Un seul contrôle de sécurité ne suffit pas : les arguments en faveur d'une protection multicouche de l'identité

La plupart des systèmes de sécurité reposent sur une hypothèse dangereuse : un seul contrôle suffit pour empêcher les fraudeurs d'entrer. Ce n'est pas le cas, et les chiffres le montrent clairement.

Les identifiants ont été les premiers à tomber. Les données de Microsoft Entra montrent que les attaques basées sur les mots de passe représentent désormais plus de 99 % des 600 millions d'attaques quotidiennes contre l'identité qu'ils observent. Le code d'accès à usage unique envoyé par SMS sur votre téléphone n'est pas non plus à l'abri. les attaques par échange de carte SIM augmentent augmentent de plus de 1 000 % d'une année sur l'autre rien qu'au Royaume-Uni.

Les organisations se sont donc tournées vers la biométrie faciale, et les pirates ont suivi. En effet, les systèmes hautement sécurisés (ceux qui protègent les processus critiques, les comptes financiers et les données sensibles) attirent les adversaires les plus déterminés. Rien qu'en 2024, iProov a observé :

• Les attaques par caméra virtuelle native ont augmenté de 2 665 %.
• Échange de visages Attaques deepfake ont triplé
• Attaques par injection augmenté 783 % (et encore 740 % d'ici 2025)

Il ne s'agit pas seulement de chiffres plus élevés. Ils représentent un changement fondamental : les pirates ciblent désormais spécifiquement la couche biométrique, contournant les défenses que les organisations pensaient pouvoir « configurer et oublier ». Le problème est de supposer qu'un seul contrôle, aussi sophistiqué soit-il, est suffisant à lui seul.

Lorsque nous parlons ici de sécurité multicouche, nous ne faisons pas référence à l'authentification multifactorielle traditionnelle authentification multifactorielle – par exemple, l'utilisation d'un mot de passe associé à une application d'authentification (bien que cela soit fortement recommandé et de plus en plus obligatoire dans de nombreux pays et secteurs d'activité). Nous parlons de la stratégie de défense en profondeur au sein de chaque facteur lui-même : comment la superposition de plusieurs contrôles de sécurité dans le cadre de la vérification biométrique garantit que si un contrôle est trompé, les autres rattrapent ce qu'il a manqué.

Contrôles ponctuels – en particulier moins accréditées – sont obsolètes face à cette menace.

Comme l'explique Gartner :

« Les leaders du secteur de la vérification d'identité sont amenés à adopter une approche plus holistique qui intègre une stratégie de défense multicouche pour se prémunir contre les deepfakes. »
Rapport sur l'impact de l'IA et des deepfakes sur la vérification d'identité.

La sécurité de l'identité en ligne est une course à l'armement. Il s'agit d'une évolution continue, et non d'une équation qui peut être résolue et mise de côté. C'est précisément pour cette raison que l'architecture de votre défense est aussi importante que la solidité de chacun de ses composants. Voyons pourquoi une protection multicouche de l'identité est essentielle et comment elle vous permet de garder une longueur d'avance sur les acteurs malveillants.

Le problème de la sécurité à point unique

Le parallèle avec les mots de passe n'est pas fortuit. Les mots de passe ont échoué non pas parce que le concept était mauvais, mais parce que les pirates sont devenus suffisamment sophistiqués pour contourner à grande échelle les vérifications d'identifiants à facteur unique à l'aide de méthodes telles que les attaques par force brute et le le credential stuffing. La même dynamique s'applique aux solutions biométriques à faible niveau de sécurité, avec des attaques de plus en plus complexes qui sont démocratisées, commercialisées et vendues par des fraudeurs.

Tous les contrôles biométriques de vivacité ne se valent pas. Certains fournisseurs s'appuient sur une vérification d'image à image unique : ce visage semble réel ? Le problème est que les outils modernes de substitution de visage, les caméras virtuelleset logiciels de deepfake sont spécialement conçus pour passer ce type de contrôle. iProov a identifié plus de 115 000 combinaisons d'attaques possibles parmi les outils que nous suivons activement. Aucun contrôle ne peut à lui seul couvrir toute cette surface d'attaque.

Les vérifications à image unique capturent un instantané, et non une présence réelle. Elles ne peuvent pas prouver que quelqu'un est réellement présent, mais seulement que l'image semble réelle, et de nombreux deepfakes sont conçus avec succès pour ressembler réelles.

Et compter sur les humains comme solution de secours n'est pas non plus une réponse. Seulement 0,1 % des personnes sont capables de repérer de manière fiable les médias synthétiques. Lorsque 99,9 % des gens ne peuvent pas distinguer le vrai du faux, l'examen manuel est une vulnérabilité plutôt qu'un filet de sécurité.

Vous pourriez raisonnablement vous demander : si les vérifications à point unique posent problème, cela ne s'applique-t-il pas à tous les fournisseurs de solutions biométriques, y compris iProov ? Ce serait le cas si iProov effectuait des vérifications à point unique. Or, ce n'est pas le cas. La distinction est d'ordre architectural, et c'est ce que nous allons vous expliquer ci-après.

Comment fonctionne réellement la sécurité biométrique multicouche ?

La solution ne consiste pas simplement à ajouter davantage de couches sans corrélation intelligente, car cela ne ferait que créer du bruit et des frictions. L'objectif est une intégration optimale, où chaque couche apporte des signaux distincts qui, lorsqu'ils sont analysés ensemble, créent une image complète qu'aucune couche ne pourrait voir seule.

Chaque couche examine différents types de preuves. Cela signifie que si un pirate parvient à tromper une couche, la couche suivante recherche quelque chose de complètement différent et est beaucoup plus difficile à tromper de la même manière.

Ceci est particulièrement important pour les attaques par injection, qui constituent l'une des plus grandes menaces pour les systèmes biométriques, comme le reconnaît le NIST. Contrairement aux attaques par présentation traditionnelles (comme le fait de présenter une photo ou une vidéo à une caméra), les attaques par injection contournent complètement la caméra. Les pirates introduisent directement une vidéo deepfake dans le système.

Si votre système vérifie uniquement l'image elle-même, il se peut qu'il ne se rende même pas compte de ce qui se passe. Il est essentiel d'analyser des signaux supplémentaires, tels que l'intégrité de l'appareil, l'utilisation d'un émulateur et la cohérence de l'environnement. Sans ces vérifications supplémentaires, même une détection de vivacité performante peut passer à côté de l'attaque.

Découvrez comment l'approche multicouche d'iProov détecte et bloque les attaques modernes :

1 : La couche d'imagerie : détection avancée de la présence humaine

La première couche prouve qu'une personne réelle est physiquement présente, et non une photo, une vidéo, un deepfake ou un masque. Cela va bien au-delà de la simple vérification de la crédibilité d'un visage.

Dynamic Liveness utilise technologie Flashmark™ : votre écran s'illumine de couleurs aléatoires pendant que le système analyse la façon dont la lumière se reflète sur un visage authentique à travers plusieurs images. Cela crée un défi-réponse unique et défi-réponse en temps réel qu'il est pratiquement impossible de simuler, même avec des deepfakes sophistiqués, car il prouve que la personne est bien présente à ce moment précis, et non pas une attaque par rejeu.

2 : La couche métadonnées : criminalistique numérique

Alors que la détection de présence vérifie la personne, la couche de métadonnées vérifie l'environnement numérique. Cela comprend :

• Détection des appareils compromis (jailbreakés ou rootés)
• Détection des émulateurs, souvent utilisés dans les opérations de fraude à grande échelle
• Identification des VPN ou des anonymiseurs masquant la véritable origine d'un appareil
• Vérification croisée des signaux techniques par rapport au dispositif revendiqué

Considérons le dernier point : un pirate présente ce qui semble être un iPhone, mais les dimensions de l'image dans le flux de données ne correspondent à aucune résolution jamais produite par un appareil photo iPhone. Ce signal seul ne prouve pas la fraude. Combiné à un VPN, une origine IP inhabituelle et des données de vivacité un peu trop nettes, il pourrait toutefois susciter de sérieux soupçons.

C'est l'équivalent numérique d'un passeport qui semble authentique, mais qui porte l'hologramme d'un autre pays. Les fraudeurs modernes ne se font pas toujours prendre par un seul signal : les vérifications GPS, l'analyse IP ou la détection de vivacité ont chacune leurs angles morts. La clé est de s'assurer que chaque couche apporte des informations uniques qui renforcent la décision globale.

3 : L'avantage de la surveillance continue

Comme il s'agit d'une course à l'armement, le déploiement n'est pas la fin de l'histoire. Les outils d'attaque qui étaient élitistes l'année dernière sont désormais vendus comme des «Crime-as-a-Service» à toute personne disposant d'une carte de paiement.

Centre des opérations de sécurité d'iProov centre des opérations de sécurité (iSOC) analyse en permanence les données relatives aux attaques réelles et met à jour les méthodes et algorithmes de détection à mesure que les menaces évoluent. Il ne s'agit pas d'un système que l'on configure une fois pour toutes, mais d'un système de défense actif et adaptatif. Un système statique, aussi bien conçu soit-il à son lancement, constitue une cible fixe.

Comme iSOC surveille l'ensemble du système, et non un seul composant, il peut détecter des schémas qui échapperaient à un contrôle ponctuel. Si des pirates trouvent un moyen de contourner une couche, cette faille ne reste pas cachée. Elle devient une information. Le système peut être renforcé, les règles de détection mises à jour et les protections renforcées avant que la tactique ne se propage.

Avec un seul contrôle de sécurité, une tentative de fraude réussie peut passer inaperçue. Grâce à une surveillance continue, chaque incident devient un signal et une occasion de s'adapter.

La menace évolue, la réponse aussi. Cette approche proactive de la sécurité est la seule qui ait du sens dans un environnement où les menaces changent constamment et où aucun contrôle ne peut être considéré comme définitif.

CPensées éparses

Les deepfakes vont s'améliorer. Les attaques par injection vont se multiplier. Les outils d'attaque vont devenir moins chers.

La seule variable que vous contrôlez est votre architecture.

Une protection multicouche, combinant des techniques avancées de détection de la présence humaine, l'intelligence des métadonnées et la surveillance active des menaces, permet d'éliminer le point de défaillance unique dont dépendent les pirates. Il ne s'agit pas de rendre un contrôle plus difficile à contourner, mais de s'assurer qu'aucun contrôle ne suffit à lui seul pour contourner un système.

La question n'est pas de savoir si la sécurité multicouche vaut l'investissement. Il s'agit plutôt de savoir si vous pouvez vous permettre de fonctionner sans elle.

---

Vous souhaitez en savoir plus sur les solutions biométriques multicouches d'iProov ?

• Le premier et unique fournisseur à avoir obtenu une évaluation Ingenium de niveau 4 pour la détection des attaques par injection , une norme qui dépasse le niveau le plus élevé de la norme CEN TS 18099 (CEN High) tant en termes de portée que de rigueur. Lors d'un test indépendant de 40 jours, aucune voie d'attaque par injection n'a pu être établie : les visages synthétiques et les vidéos deepfake n'avaient nulle part où aller. Taux de rejet des utilisateurs légitimes : seulement 1,3 %, bien en dessous du seuil de 15 % requis par la norme.
• Récemment, le premier et unique fournisseur à répondre aux exigences de vérification biométrique incluses dans la nouvelle publication spéciale 800-63-4 du NIST intitulée « Digital Identity Guidelines » (Directives relatives à l'identité numérique)
• Réservez dès aujourd'hui votre démonstration consultative.