la récupération des comptes : Leçons tirées de la transformation de la sécurité de la banque Raiffeisen

Les processus de récupération des comptes représentent souvent l'un des maillons les plus faibles de la sécurité numérique. Alors que les organisations investissent massivement dans la sécurisation de leurs flux d'authentification primaires, les mécanismes de récupération s'appuient souvent sur des méthodes qui se sont avérées facilement compromises et que les criminels exploitent activement :

• Questions de sécurité pouvant faire l'objet de recherches dans les médias sociaux
• Les codes SMS sont vulnérables à l'échange de cartes SIM
• Des processus de récupération des courriels qui supposent que des comptes et des appareils non compromis sont en place.

Les tentatives de reprise de compte Les tentatives de piratage ciblent de plus en plus les flux de récupération comme la voie de la moindre résistance. Les clients des banques abandonnent souvent les processus de récupération complexes, ce qui entraîne une augmentation des coûts d'assistance lorsque les organisations gèrent des interventions manuelles.

Ce blog explore la manière dont la biométrie basée sur la science peut assurer la sécurité de vos processus de récupération des comptes. et sûrs et conviviaux. À l'aide d'une étude de cas de la banque Raiffeisen, nous montrerons à quel point il peut être simple de permettre aux utilisateurs authentiques de récupérer leurs comptes sans effort, tout en empêchant les fraudeurs d'y accéder.

La crise du recouvrement des comptes : Une étude de cas réelle avec la banque Raiffeisen

La Raiffeisen Bank, un client d'iProov basé en République tchèque, dessert plus de 1,2 million d'utilisateurs actifs mensuels de services bancaires mobiles dans ce pays. La banque était confrontée à une réalité opérationnelle stupéfiante : environ 50 000 clients devaient réactiver leurs services bancaires mobiles chaque mois, soit 4 % de l'ensemble de sa clientèle.

Au départ, leur processus de récupération semblait solide. Les clients se connectaient aux services bancaires en ligne par SMS OTP, saisissaient un code PIN et activaient les services bancaires mobiles sur leur nouvel appareil. La procédure semblait sûre et pratique - jusqu'à ce que des criminels exploitent systématiquement sa faiblesse fondamentale.

Les fraudeurs ont lancé des campagnes d'ingénierie sociale sophistiquées, se faisant passer pour des responsables de banque et des policiers afin de convaincre les clients de leur fournir un accès aux services bancaires en ligne. Ils activaient ensuite à distance les services bancaires mobiles sur l'appareil de l'attaquant, ce qui permettait d'accéder directement aux comptes et de voler des fonds.

La première contre-mesure de Raiffeisen a consisté à ajouter des écrans d'avertissement explicites demandant aux clients de confirmer qu'ils souhaitaient réellement activer les services bancaires mobiles. La protection a duré exactement un mois avant que les criminels n'adaptent leurs scripts pour vaincre l'hésitation des clients.

Les attaques ont pris une telle ampleur que Raiffeisen a complètement désactivé l'activation des services bancaires à distance par internet en octobre 2022, obligeant tous les clients nécessitant une réactivation à se rendre dans les agences physiques - une solution pénible qui a entraîné des contraintes opérationnelles massives et la frustration des clients.

Pourquoi les méthodes traditionnelles de récupération échouent-elles ?

La situation de Raiffeisen a mis en lumière les vulnérabilités récurrentes des approches conventionnelles de récupération des comptes. Les méthodes traditionnelles présentent un défaut majeur : elles authentifient l'accès à divers facteurs de possession ou de connaissance plutôt que de vérifier la présence et l'identité réelles de la personne.

La biométrie native crée un problème supplémentaire souvent mal compris par les équipes de sécurité. Comme l'a découvert Dominic Forrest, directeur technique d'iProov, l'a découvert lorsque sa fille adolescente a enregistré son empreinte digitale sur son téléphone en utilisant son code PIN connu. lorsque sa fille adolescente a enregistré son empreinte digitale sur son téléphone en utilisant son code PIN connu : "Ce que vous prouvez en réalité n'est pas de la biométrie - c'est la preuve de la connaissance du code de déverrouillage du téléphone à un moment donné".

Résultats de la transformation de Raiffeisen

Travailler avec un spécialiste de l'intégration des services bancaires mobiles, Wultraet iProov, le meilleur fournisseur de liveness, Raiffeisen a mis au point un processus de réactivation complet qui valide la personne à travers plusieurs couches, formant 5 étapes IDV fondamentales :

1. Identification initiale du client (numéro de client et date de naissance)
2. SMS OTP pour la limitation des demandes
3. Vérification des documents nécessitant la numérisation de la carte d'identité ainsi que du passeport ou du permis de conduire
4. Détection Facial Dynamic Liveness™ pour garantir une présence authentique, en comparant l'utilisateur en direct aux photos du document.
5. SMS OTP final combiné à un jeton de vérification biométrique pour la conformité réglementaire

Voir le diagramme de processus "simplifié" ci-dessous :

L'ensemble du processus se fait à distance et s'achève en 80 secondes environ, et peut être exécuté immédiatement lorsque les clients ont besoin de lier de nouveaux appareils.

La réponse réside dans la création d'un climat de confiance envers la personne plutôt qu'envers l'appareil ou quelque chose qu'elle pourrait « savoir ». La vérification faciale fondée sur la science, soutenue par la technologie Dynamic Liveness et technologie Flashmark™, fournit une confirmation authentique de la présence, répondant à trois exigences essentielles : la bonne personne, une personne réelle, à l'instant présent.

Tout cela est pris en charge par la détection dynamique des menaces d'iProov grâce à notre centre des opérations de sécurité (iSOC) qui surveille en permanence le trafic à la recherche d'attaques et déploie plus de 120 mises à jour par an sans aucune interruption pour le client, offrant ainsi une sécurité en constante évolution.

Les résultats montrent des améliorations significatives en matière de sécurité et d'exploitation :

Renforcement de la sécurité :

• Taux de réussite de 97 à 98 % pour les clients légitimes qui procèdent à la vérification biométrique
• Un processus résistant à l'hameçonnage qui ne peut pas être achevé à distance par des attaquants dont les informations d'identification ont été compromises.
• Protection contre les les attaques par injection numérique et les attaques par présentation physique

Efficacité opérationnelle :

• 25 000 utilisateurs par mois réussissent les transferts d'activation d'un appareil à l'autre
• 10 000 à 12 000 utilisateurs par mois réactivation complète des documents et des données biométriques
• Réduction considérable du nombre de visites dans les agences à des fins d'activation

L'efficacité de la solution va au-delà des gains de sécurité immédiats. L'infrastructure biométrique permet d'autres cas d'utilisation, notamment l'authentification des transactions pour des activités de grande valeur comme les demandes de prêt, l'authentification renforcée pour les activités suspectes, et l'amélioration de l'accueil numérique pour les nouveaux clients.

L'impératif stratégique

Le passage d'une authentification centrée sur l'appareil à une authentification centrée sur la personne n'est pas facultatif, il est essentiel. À l'heure où la technologie du deepfake devient de plus en plus accessible et où les méthodes de récupération traditionnelles sont confrontées à des attaques sophistiquées, la vérification biométrique fondée sur la science constitue la seule défense évolutive.

Le parcours de Raiffeisen, qui est passé d'une visite forcée en agence à une récupération à distance sécurisée en libre-service, démontre que la sécurité et l'expérience utilisateur peuvent s'aligner plutôt que se concurrencer. Avec 50 000 clients par mois nécessitant une réactivation, la société avait besoin d'une solution qui fonctionne à grande échelle sans compromettre la sécurité.

Les criminels se sont déjà adaptés pour exploiter les vulnérabilités des processus de récupération. La question n'est pas de savoir si des attaques sophistiquées cibleront votre organisation, mais si vos défenses s'avéreront adéquates lorsqu'elles se produiront.

Vous n'avez pas pu vous rendre à Amsterdam ? Raiffeisen Bank et iProov viennent de dévoiler leur projet de sécurité biométrique de nouvelle génération lors du salon Identity Management Europe 2025. Nous vous en présenterons ici un résumé complet. En attendant, découvrez comment ce partenariat a vu le jour en regardant notre précédente conversation sur la transformation de la sécurité bancaire à l'ère numérique.