Pourquoi les grandes banques choisissent la biométrie pour la récupération des comptes : Leçons tirées de la transformation de la sécurité de la banque Raiffeisen

Les processus de récupération des comptes représentent souvent l'un des maillons les plus faibles de la sécurité numérique. Alors que les organisations investissent massivement dans la sécurisation de leurs flux d'authentification primaires, les mécanismes de récupération s'appuient souvent sur des méthodes qui se sont avérées facilement compromises et que les criminels exploitent activement :

• Questions de sécurité pouvant faire l'objet de recherches dans les médias sociaux
• Les codes SMS sont vulnérables à l'échange de cartes SIM
• Des processus de récupération des courriels qui supposent que des comptes et des appareils non compromis sont en place.

Les tentatives de reprise de compte Les tentatives de piratage ciblent de plus en plus les flux de récupération comme la voie de la moindre résistance. Les clients des banques abandonnent souvent les processus de récupération complexes, ce qui entraîne une augmentation des coûts d'assistance lorsque les organisations gèrent des interventions manuelles.

Ce blog explore la manière dont la biométrie basée sur la science peut assurer la sécurité de vos processus de récupération des comptes. et sûrs et conviviaux. À l'aide d'une étude de cas de la banque Raiffeisen, nous montrerons à quel point il peut être simple de permettre aux utilisateurs authentiques de récupérer leurs comptes sans effort, tout en empêchant les fraudeurs d'y accéder.

La crise du recouvrement des comptes : Une étude de cas réelle avec la banque Raiffeisen

La banque Raiffeisen, un client d'iProov basé en République tchèque, compte plus de 1,2 million d'utilisateurs actifs mensuels de services bancaires mobiles en République tchèque. La banque était confrontée à une réalité opérationnelle stupéfiante : environ 50 000 clients devaient réactiver leurs services bancaires mobiles chaque mois, soit 4 % de l'ensemble de sa clientèle.

Au départ, leur processus de récupération semblait solide. Les clients se connectaient aux services bancaires en ligne par SMS OTP, saisissaient un code PIN et activaient les services bancaires mobiles sur leur nouvel appareil. La procédure semblait sûre et pratique - jusqu'à ce que des criminels exploitent systématiquement sa faiblesse fondamentale.

Les fraudeurs ont lancé des campagnes d'ingénierie sociale sophistiquées, se faisant passer pour des responsables de banque et des policiers afin de convaincre les clients de leur fournir un accès aux services bancaires en ligne. Ils activaient ensuite à distance les services bancaires mobiles sur l'appareil de l'attaquant, ce qui permettait d'accéder directement aux comptes et de voler des fonds.

La première contre-mesure de Raiffeisen a consisté à ajouter des écrans d'avertissement explicites demandant aux clients de confirmer qu'ils souhaitaient réellement activer les services bancaires mobiles. La protection a duré exactement un mois avant que les criminels n'adaptent leurs scripts pour vaincre l'hésitation des clients.

Les attaques ont pris une telle ampleur que Raiffeisen a complètement désactivé l'activation des services bancaires à distance par internet en octobre 2022, obligeant tous les clients nécessitant une réactivation à se rendre dans les agences physiques - une solution pénible qui a entraîné des contraintes opérationnelles massives et la frustration des clients.

Pourquoi les méthodes traditionnelles de récupération échouent-elles ?

La situation de Raiffeisen a mis en lumière les vulnérabilités récurrentes des approches conventionnelles de récupération des comptes. Les méthodes traditionnelles présentent un défaut majeur : elles authentifient l'accès à divers facteurs de possession ou de connaissance plutôt que de vérifier la présence et l'identité réelles de la personne.

La biométrie native crée un problème supplémentaire souvent mal compris par les équipes de sécurité. Comme l'a découvert Dominic Forrest, directeur technique d'iProov, l'a découvert lorsque sa fille adolescente a enregistré son empreinte digitale sur son téléphone en utilisant son code PIN connu. lorsque sa fille adolescente a enregistré son empreinte digitale sur son téléphone en utilisant son code PIN connu : "Ce que vous prouvez en réalité n'est pas de la biométrie - c'est la preuve de la connaissance du code de déverrouillage du téléphone à un moment donné".

Résultats de la transformation de Raiffeisen

Travailler avec un spécialiste de l'intégration des services bancaires mobiles, Wultraet iProov, le meilleur fournisseur de liveness, Raiffeisen a mis au point un processus de réactivation complet qui valide la personne à travers plusieurs couches, formant 5 étapes IDV fondamentales :

1. Identification initiale du client (numéro de client et date de naissance)
2. SMS OTP pour la limitation des demandes
3. Vérification des documents nécessitant la numérisation de la carte d'identité et du passeport ou du permis de conduire
4. Détection dynamique de la présence faciale pour garantir une présence authentique, en comparant l'utilisateur vivant aux photos du document.
5. OTP par SMS final combiné à un jeton de vérification biométrique pour la conformité réglementaire

Voir le diagramme de processus "simplifié" ci-dessous :

L'ensemble du processus se fait à distance et s'achève en 80 secondes environ, et peut être exécuté immédiatement lorsque les clients ont besoin de lier de nouveaux appareils.

La réponse réside dans la création d'une confiance dans la personne plutôt que dans l'appareil ou dans quelque chose qu'elle pourrait "connaître". La vérification faciale basée sur la science, étayée par la vivacité dynamique et Flashmark™fournit une véritable confirmation de présence, répondant à trois exigences essentielles : la bonne personne, la personne réelle, à l'instant même.

Le tout est soutenu par la détection dynamique des menaces d'iProov, grâce à Centre d'opérations de sécurité d'iProov (iSOC) d'iProov qui surveille en permanence le trafic pour détecter les attaques et déploie plus de 120 mises à jour par an sans aucune interruption pour le client, assurant ainsi une sécurité évolutive.

Les résultats montrent des améliorations significatives en matière de sécurité et d'exploitation :

Renforcement de la sécurité :

• Taux de réussite de 97 à 98 % pour les clients légitimes qui procèdent à la vérification biométrique
• Un processus résistant à l'hameçonnage qui ne peut pas être achevé à distance par des attaquants dont les informations d'identification ont été compromises.
• Protection contre les les attaques par injection numérique et les attaques par présentation physique

Efficacité opérationnelle :

• 25 000 utilisateurs par mois réussissent les transferts d'activation d'un appareil à l'autre
• 10 000 à 12 000 utilisateurs par mois réactivation complète des documents et des données biométriques
• Réduction considérable du nombre de visites dans les agences à des fins d'activation

L'efficacité de la solution va au-delà des gains de sécurité immédiats. L'infrastructure biométrique permet d'autres cas d'utilisation, notamment l'authentification des transactions pour des activités de grande valeur comme les demandes de prêt, l'authentification renforcée pour les activités suspectes, et l'amélioration de l'accueil numérique pour les nouveaux clients.

L'impératif stratégique

Le passage d'une authentification centrée sur l'appareil à une authentification centrée sur la personne n'est pas facultatif, il est essentiel. À l'heure où la technologie du deepfake devient de plus en plus accessible et où les méthodes de récupération traditionnelles sont confrontées à des attaques sophistiquées, la vérification biométrique fondée sur la science constitue la seule défense évolutive.

Le parcours de Raiffeisen, qui est passé d'une visite forcée en agence à une récupération à distance sécurisée en libre-service, démontre que la sécurité et l'expérience utilisateur peuvent s'aligner plutôt que se concurrencer. Avec 50 000 clients par mois nécessitant une réactivation, la société avait besoin d'une solution qui fonctionne à grande échelle sans compromettre la sécurité.

Les criminels se sont déjà adaptés pour exploiter les vulnérabilités des processus de récupération. La question n'est pas de savoir si des attaques sophistiquées cibleront votre organisation, mais si vos défenses s'avéreront adéquates lorsqu'elles se produiront.

Vous n'avez pas pu vous rendre à Amsterdam ? La banque Raiffeisen et iProov viennent de dévoiler leur projet de sécurité biométrique de nouvelle génération à l'occasion du salonIdentity Management Europe 2025. Nous partagerons lecompte rendu complet de ici. Pendant que vous attendez, découvrez comment ce partenariat a commencé - regardez maintenant notre conversation précédente sur la transformation de la sécurité bancaire à l'ère numérique.