Ne pas se laisser distancer par les fraudeurs : Comment lutter contre l'IA générative et les attaques biométriques basées sur des documents ?

La transformation numérique a considérablement élargi la façon dont les individus interagissent avec les banques et les sociétés de services financiers. Grâce à la technologie, les consommateurs peuvent désormais bénéficier d'un service d'accueil depuis leur canapé, chez eux, tout comme ils peuvent le faire depuis leur agence locale.

D'une part, le développement des technologies de vérification et d'authentification à distance a ouvert la voie à la banque en ligne et à d'autres expériences numériques plus simples et plus pratiques pour les individus. D'autre part, il a également accru la responsabilité en matière de fraude. 

En outre, une technologie sophistiquée permettant de créer des identités synthétiques en ligne a engendré de nouveaux défis. Les "deepfakes", les documents d'identité synthétiques et les attaques par injection numérique ont donné aux acteurs malveillants les outils nécessaires pour faire des ravages à grande échelle. 

Pour ne pas se laisser distancer par les fraudeurs, les prestataires de services financiers doivent renforcer leurs processus d'accueil et d'authentification à l'aide d'une technologie de vérification efficace et précise. 

Les nouvelles technologies non réglementées introduisent des risques de compromission de l'identité synthétique

Alors que le vol d'identité traditionnel est en augmentation, représentant 52 milliards de dollars de pertes et affectant 42 millions d'adultes rien qu'aux États-Unis en 2021, les banques sont également confrontées à une nouvelle menace plus complexe : la fraude à l'identité synthétique (SIF).

Alors que la fraude à l'identité traditionnelle repose généralement sur l'utilisation d'informations volées, la fraude à l'identité synthétique implique la création d'une "personne" - une identité entièrement nouvelle - qui n'existe pas en mélangeant des informations personnelles identifiables (PII) volées, fictives ou manipulées. 

Comment les identités synthétiques sont créées : 

• Les fraudeurs créent un faux document d'identité détaillé. Ces informations peuvent être un mélange d'informations réelles, volées et fausses - par exemple, un numéro de sécurité sociale volé combiné à un nom entièrement falsifié ou à une adresse légèrement modifiée.
• Ils créent ensuite des images synthétiques qui correspondent à la photo du document d'identité illégitime. Ils utilisent cette combinaison pour tenter de contourner le processus de vérification de l'identité d'une organisation. 

Les fraudeurs se constituent généralement un historique bancaire ou de crédit dans le cadre de ce processus. Les banques et les institutions financières ne peuvent donc pratiquement plus savoir si ces personnes sont simplement confrontées à des difficultés financières (par exemple, une perte d'emploi) ou s'il s'agit d'un mauvais acteur qui commet des activités illégales - jusqu'à ce qu'il soit trop tard.

Cette nouvelle forme de fraude vise spécifiquement à contourner les documents d'identité et la technologie de vérification biométrique - la norme actuelle en matière de vérification de l'identité numérique - et est pratiquement impossible à détecter par le seul biais des contrôles de données (par exemple, la vérification de l'identité auprès d'une agence d'évaluation du crédit). Pour lutter contre ce type de fraude, il faut faire d'une pierre deux coups : la vérification des documents d'identité et les technologies biométriques doivent travailler ensemble pour prévenir ces types de menaces sophistiquées. 

Qu'est-ce que l'imagerie synthétique ? Pourquoi les menaces synthétiques, telles que l'IA générative et les "deepfakes", constituent-elles une préoccupation croissante ?

Comme nous l'avons mentionné, l'une des méthodes les plus courantes pour donner une apparence réelle aux identités synthétiques consiste à utiliser des images synthétiques. Les criminels peuvent utiliser la technologie pour créer des photos ou des vidéos réalistes qui ont été manipulées numériquement pour remplacer la ressemblance d'une personne par une autre, ou même pour "créer" des personnes qui n'existent pas. L'IA générative et les "deep fakes" sont des outils extrêmement puissants qui favorisent le succès de la fraude à l'identité synthétique. 

Un deepfake est un enregistrement vidéo qui a été déformé, manipulé ou créé synthétiquement à l'aide de techniques d'apprentissage en profondeur pour présenter une représentation de quelqu'un générée par l'IA - comme un masque numérique. Certaines des variantes les plus sophistiquées des deepfakes sont presque impossibles à distinguer d'un vrai visage, y compris les mouvements naturels des yeux et de la bouche. L'utilisation de la technologie des deepfakes dans la fraude à l'identité synthétique s'étend des attaques par présentation aux attaques par injection numérique, qui tentent toutes deux de contourner la vérification faciale. 

Les banques du monde entier ont rapidement adopté la vérification faciale car elle est apparue comme la méthode la plus sûre pour sécuriser une identité en ligne - par rapport aux méthodes banalisées, plus faibles et peu pratiques telles que les mots de passe et les OTP. La vérification faciale fait désormais partie intégrante de l'expérience bancaire numérique. une enquête iProovSelon une enquête iProov, 64 % des consommateurs mondiaux qui utilisent les services bancaires mobiles ont déjà recours à la vérification faciale pour accéder à leurs comptes ou le feraient s'ils en avaient la possibilité.

C'est pourquoi il est essentiel que toute solution d'intégration numérique puisse lier solidement les identités numériques à des individus réels. La solution Microblink-iProov confirme qu'une personne authentique vérifie son document d'identité en temps réel et que ce document n'a pas été falsifié. Cela permet de déjouer les identités synthétiques lors de l'onboarding, avant qu'elles n'entrent dans le système.

Attaques par présentation et attaques par injection numérique

Il existe une variété d'attaques de présentation que les criminels peuvent déployer pour tenter d'obtenir un accès illégal au compte ou aux privilèges d'un utilisateur. Outre les tentatives physiques d'usurpation d'identité, les attaques de présentation peuvent également impliquer la présentation d'un artefact devant une caméra orientée vers l'utilisateur. Un acteur mal intentionné pourrait également créer une imitation profonde et montrer cette vidéo, via un autre écran, à l'appareil qui effectue la vérification faciale. 

Les attaques par injection numérique s'appuient sur le même niveau de technologie de contrefaçon, mais le fraudeur détourne le flux vidéo de vérification vers une caméra logicielle, injecte une contrefaçon dans le flux de données de l'application, voire utilise un émulateur pour imiter l'appareil de l'utilisateur. 

Le récent rapport d'iProov sur les menaces a révélé que les attaques par injection étaient cinq fois plus fréquentes que les attaques par présentation persistante sur le web en 2022. De plus, la détection du caractère vivant (c'est-à-dire les techniques permettant de déterminer si la source d'un échantillon biométrique est un être humain vivant ou une fausse représentation) est relativement fiable pour détecter les attaques de présentation traditionnelles, ce qui fait des attaques par injection numérique le point de mire des fraudeurs les plus habiles.

Les deepfakes deviennent encore plus dangereux lorsqu'ils sont utilisés dans le cadre d'attaques par injection numérique, car ils peuvent être mis à l'échelle et automatisés très rapidement pour causer des dommages importants.

Comment lutter contre l'imagerie synthétique et les attaques par injection numérique ?

Alors que la plupart des technologies biométriques impliquent un certain niveau de détection de la présence pour vérifier l'identité d'un individu, la détection de la présence ne peut à elle seule détecter une attaque par injection numérique. Pour lutter contre la combinaison des deepfakes et des attaques par injection numérique, les institutions de services financiers ont besoin d'une approche robuste et multidimensionnelle, qui s'appuie sur la création d'une biométrie à usage unique. 

La solution d'accueil numérique de Microblink et d'iProov utilise une technologie biométrique à usage unique pour garantir que toute personne qui tente de vérifier son identité le fait en temps réel et non à l'aide d'images synthétiques. 

Comment ? En illuminant le visage de la personne avec une séquence unique de couleurs qui ne peut être reproduite ou manipulée synthétiquement. Il ne s'agit pas d'une attaque de présentation utilisant une photo ou un masque, ni d'une attaque numériquement injectée utilisant une rediffusion d'une authentification précédente ou une vidéo synthétique telle qu'un deepfake. Il analyse également les informations multidimensionnelles dérivées de la façon dont le visage se comporte et dont la lumière est réfléchie sur le visage, ce qui permet de découvrir des images synthétiques.

Les cartes d'identité synthétiques ajoutent à la complexité et au risque

Avant l'explosion des services bancaires en ligne, la fraude d'identité traditionnelle était limitée à une personne qui présentait une identité volée à la fois. Le processus était lent et la vigilance des employés internes était essentielle pour lutter contre la fraude et atténuer les risques.

Grâce aux identifiants synthétiques et à l'essor des "deepfakes", les fraudeurs peuvent élargir la portée de leurs tentatives, et ce à un rythme plus rapide que jamais. 

Les cartes d'identité synthétiques sont particulièrement dangereuses car elles permettent de produire d'innombrables "personnes" dont un fraudeur peut usurper l'identité. Dans un exemple tiré du rapport d rapport d'iProovquelque 200 à 300 attaques ont été lancées à l'échelle mondiale à partir d'un même lieu en l'espace de 24 heures, dans une tentative aveugle de contourner les systèmes de sécurité d'une organisation.

Les attaques des acteurs de la menace sont de plus en plus évolutives et automatisées, et l'imagerie synthétique utilisée pour renforcer les vérifications frauduleuses devient de plus en plus indiscernable de la réalité pour l'œil humain. C'est pourquoi les organisations ont besoin des technologies de pointe en matière de biométrie et de vérification des documents d'identité pour lutter contre les menaces. 

Lutter contre les cartes d'identité synthétiques grâce à une meilleure analyse des documents d'identité

Avec des acteurs malveillants qui utilisent une combinaison d'informations réelles et frauduleuses pour créer des documents d'identité synthétiques, un simple balayage ne suffira plus. 

C'est là qu'une capture, une extraction et une vérification d'identité pilotées par l'IA peuvent exceller. Une approche basée sur l'IA peut comprendre le contexte complet du document d'identité qu'elle scanne, en fournissant des contrôles de cohérence et de validation des données à travers les informations extraites, et en recherchant systématiquement les défauts visuels ou les anomalies pour fournir un plus grand niveau d'assurance.

En adoptant une approche axée sur les données qui combine l'inspection non judiciaire et judiciaire de divers documents d'identité, ainsi que la détection de la vivacité qui crée une biométrie unique, votre entreprise peut être certaine que les documents d'identité des utilisateurs sont authentiques.

Enfin, la flexibilité et l'apprentissage continu d'une solution basée sur l'IA garantissent qu'elle peut extraire et vérifier une grande majorité de types d'identification et de variétés géographiques - ce qui permet de ne pas sacrifier la flexibilité, l'expérience de l'utilisateur final ou la facilité d'utilisation au profit de la sécurité et de la confiance. 

La réduction des risques nécessite les bons partenaires technologiques

La combinaison des identités synthétiques et des identifiants qui les accompagnent, ainsi que les deepfakes, introduisent davantage de risques dans les processus d'intégration numérique pour les organisations de toutes tailles dans tous les secteurs d'activité.

Sans un ensemble de technologies permettant de se protéger contre la sophistication de ces méthodes de fraude nouvelles et améliorées, les fournisseurs de services financiers s'exposent à des risques tels que la perte de revenus, la perte de clientèle et des sanctions réglementaires. 

L'utilisation de technologies de capture, d'extraction et de vérification d'identité basées sur l'IA - comme celles proposées par Microblink - ainsi que des solutions de balayage biométrique à usage unique comme iProov - permet de sécuriser davantage l'expérience d'embarquement numérique. La combinaison de l'assurance et de la flexibilité de ces technologies éprouvées peut aider à lutter contre le danger croissant de la fraude financière.