31 décembre 2023
Le Centre de ressources sur le vol d'identité (CRVI), une organisation à but non lucratif centrée sur les victimes, a récemment publié le document de discussion de son groupe de travail sur la biométrie, rédigé par des experts politiques, universitaires, techniques et commerciaux reconnus.
À la suite de la crise de la fraude dans le secteur public lors de la conférence COVID-19, l'ITRC a reçu une vague de plaintes, alors que le monde connaissait des niveaux sans précédent de fraude fondée sur l'identité. Après avoir étudié et analysé le problème avec diligence, le groupe a conclu que "la biométrie représente la meilleure chance de protéger l'identité des personnes et d'améliorer l'intégrité des processus des secteurs public et privé". En d'autres termes, la question n'est pas de savoir si la technologie biométrique doit être adoptée, mais comment.
Conscientes de l'échec des méthodes de sécurité traditionnelles basées sur les références, les organisations ont commencé à voir dans la vérification biométrique de l'identité l'antidote à la cybercriminalité et à la fraude.
Mais toutes les solutions biométriques ne se valent pas. Le rapport fournit des recommandations sur les capacités clés qu'une "bonne" solution biométrique devrait inclure. Dans cet article, nous donnerons un aperçu de ce qui constitue une solution biométrique robuste et sécurisée.
La menace croissante de la fraude à l'identité
La fraude d'identité est un problème colossal, en particulier aux États-Unis. Selon Javelin Strategy & Research, la fraude d'identité a coûté 52 milliards de dollars de pertes aux États-Unis en 2021. Les données d'iProov ont révélé que 29 % des Américains ont été victimes d'un vol d'identité, contre seulement 15 % des Britanniques et 13 % des Australiens. Avec une nouvelle victime toutes les 22 secondes, l'ampleur du problème est immense.
Il est important de noter que l'ITRC n'est pas parrainé et n'est pas une organisation axée sur la biométrie ; il gère le plus grand répertoire d'informations sur les violations de données aux États-Unis depuis 2005. Sa position est que "les données seules ne peuvent plus être considérées comme la seule source de vérité sur l'identité d'une personne dans la plupart des processus".
L'ITRC conclut que la vérification d'identité par biométrie est désormais la seule méthode fiable de vérification d'identité à distance et qu'elle protège donc mieux les clients.
La vérification des visages n'est PAS la reconnaissance des visages
Le rapport examine également de manière critique comment l'adoption de la biométrie faciale a été entravée par la confusion avec la reconnaissance faciale. Il existe des différences essentielles :
- La vérification faciale est basée sur le consentement, contrairement à la reconnaissance faciale. La vérification faciale peut préserver la vie privée. La reconnaissance faciale ne le peut pas, car la personne ne consent pas au processus.
- La vérification des visages est une vérification individuelle qui profite à l'utilisateur. La reconnaissance des visages se fait d'un à plusieurs. Son objectif principal est d'aider les forces de l'ordre, mais elle n'est pas consensuelle - elle essaie de trouver un utilisateur dans une grande base de données.
- Le rôle de la vérification faciale est d'affirmer l'identité, en utilisant le visage pour prouver qu'il s'agit bien de l'utilisateur. Elle vise à réduire la fraude à l'identité, à accroître la précision et à fournir une solution de vérification de l'identité inclusive et sûre qui protège les individus contre les menaces croissantes de crimes liés à l'identité.
En fin de compte, la distinction entre la vérification et la reconnaissance des visages est cruciale pour l'adoption et la mise en œuvre des technologies de vérification faciale. iProov souligne l'importance de cette distinction depuis des années. Vous pouvez en savoir plus dans cet article.
Qu'est-ce qui fait de la vérification biométrique des visages l'étalon-or de la vérification d'identité à distance ?
L'utilisation de la biométrie faciale dans le cadre d'un processus complet de vérification de l'identité permet de s'assurer de l'authenticité d'un candidat de manière équitable et à faible risque. Cette approche réduit la valeur des informations personnelles identifiables (PII) compromises pour les mauvais acteurs et offre une solution inclusive qui va bien au-delà de ce que les méthodes de vérification traditionnelles peuvent offrir
La vérification faciale offre une alternative aux solutions traditionnelles de vérification d'identité qui peuvent s'appuyer fortement sur les données de crédit, ce qui peut exclure les personnes ayant peu ou pas d'antécédents en matière de crédit. Cet aspect est particulièrement bénéfique pour atteindre et vérifier l'identité de personnes qui, autrement, seraient confrontées à des difficultés dans les processus de vérification d'identité à distance.
Pour en savoir plus sur les avantages de la biométrie faciale, cliquez ici.
Les solutions biométriques n'ont pas toutes la même efficacité
Il est essentiel de choisir une solution scientifique capable de fournir les plus hauts niveaux d'assurance d'identité et ayant fait ses preuves auprès d'organisations soucieuses de la sécurité.
Examinons quelques-uns des critères qui constituent un système de vérification faciale robuste :
- Détection de l'authenticité : Comme le précise l'ITRC, les meilleures solutions ne se contentent pas de vérifier l'image capturée présentée, mais déterminent également la "vivacité" de la personne et s'assurent qu'il s'agit d'une personne réelle et non d'une usurpation.
- Biométrie à usage unique : La technologie biométrique à usage unique est essentielle. Elle permet de vérifier qu'une personne s'authentifie en temps réel et qu'il ne s'agit pas d'une photo ou d'un masque, ni d'une attaque numériquement injectée utilisant une relecture d'une authentification précédente, ou d'une vidéo synthétique (telle qu'un deepfake). Pour en savoir plus sur la technologie biométrique à usage unique, cliquez ici.
- Surveillance active des menaces : Le rapport souligne également l'importance d'une surveillance active : "iProov assure cette surveillance grâce à son centre d'opérations de sécurité (iSOC), qui recueille des informations sur les attaques biométriques avancées et renforce la résilience face aux menaces en cours. Nous sommes le seul fournisseur de solutions biométriques à partager nos conclusions dans nos rapports annuels sur les menaces biométriques.
Inclusion et performance :
- Évaluer les certifications : Le rapport reconnaît que certaines solutions biométriques sont "plus précises que d'autres" et que certaines "fonctionnent mieux dans une population diversifiée que d'autres, y compris les personnes handicapées". Recherchez des solutions comme celle d'iProov, qui est certifiée par le National Institute of Standards and Technology (NIST) et qui est l'un des rares fournisseurs à avoir atteint la pleine conformité WCAG 2.2 . Le fournisseur de solutions biométriques doit se tenir au courant de l'évolution des normes, des certifications et de la conformité.
- Évaluer les pratiques d'atténuation des préjugés : il ne s'agit pas d'un effort ponctuel, mais d'un engagement permanent. La transparence, la diversité des données de formation, les tests réguliers et l'adaptabilité sont des éléments essentiels d'une stratégie solide. L'atténuation des préjugés ne se limite pas à l'âge, à la couleur de peau ou au sexe ; d'autres impacts sociodémographiques, tels que l'accès à des appareils dotés de caméras, doivent être pris en compte.
Considérations relatives à la protection de la vie privée :
- Modèle biométrique : Le fournisseur ne doit stocker les données biométriques que dans un format anonyme, de manière à ce qu'elles soient inutilisables pour un pirate. Plutôt qu'une image stockée, un modèle biométrique est une représentation mathématique des données biométriques qui ne peut être associée à une personne identifiable. En fin de compte, cela renforce la protection de la vie privée et des données des utilisateurs. Pour en savoir plus sur les modèles biométriques, cliquez ici.
- Pare-feu de confidentialité : Le vendeur doit utiliser une technologie qui fait appel à un pare-feu de protection de la vie privée, où il y a une séparation structurelle entre l'identité de l'utilisateur et ses données biométriques. Toutes les IPI sont supprimées, ne laissant que la biométrie, qui, en soi, est inutile en cas de fuite ou de vol. Ce système est très efficace pour protéger la vie privée de l'utilisateur.
- Authentification basée sur l'informatique dématérialisée : La sécurité biométrique basée sur l'informatique dématérialisée présente de nombreux avantages. L'un des principaux est la protection des données de l'utilisateur : la sécurité en nuage est opaque pour un attaquant et beaucoup plus difficile à rétroconcevoir.
Le rapport recommande également de trouver un fournisseur qui dispose de capacités de vérification en temps réel et de techniques de détection passive. iProov est unique dans le domaine de l'assurance de l'identité, en grande partie grâce à sa capacité à confirmer si un appareil partage des informations correctes en temps réel sur un utilisateur réel à l 'instant même.
Pour en savoir plus, consultez notre guide sur le choix d'un fournisseur de solutions biométriques .
Réflexions finales
En fin de compte, l'ITRC ne recommande aucun fournisseur en particulier, mais souligne que la vérification d'identité basée sur la biométrie est le "meilleur espoir de réduire les délits d'usurpation d'identité à court et à long terme", et que les organisations devraient rechercher "la meilleure solution pour elles dès que possible" afin de réduire la menace grave et toujours croissante des délits d'identité.
iProov propose les solutions de biométrie faciale les plus validées au monde, ayant été testées selon les normes de sécurité nationales par le ministère américain de la sécurité intérieure, le ministère britannique de l'intérieur, le gouvernement de Singapour et le gouvernement australien - réalisant souvent plus d'un million de vérifications par jour avec des taux de réussite de plus de 98 %.
Téléchargez le document de travail complet du groupe de travail sur la biométrie du CRTI ici.