Le spectre de l'assurance de l'identité

Dans le paysage numérique actuel, les organisations sont confrontées à un défi majeur : s'assurer que les utilisateurs en ligne sont bien ceux qu'ils prétendent être. Des processus robustes de vérification de l'identité sont essentiels dans tous les secteurs pour prévenir la fraude, protéger les données sensibles et maintenir l'intégrité de l'écosystème numérique.


Pour relever ces défis, nous avons développé la série en trois parties Spectrum of Identity Assurance (Spectre d'assurance de l'identité). Ce guide complet fournit des informations pour aider les organisations à sélectionner les niveaux d'assurance appropriés pour différents cas d'utilisation lors de la conception et de la mise en œuvre des processus de vérification de l'identité.

En comprenant le spectre de l'assurance de l'identité, les entreprises peuvent trouver le bon équilibre entre la sécurité, la convivialité et la conformité - en favorisant la confiance des utilisateurs tout en atténuant les risques d'usurpation d'identité.

Télécharger la série de rapports sur l'assurance de l'identité

Ce guide complet est divisé en trois documents téléchargeables, chacun se concentrant sur un aspect crucial du paysage de la vérification d'identité :

SoDI papier 1 FINAL

Document 1 : Spectre de la vérification de l'identité

Ce document se concentre sur l'établissement initial de la confiance au cours du processus d'intégration et explore les différentes méthodes et technologies disponibles pour la preuve d'identité à distance, y compris la vérification de la base de données, la vérification biométrique et la vérification des documents. Il examine les points forts et les limites de chaque approche et fournit des conseils sur le choix du niveau d'assurance approprié en fonction du cas d'utilisation spécifique et du profil de risque. Cliquez sur le bouton ci-dessous pour télécharger.

Télécharger

Spectre d'authentification

S'appuyant sur les fondements de la preuve d'identité, cet article se penche sur l'authentification continue des utilisateurs tout au long de leur parcours au sein d'une organisation. Il examine les différents facteurs d'authentification, tels que les facteurs basés sur la connaissance, la possession et l'inhérence, et étudie la manière dont ils peuvent être combinés pour créer des systèmes d'authentification solides et résilients. Le document explore également les technologies émergentes, telles que l'authentification sans mot de passe et l'authentification continue, et leur potentiel d'amélioration de la sécurité et de l'expérience utilisateur.

A venir...

Spectre de la biométrie

Le dernier article de la série approfondit l'utilisation des technologies biométriques pour la vérification et l'authentification de l'identité. Il examine diverses modalités biométriques, notamment le visage, les empreintes digitales et la paume de la main, et analyse leurs points forts, leurs limites et leurs applications potentielles. Le document aborde également des considérations importantes concernant leur développement, leur déploiement, la confidentialité des données, la sécurité et l'acceptation par les utilisateurs.

A venir...

En comprenant l'éventail de ces trois documents, les organisations peuvent prendre des décisions éclairées lors de la conception et de la mise en œuvre de processus de vérification d'identité sécurisés, conviviaux et adaptés à leurs besoins spécifiques.

Centre de contenu du Spectre d'assurance de l'identité : De quoi parle cette page ?

Bien que la série d'articles en trois parties sur le spectre de l'assurance de l'identité offre une vue d'ensemble complète, certains sujets techniques nécessitent une exploration plus approfondie. Afin d'assurer une couverture à la fois large et approfondie, nous avons créé cette page web dédiée.

Vous y trouverez des sections élargies qui plongent dans les détails complexes et les nuances de diverses technologies, méthodes et processus de vérification de l'identité. Cela nous permet de fournir une ressource complète mais accessible, vous donnant la possibilité de lire les concepts de haut niveau dans les documents principaux ou d'explorer les points techniques les plus fins selon vos besoins.

Sur cette page, vous trouverez des analyses détaillées, des exemples illustratifs et des analyses plus approfondies. Pour explorer un sujet spécifique en détail, il vous suffit de le sélectionner dans les menus déroulants ci-dessous pour accéder à l'information.

Papier 1 (Spectre de l'assurance de l'identité) Sujets

Qu'est-ce que la preuve d'identité ?

La preuve d'identité est le processus qui consiste à établir et à vérifier l'identité d'une personne, en s'assurant qu'elle est bien celle qu'elle prétend être. Il s'agit de recueillir et d'évaluer divers éléments de preuve, tels que des documents d'identification délivrés par le gouvernement, des données biométriques ou des informations personnelles, afin de déterminer l'authenticité et la légitimité de l'identité revendiquée. L'objectif de la vérification de l'identité est d'atténuer le risque de fraude, d'empêcher l'accès non autorisé à des informations ou des systèmes sensibles et d'établir un lien fiable et digne de confiance entre une identité réelle et un personnage numérique ou en ligne. La vérification de l'identité est une étape cruciale dans de nombreux processus d'intégration, en particulier dans les secteurs soumis à des exigences réglementaires strictes, tels que les services financiers, les soins de santé et l'administration.

Qu'est-ce que la vérification d'identité ?

La vérification d'identité consiste à confirmer qu'une personne est bien celle qu'elle prétend être. Il s'agit d'un sous-ensemble du processus de vérification de l'identité qui se concentre sur la validation des informations fournies par l'individu par rapport à des sources fiables et faisant autorité. La vérification de l'identité consiste à contrôler l'authenticité et la validité des documents d'identité, à comparer les données biométriques ou à vérifier les informations personnelles dans des bases de données fiables. L'objectif de la vérification d'identité est de s'assurer que l'identité revendiquée est authentique, à jour et qu'elle appartient à la personne qui la présente. Ce processus permet de prévenir la fraude à l'identité, l'accès non autorisé et d'autres risques de sécurité associés à des identités fausses ou volées. La vérification de l'identité est un élément essentiel de divers processus commerciaux, tels que l'accueil des clients, le contrôle d'accès et l'authentification des transactions.

Qu'est-ce que l'intégration à distance ?

L'onboarding à distance désigne le processus d'inscription et d'intégration d'un nouvel utilisateur, client ou employé dans les systèmes et services d'une organisation sans nécessiter sa présence physique. Il permet aux individus d'effectuer les étapes d'enregistrement, d'authentification et de vérification nécessaires à distance, généralement par le biais de canaux numériques tels que des sites web, des applications mobiles ou des vidéoconférences. L'intégration à distance a gagné en importance ces dernières années, en raison de la numérisation croissante des services et de la nécessité de disposer de solutions pratiques et accessibles. Il permet aux organisations d'étendre leur portée, d'améliorer l'expérience des utilisateurs et de rationaliser leurs processus d'intégration. Cependant, l'intégration à distance présente également des défis uniques, en particulier en termes de preuve et de vérification d'identité, car elle s'appuie sur des méthodes numériques pour établir la confiance et atténuer les risques de fraude. Les entreprises doivent mettre en œuvre des solutions robustes d'intégration à distance qui concilient sécurité, conformité et expérience utilisateur afin de garantir l'intégrité et la fiabilité du processus.

Obtention de preuves

Cette étape consiste à recueillir des preuves pertinentes auprès de la personne pour étayer sa demande d'identité. Il peut s'agir de documents délivrés par le gouvernement, tels que des passeports ou des permis de conduire, ainsi que de preuves numériques telles que des factures de services publics ou des relevés bancaires.

Vérification de la validité des preuves

Une fois les preuves obtenues, elles doivent être validées pour garantir leur authenticité. Cela implique d'examiner les dispositifs de sécurité des documents physiques, de vérifier l'intégrité des preuves numériques et de rechercher les documents perdus, volés ou périmés auprès de sources faisant autorité.

Confirmation de l'existence de l'identité revendiquée dans le temps

Pour limiter les risques liés aux identités synthétiques, les organisations doivent confirmer que l'identité revendiquée a existé pendant un certain temps. Cela peut se faire en vérifiant l'historique des interactions avec d'autres organisations ou en analysant l'empreinte électronique.


Validation de la base de données (sécurité moyenne à élevée)

  • Exemple : Au cours du processus d'intégration d'un service financier, les informations fournies par l'utilisateur, telles que son nom, son adresse et sa date de naissance, sont comparées à des bases de données fiables telles que les agences d'évaluation du crédit, les registres gouvernementaux et les fournisseurs de services publics. Le système valide l'exactitude et la cohérence des informations dans plusieurs sources afin d'établir l'existence de l'identité.
  • Sécurité - Base de données moyenne offre un niveau de sécurité moyen en validant les informations de l'utilisateur par rapport à des sources tierces fiables. Elle peut être effectuée entièrement en ligne, ce qui rationalise le processus de vérification de l'identité et réduit les interventions manuelles. Combinée à d'autres méthodes de vérification, elle permet d'obtenir une vue d'ensemble de l'identité d'une personne.
  • Facilité d'utilisation - élevée (pour les utilisateurs ayant un historique de crédit/numérique bien établi) Toutefois, la validation des bases de données peut ne pas convenir aux utilisateurs ayant un historique de crédit ou une empreinte numérique limités, tels que les jeunes ou les immigrants récents. Son efficacité repose sur l'exactitude et la sécurité des bases de données consultées, et des données incomplètes, obsolètes ou compromises peuvent conduire à de faux rejets ou à une fraude d'identité potentielle.

Vérification biométrique (sécurité moyenne à élevée)

  • Exemples : Facial (élevé), balayage des empreintes digitales (élevé) Au cours du processus d'intégration d'une application bancaire mobile, l'utilisateur est invité à prendre un selfie et à capturer une photo de sa pièce d'identité délivrée par l'État. L'application utilise la biométrie faciale pour faire correspondre le selfie de l'utilisateur avec la photo de la pièce d'identité afin de vérifier son identité. Bien que la vérification biométrique puisse se faire à l'aide des empreintes digitales, cette méthode n'est pas très répandue car les empreintes digitales ne sont pas un élément de comparaison courant. Par exemple, dans un passeport biométrique, les empreintes digitales ne sont pas présentes ou sont stockées dans un endroit accessible uniquement au gouvernement. Par conséquent, la biométrie faciale est considérée comme la modalité biométrique la plus accessible et la plus pratique.
  • Établit un lien solide entre l'identité réelle et l'identité numérique, ce qui est essentiel pour les permis de conduire mobiles (mDL) et les identités électroniques (eID), ainsi que pour les portefeuilles mobiles.
  • Les niveaux d'assurance varient en fonction de la technologie et des mesures anti-spoofing.
  • Facilité d'utilisation - élevée

Vérification de documents (sécurité moyenne à élevée)

  • Exemples : Vérification par NFC des passeports électroniques et vérification optique des documents d'identité. Une institution financière demande à ses nouveaux clients de fournir une copie de leur document d'identité délivré par le gouvernement (par exemple, un passeport ou un permis de conduire) au cours de la procédure d'accueil. L'institution utilise une technologie automatisée de vérification des documents pour contrôler l'authenticité et la validité de la pièce d'identité.
  • Fournit un niveau élevé d'assurance en vérifiant l'authenticité des documents émis par le gouvernement.
  • L'adoption varie selon les régions en fonction des caractéristiques de sécurité des documents (par exemple, la disponibilité de la technologie NFC).
  • Facilité d'utilisation - moyenne

En savoir plus sur l'OCR et le NFC

Reconnaissance optique de caractères (OCR) :

  • Niveau de sécurité : Faible à moyen - L'OCR permet d'automatiser le processus d'extraction de texte à partir d'images capturées de documents d'identité. Sa précision et sa fiabilité dépendent de plusieurs facteurs. La qualité de l'image capturée joue un rôle crucial dans le succès de l'OCR. Les images de mauvaise qualité, telles que celles qui sont mal éclairées, floues ou éblouissantes, peuvent avoir un impact significatif sur la précision du texte extrait. En outre, l'OCR peut éprouver des difficultés avec des polices, des styles d'écriture ou des langues différents, ce qui peut entraîner des erreurs ou des imprécisions dans les données extraites. Ces limitations peuvent entraîner des faux positifs ou des faux négatifs au cours du processus de vérification de l'identité, compromettant ainsi la sécurité globale.
  • La technologie OCR ne permet pas à elle seule de vérifier l'authenticité ou l'intégrité du document d'identité lui-même. Elle se contente d'extraire le texte de l'image sans évaluer les caractéristiques de sécurité du document ni détecter d'éventuels faux. C'est pourquoi elle doit être utilisée en combinaison avec d'autres méthodes de vérification, telles que les techniques d'authentification des documents ou la comparaison biométrique, afin de renforcer la sécurité globale du processus de vérification de l'identité.
  • Accessibilité et inclusion : Élevé - L'OCR peut être effectuée sur une large gamme de documents d'identité, y compris les passeports, les permis de conduire, les cartes d'identité nationales et d'autres documents d'identité émis par le gouvernement. Cette polyvalence rend l'OCR accessible aux utilisateurs possédant divers types de documents d'identité, quel que soit leur pays d'origine ou le type de document spécifique qu'ils possèdent.
  • L'OCR ne nécessite pas de matériel ou d'équipement spécialisé, ce qui la rend très accessible à une large base d'utilisateurs. Elle peut être facilement intégrée dans des applications mobiles ou des plateformes web, permettant aux utilisateurs de capturer des images de leurs documents d'identité à l'aide de l'appareil photo de leur smartphone ou d'un scanner. Les utilisateurs n'ont donc plus besoin de présenter physiquement leurs documents ou de se rendre dans un lieu spécifique pour la vérification, ce qui améliore la commodité et l'accessibilité du processus. L'OCR s'effectue à la lumière naturelle, mais la vérification des documents à l'aide d'un équipement spécialisé dans un lieu physique peut prendre en charge les contrôles tri-lumière, ce qui n'est pas le cas d'un smartphone.

Lecture des puces de communication en champ proche (NFC) :

  • Niveau de sécurité : élevé - Les passeports modernes et certaines cartes d'identité nationales sont équipés de puces NFC intégrées qui stockent des données signées par cryptographie. Ces données comprennent généralement les informations personnelles du titulaire du document, des données biométriques (telles qu'une image faciale ou des empreintes digitales) et des éléments de sécurité numériques. La signature cryptographique des données garantit leur intégrité et leur authenticité, ce qui les rend très résistantes aux tentatives d'altération ou de falsification.
  • Lorsqu'un appareil doté de la technologie NFC, tel qu'un smartphone ou un lecteur NFC spécialisé, est placé à proximité de la puce NFC du document, il peut lire en toute sécurité les données stockées. L'appareil peut alors vérifier la signature cryptographique à l'aide des certificats numériques de l'autorité émettrice, ce qui garantit que les données proviennent d'une source fiable et qu'elles n'ont pas été modifiées. Ce processus permet de garantir l'authenticité du document et l'identité de son détenteur.
  • La lecture des puces NFC permet également de vérifier des éléments de sécurité supplémentaires, tels que l'authentification active, qui prouve que la puce elle-même est authentique et qu'il ne s'agit pas d'une copie clonée. Cela renforce encore la sécurité du processus de vérification de l'identité, rendant extrêmement difficile pour les fraudeurs de créer des documents contrefaits avec des puces NFC fonctionnelles.
  • Accessibilité et inclusion : Faible à moyenne - Bien que la lecture des puces NFC offre un niveau de sécurité élevé, son accessibilité et son inclusion peuvent être limitées en raison de plusieurs facteurs. L'une des principales contraintes est la nécessité de disposer d'un matériel spécialisé pour lire les puces NFC. Tous les smartphones ou appareils ne sont pas équipés de capacités NFC, et les lecteurs NFC spécialisés ne sont pas toujours disponibles ou abordables pour tous les utilisateurs. Cela limite l'accès à la vérification d'identité basée sur la NFC à ceux qui possèdent des appareils compatibles ou qui ont accès au matériel nécessaire.
  • En outre, l'adoption des puces NFC dans les documents d'identité varie d'un pays à l'autre et d'une région à l'autre. Alors que certains pays, comme de nombreuses nations européennes, ont entièrement intégré les puces NFC dans leurs passeports et leurs cartes d'identité nationales, d'autres n'ont pas encore adopté cette technologie. Ce manque de normalisation limite l'accessibilité et l'inclusivité de la vérification d'identité basée sur la NFC à l'échelle mondiale.

  • L'évaluation des risques : Il s'agit d'évaluer les risques et les impacts potentiels de la fraude à l'identité pour chaque cas d'utilisation spécifique. En comprenant le niveau de risque associé aux différents scénarios, les organisations peuvent prendre des décisions éclairées sur le niveau d'assurance requis pour atténuer efficacement ces risques.
  • Conformité réglementaire : De nombreux secteurs, tels que les services financiers, ont des réglementations et des lignes directrices strictes à respecter, telles que les exigences en matière de connaissance du client (KYC) et de lutte contre le blanchiment d'argent (AML). Les organisations doivent s'assurer que le niveau d'assurance choisi respecte ou dépasse ces normes réglementaires afin d'éviter d'éventuelles répercussions juridiques et financières.
  • L'expérience de l'utilisateur : Si la mise en œuvre de niveaux élevés d'assurance est essentielle à des fins de sécurité, il est tout aussi important de trouver un équilibre avec la facilité d'utilisation et la démographie des utilisateurs. Une solution trop lourde ou trop fastidieuse peut conduire à la frustration et à l'abandon de l'utilisateur. Par conséquent, les organisations doivent s'efforcer de trouver un niveau d'assurance qui assure une sécurité solide tout en minimisant les frictions et en encourageant l'adoption par les utilisateurs.
  • Implications financières de la mise en œuvre et de la maintenance : Les niveaux d'assurance plus élevés nécessitent souvent des technologies plus avancées, du matériel spécialisé et une maintenance permanente, ce qui peut entraîner une augmentation des coûts. Les organisations doivent évaluer soigneusement les coûts de mise en œuvre et les coûts permanents associés à chaque niveau d'assurance et les mettre en regard des avantages et de l'atténuation des risques qu'ils procurent.

Vérification de l'autorisation bancaire

  • La vérification de l'authentification bancaire, également connue sous le nom de vérification du compte bancaire ou d'authentification du compte bancaire, est un processus qui confirme la propriété et la validité du compte bancaire d'un utilisateur. Cette méthode implique généralement que l'utilisateur fournisse ses identifiants bancaires en ligne ou les détails de son compte, qui sont ensuite vérifiés en toute sécurité auprès de la banque concernée. L'authentification bancaire offre un niveau élevé d'assurance, car elle établit un lien solide entre l'identité de l'utilisateur et son institution financière.
  • L'un des principaux avantages de la vérification Bank Auth est sa capacité à tirer parti des mesures de confiance et de sécurité mises en œuvre par les banques. Les institutions financières ont mis en place des procédures strictes de connaissance du client (KYC) et de lutte contre le blanchiment d'argent (AML), ce qui signifie qu'une vérification Bank Auth réussie peut apporter un degré élevé de confiance dans l'identité de l'utilisateur. En outre, cette méthode peut être réalisée entièrement en ligne, ce qui la rend pratique pour les utilisateurs et réduit les frictions dans le processus de vérification de l'identité.
  • Cependant, la vérification par authentification bancaire a aussi ses limites. Certains utilisateurs peuvent hésiter à partager leurs identifiants bancaires en ligne pour des raisons de sécurité, ce qui peut conduire à une désaffection de l'utilisateur. En outre, le succès de cette méthode repose sur le fait que l'utilisateur possède déjà un compte bancaire et que la banque est disposée à participer au processus de vérification. Malgré ces difficultés, la vérification Bank Auth reste un outil précieux dans l'écosystème de la protection de l'identité, en particulier lorsqu'elle est utilisée conjointement avec d'autres méthodes de vérification pour créer une approche solide et multicouche de l'assurance de l'identité.

GIdentité délivrée par le gouvernement

<<< Diagram of the below >>>

  • Niveau de sécurité : élevé - La vérification des informations fournies par l'utilisateur dans les bases de données d'identité gouvernementales, telles que celles gérées par le Department of Motor Vehicles (DMV) ou la Social Security Administration (SSA), offre un niveau de sécurité élevé. Ces bases de données contiennent des enregistrements qui ont fait l'objet de procédures de vérification d'identité approfondies et sont régulièrement mises à jour, ce qui rend difficile pour les fraudeurs de créer de fausses identités ou d'usurper l'identité d'autres personnes.
  • Accessibilité et inclusion : Moyen - Bien que les bases de données d'identité émises par le gouvernement soient complètes et couvrent un large éventail de la population, certaines personnes peuvent rencontrer des difficultés pour être vérifiées avec succès dans ces bases de données. Cela peut être dû à diverses raisons, telles que des incohérences dans les informations personnelles, des changements récents de nom ou d'adresse, ou une interaction limitée avec les agences gouvernementales. En outre, certains groupes marginalisés ou individus ayant une situation particulière peuvent rencontrer des difficultés à être représentés avec exactitude dans ces bases de données.

Bureau de crédit

  • Niveau desécurité : Moyen à élevé - La vérification des informations fournies par l'utilisateur dans les bases de données des agences d'évaluation du crédit offre un niveau de sécurité moyen à élevé. Les agences d'évaluation du crédit tiennent des registres détaillés des antécédents financiers des personnes, y compris les comptes de crédit, les antécédents de paiement et les dossiers publics. Ces bases de données sont régulièrement mises à jour et peuvent aider à identifier des incohérences ou des signaux d'alerte dans les informations fournies par un utilisateur. Toutefois, le niveau de sécurité de la vérification des bases de données des agences d'évaluation du crédit dépend de l'exactitude et de l'exhaustivité des dossiers conservés par les agences d'évaluation du crédit et de la possibilité d'une usurpation d'identité ou d'une fraude.
  • Accessibilité et inclusion : Moyenne - Les agences d'évaluation du crédit ont généralement une couverture très élevée de la population, mais il se peut qu'elles aient des utilisateurs "à faible profil". Un utilisateur à faible profil est quelqu'un qui a un historique de crédit limité, ce qui peut être problématique pour l'évaluation du crédit, la vérification à l'aide de la vérification basée sur la connaissance (KBV) et les indicateurs de risque de fraude (par exemple, la preuve d'une activité au fil du temps). Bien que la couverture des bureaux de crédit soit généralement élevée pour la validation d'une identité, elle peut souffrir d'un décalage parce qu'ils dépendent de la mise à jour des données sources.
  • En outre, certaines personnes peuvent avoir un accès limité au crédit en raison de facteurs socio-économiques, ce qui peut avoir un impact supplémentaire sur le caractère inclusif de la vérification des bases de données des agences d'évaluation du crédit. Les jeunes adultes qui n'ont pas encore d'antécédents en matière de crédit, les immigrants récents qui n'ont pas eu l'occasion d'établir un profil de crédit dans leur nouveau pays, ou les personnes qui dépendent principalement des transactions en espèces peuvent avoir une présence limitée ou inexistante dans les bases de données des agences d'évaluation du crédit. Cela peut poser des problèmes lorsque l'on tente de vérifier leur identité à l'aide des seules données des agences d'évaluation du crédit.

Facture de services publics

  • Niveau de sécurité : Faible à moyen - La vérification des informations fournies par l'utilisateur dans les bases de données de factures de services publics offre un niveau de sécurité faible à moyen. Bien que les factures de services publics puissent fournir une preuve d'adresse, les bases de données qui stockent ces informations peuvent ne pas avoir le même niveau de sécurité et d'exactitude que les bases de données d'identité émises par le gouvernement ou les bases de données des agences d'évaluation du crédit. Les bases de données des factures de services publics peuvent être plus susceptibles de contenir des erreurs, des informations obsolètes ou des entrées frauduleuses. En outre, les factures de services publics elles-mêmes peuvent être relativement faciles à falsifier ou à manipuler, ce qui peut compromettre la sécurité du processus de vérification. Le niveau de sécurité peut être amélioré en recoupant les informations de plusieurs factures de services publics ou en combinant la vérification des factures de services publics avec d'autres méthodes de vérification.
  • Accessibilité et inclusion : Faible - La vérification de la base de données des factures de services publics n'est peut-être pas aussi accessible ou inclusive qu'on le pensait. Les factures des ménages sont généralement adressées à une personne nommée, ce qui signifie que toute autre personne du ménage peut être exclue de cette méthode de vérification. Cela ne se limite pas aux étudiants vivant dans des dortoirs ; dans de nombreuses propriétés louées, les factures de services publics sont au nom du propriétaire, que les services soient inclus dans le loyer ou payés séparément par le locataire. Même les contrats de téléphonie mobile ne sont pas nécessairement liés à l'utilisateur final, comme dans le cas des parents qui paient les factures de leurs enfants.
  • Dans ces situations, la vérification de la base de données des factures de services publics peut ne pas être une option viable pour une grande partie de la population. Cela peut poser des problèmes lorsqu'il s'agit de vérifier l'identité de personnes qui n'ont pas de factures de services publics à leur nom. En outre, les sans-abri ou les personnes vivant dans des logements de transition peuvent ne pas avoir accès aux factures de services publics, ce qui limite encore l'accessibilité et le caractère inclusif de cette méthode de vérification. Afin de garantir l'accessibilité et l'inclusion de tous les utilisateurs, d'autres méthodes de vérification devront peut-être être envisagées en complément ou en remplacement de la vérification de la base de données des factures d'eau et d'électricité.

Liste électorale

  • Niveau de sécurité : Moyen - La vérification des informations fournies par l'utilisateur dans les bases de données des listes électorales offre un niveau de sécurité moyen. Les listes électorales contiennent des informations sur les électeurs inscrits, notamment leur nom, leur adresse et leur date de naissance, qui peuvent être utilisées pour corroborer l'identité d'un utilisateur. Toutefois, l'exactitude et l'exhaustivité des bases de données des listes électorales peuvent varier en fonction de la fréquence des mises à jour et de l'efficacité du processus d'inscription des électeurs. Dans certains cas, les listes électorales peuvent ne pas inclure toutes les personnes éligibles, telles que celles qui ont récemment atteint l'âge de 18 ans ou celles qui ne se sont pas activement inscrites sur les listes électorales. En outre, la sécurité des bases de données des listes électorales peut être sujette aux mêmes vulnérabilités que les autres bases de données gouvernementales, telles que le risque de violation des données ou d'accès non autorisé.
  • Accessibilité et inclusion : Faible à moyen - Raison : L'accès aux données des listes électorales est souvent restreint, ce qui peut limiter l'accessibilité et l'inclusion de cette méthode de vérification. Dans certains pays, comme le Royaume-Uni, la version non éditée des listes électorales n'est accessible qu'aux organisations prescrites, comme les agences d'évaluation du crédit. Cela signifie que de nombreuses organisations n'ont pas d'accès direct à la base de données complète des listes électorales, ce qui réduit l'accessibilité globale de cette méthode de vérification.
  • En outre, certains groupes d'individus peuvent être exclus des bases de données des listes électorales, même dans les pays où l'inscription sur les listes électorales est obligatoire ou largement encouragée. Par exemple, les personnes qui ne sont pas inscrites sur les listes électorales, soit par choix, soit en raison de restrictions d'éligibilité, n'y figureront pas. De même, les personnes qui ont récemment déménagé ou changé d'adresse peuvent ne pas avoir mis à jour leur inscription sur les listes électorales, ce qui entraîne des divergences dans le processus de vérification. Dans certains pays, des groupes marginalisés peuvent être confrontés à des obstacles à l'inscription sur les listes électorales, ce qui peut encore limiter le caractère inclusif de la vérification de la base de données des listes électorales.

Opérateur de réseau mobile (ORM)

  • Niveau de sécurité : Moyen - Les ORM collectent et stockent les informations d'identité fournies par les individus lors de l'enregistrement de la carte SIM, y compris le nom, l'adresse et (dans certains pays) les détails d'identification délivrés par le gouvernement. Ces données peuvent être utilisées pour corroborer l'identité d'un utilisateur au cours du processus de vérification. Toutefois, le niveau de sécurité de la vérification de la base de données de l'ORM dépend de la précision et de la fiabilité des processus de collecte et de vérification des données de l'ORM. Dans certains cas, les informations d'identité associées à un numéro de téléphone mobile peuvent être obsolètes, inexactes ou incomplètes, en particulier si la carte SIM a été enregistrée il y a longtemps ou si l'utilisateur a modifié ses données personnelles sans mettre à jour les dossiers de l'ORM. En outre, la sécurité des bases de données des ORM peut être compromise, ce qui risque de nuire à l'intégrité du processus de vérification.
  • Accessibilité et inclusion : Élevée - Avec l'adoption généralisée des téléphones mobiles, la vérification des ORM est très accessible à une grande partie de la population. Cependant, elle peut exclure les personnes qui ne possèdent pas de téléphone portable ou celles qui utilisent des services prépayés sans fournir d'informations personnelles détaillées.

Reconnaissance optique de caractères (OCR)

  • Niveau de sécurité : Faible à moyen - L'OCR repose sur la qualité de l'image capturée et la précision des algorithmes de reconnaissance de texte. Bien qu'elle permette d'extraire des données de documents d'identité, elle ne vérifie pas intrinsèquement l'authenticité du document lui-même. L'OCR peut être sujette à des erreurs et peut ne pas détecter des falsifications ou des manipulations sophistiquées du texte du document.
  • Accessibilité pour l'utilisateur : élevée - La technologie OCR est largement disponible et peut être intégrée dans diverses applications destinées à l'utilisateur, telles que des applications mobiles ou des services en ligne. Les utilisateurs peuvent facilement capturer des images de leurs documents d'identité à l'aide de smartphones ou d'autres appareils, ce qui rend le processus pratique et accessible.
  • Accessibilité pour l'opérateur : élevée - La technologie OCR est relativement facile à mettre en œuvre et à utiliser, avec de nombreuses solutions prêtes à l'emploi et des API disponibles. Les opérateurs peuvent intégrer les fonctionnalités OCR dans leurs systèmes existants sans avoir besoin de connaissances ou de ressources spécialisées étendues.

Lecture des puces de communication en champ proche (NFC)

  • Niveau de sécurité : élevé - Les puces NFC des passeports modernes et de certaines cartes d'identité nationales stockent des données signées par cryptographie, y compris des informations personnelles, des données biométriques et des éléments de sécurité numériques. Cette signature cryptographique garantit l'intégrité et l'authenticité des données, ce qui les rend très résistantes à la falsification. Les dispositifs compatibles NFC peuvent lire les données en toute sécurité et vérifier la signature cryptographique, ce qui garantit l'authenticité du document et l'identité de son détenteur. Des fonctions de sécurité supplémentaires, telles que l'authentification active, renforcent encore la sécurité du processus de vérification.
  • Accessibilité pour l'utilisateur : Faible à moyenne - La lecture des puces NFC nécessite un matériel spécialisé, tel que des smartphones compatibles NFC ou des lecteurs dédiés, qui peuvent ne pas être largement disponibles ou abordables pour tous les utilisateurs. En outre, l'adoption des puces NFC dans les documents d'identité varie d'un pays à l'autre, ce qui limite l'accessibilité et l'inclusivité au niveau mondial.
  • Accessibilité de l'opérateur : Faible à moyenne - La mise en œuvre de la lecture des puces NFC nécessite des composants matériels et logiciels spécialisés, qui peuvent ne pas être aussi largement disponibles ou rentables que d'autres technologies de vérification des documents. L'extraction et le traitement des données des puces NFC nécessitent également des connaissances et une expertise techniques spécifiques, ce qui peut limiter l'accessibilité des opérateurs disposant de ressources techniques limitées.

Lecture des zones lisibles par machine (MRZ)

  • Niveau de sécurité : Moyen - Le MRZ est un format normalisé qui comprend des mécanismes de détection d'erreurs, ce qui le rend plus fiable que la reconnaissance de texte brut. Toutefois, les données MRZ peuvent être copiées ou modifiées, et la présence d'une MRZ valide ne garantit pas l'authenticité de l'ensemble du document.
  • Accessibilité pour l'utilisateur : élevée - À l'instar de l'OCR, la lecture de la MRZ peut être effectuée facilement à l'aide d'appareils aisément disponibles, tels que les smartphones ou les scanners de documents spécialisés. Les utilisateurs peuvent capturer des images de la MRZ sur leurs documents d'identité sans avoir besoin d'un équipement spécialisé.
  • Accessibilité pour l'opérateur : élevée - La technologie de lecture MRZ est largement supportée et peut être intégrée dans divers systèmes et applications. Les opérateurs peuvent s'appuyer sur les bibliothèques et les outils existants pour mettre en œuvre les capacités de lecture MRZ sans complexité ni coût importants.

Lecture de codes-barres

  • Niveau de sécurité : Faible à moyen - Les codes-barres permettent de stocker des données codées, mais ils n'offrent pas intrinsèquement de solides caractéristiques de sécurité. Les codes-barres peuvent être facilement reproduits ou manipulés, et la présence d'un code-barres valide ne garantit pas l'authenticité de l'ensemble du document.
  • Accessibilité pour l'utilisateur : élevée - La lecture des codes-barres est une technologie courante. Les utilisateurs peuvent facilement scanner les codes-barres sur leurs documents d'identité sans avoir besoin d'équipement spécialisé ou de connaissances techniques.
  • Accessibilité pour l'opérateur : élevée - La technologie de lecture des codes-barres est largement prise en charge et peut être facilement intégrée dans divers systèmes et applications. Les opérateurs peuvent utiliser les bibliothèques et les outils existants pour mettre en œuvre des capacités de lecture de codes-barres avec un minimum d'efforts et de ressources.

Lecture du code QR

  • Niveau de sécurité : Faible à moyen - Les codes QR peuvent stocker plus de données que les codes-barres traditionnels, mais ils sont confrontés à des limitations de sécurité similaires. Les codes QR peuvent être facilement générés ou manipulés, et la présence d'un code QR valide ne garantit pas l'authenticité de l'ensemble du document.
  • Accessibilité pour l'utilisateur : élevée - La lecture des codes QR est largement prise en charge par les smartphones et d'autres appareils courants. Les utilisateurs peuvent facilement scanner les codes QR sur leurs documents d'identité à l'aide d'applications facilement disponibles ou de la fonctionnalité de l'appareil photo intégré.
  • Accessibilité pour l'opérateur : élevée - La technologie de lecture des codes QR est largement prise en charge et peut être facilement intégrée dans divers systèmes et applications. Les opérateurs peuvent s'appuyer sur les bibliothèques et les outils existants pour mettre en œuvre les capacités de lecture des codes QR sans que cela ne soit trop complexe ou ne nécessite trop de ressources.

Vérification des documents mobiles (cette méthode est mise en œuvre dans le permis de conduire mobile (mDL), l'identification électronique (eID) et d'autres portefeuilles, tels que ceux de Google et d'Apple).

  • Niveau de sécurité : Moyen à élevé - La vérification des documents mobiles s'appuie sur les dispositifs de sécurité intégrés aux appareils mobiles et aux portefeuilles numériques, tels que le stockage sécurisé des éléments et l'authentification biométrique. Les documents numériques eux-mêmes peuvent intégrer des signatures cryptographiques et d'autres mesures de sécurité, ce qui renforce leur résistance à l'altération ou à la falsification.
  • Accessibilité pour l'utilisateur : élevée - La vérification mobile des documents permet aux utilisateurs de stocker et de présenter leurs documents d'identité numériques à l'aide de leurs smartphones ou d'autres appareils mobiles. Les utilisateurs disposent ainsi d'une méthode pratique et facilement accessible pour gérer et partager leurs justificatifs d'identité.
  • Accessibilité de l'opérateur : Moyenne à élevée - La mise en œuvre de la vérification mobile des documents nécessite une intégration avec les plateformes mobiles et les fournisseurs de portefeuilles numériques. Bien qu'il existe des cadres et des API établis, les opérateurs peuvent avoir besoin d'investir dans des ressources de développement et de s'assurer de la compatibilité avec les différents appareils mobiles et systèmes d'exploitation.

Validation visuelle des dispositifs de sécurité

  • Niveau de sécurité : Moyen à élevé - Les éléments de sécurité visuels, tels que les hologrammes, les micro-impressions et les motifs UV, sont conçus pour être difficiles à reproduire ou à manipuler. La validation de ces caractéristiques peut aider à détecter les documents contrefaits ou modifiés, offrant ainsi une couche de sécurité supplémentaire par rapport à la seule extraction des données.
  • Accessibilité pour l'utilisateur : élevée - La validation visuelle des éléments de sécurité peut être effectuée à l'aide d'appareils photo à haute résolution installés sur des smartphones ou d'autres dispositifs facilement accessibles. Les utilisateurs peuvent capturer des images de leurs documents d'identité sans avoir besoin d'un équipement spécialisé ou d'une expertise technique.
  • Accessibilité de l'opérateur : Moyenne à élevée - La mise en œuvre de la validation visuelle des éléments de sécurité nécessite des algorithmes de vision par ordinateur et des modèles d'apprentissage automatique formés pour reconnaître et valider des éléments de sécurité spécifiques. Bien qu'il existe des solutions et des cadres existants, les opérateurs peuvent avoir besoin d'investir dans le développement ou l'adaptation de ces modèles pour leurs cas d'utilisation spécifiques.

Extraction d'images faciales

  • Niveau de sécurité : Moyen à élevé - L'extraction de l'image faciale permet une comparaison biométrique entre l'image figurant sur le document d'identité et un selfie en direct ou une image précédemment enregistrée de l'utilisateur. Cela permet d'établir un lien solide entre le document et la personne qui revendique l'identité, réduisant ainsi le risque d'usurpation d'identité ou de fraude. Les niveaux de sécurité dépendent des performances de la technologie biométrique faciale utilisée.
  • Accessibilité pour l'utilisateur : élevée - La décision de créer un modèle biométrique pour une utilisation continue et plus large avec des organisations vérifiées est laissée à la discrétion de l'individu. Les utilisateurs peuvent facilement capturer des images de leurs documents d'identité et fournir des selfies en direct à des fins de comparaison, ce qui rend le processus pratique et accessible.
  • Accessibilité de l'opérateur : Moyenne à élevée - La mise en œuvre de l'extraction d'images faciales nécessite des algorithmes de vision par ordinateur et une technologie biométrique faciale. Bien qu'il existe plusieurs solutions disponibles, les opérateurs peuvent avoir besoin d'investir dans le développement ou l'intégration de ces capacités dans leurs systèmes. Garantir la précision, l'équité et la conformité légale de la technologie biométrique faciale peut également ajouter de la complexité au processus de mise en œuvre.

En fin de compte, ces méthodes et technologies peuvent être utilisées indépendamment ou dans diverses combinaisons, en fonction du type de document d'identité à vérifier et des exigences spécifiques du processus de vérification. Les organisations choisissent généralement la combinaison la plus appropriée en fonction de facteurs tels que le niveau de sécurité, l'expérience de l'utilisateur et les types de documents d'identité qu'elles doivent prendre en charge.

Biométrie par empreintes digitales

  • Niveau de sécurité : Moyen - Les empreintes digitales sont uniques et difficiles à falsifier, mais elles peuvent être compromises si elles sont volées dans une base de données ou reproduites à l'aide d'images à haute résolution ou de fausses empreintes digitales.
  • Accessibilité et inclusion : Moyen - Les capteurs d'empreintes digitales sont largement disponibles sur les smartphones, ce qui les rend accessibles à de nombreux utilisateurs. Toutefois, certaines personnes peuvent avoir des difficultés à utiliser les scanners d'empreintes digitales en raison de problèmes de peau, de blessures ou d'empreintes digitales usées.

Biométrie faciale

  • Niveau de sécurité : élevé - Les algorithmes avancés, le mappage 3D et les mécanismes de défi-réponse rendent difficile l'usurpation de la biométrie faciale. Toutefois, le niveau de sécurité peut être inférieur si ces fonctions avancées ne sont pas mises en œuvre.
  • Accessibilité et inclusion : Élevée - Les visages sont utilisés sur la plupart des documents d'identité délivrés par le gouvernement, tels que les passeports, ce qui facilite le lien entre la vérification de l'identité et le visage de l'utilisateur. La vérification biométrique faciale est sans contact et peut être utilisée avec les caméras existantes, ce qui la rend très accessible. Elle peut s'adapter aux utilisateurs à mobilité réduite ou à ceux qui ne peuvent pas utiliser d'autres modalités biométriques, telles que les empreintes digitales.

Biométrie palmaire

  • Niveau de sécurité : élevé - Les motifs des veines de la main sont uniques, difficiles à usurper et restent stables dans le temps. La combinaison des veines et des empreintes de la paume de la main constitue une solution de sécurité solide.
  • Accessibilité et inclusion : Moyen - Les scanners biométriques palmaires sont moins répandus que les capteurs d'empreintes digitales ou les caméras et ne sont pas liés aux documents d'identité délivrés par le gouvernement. Certains utilisateurs peuvent avoir besoin d'une formation pour positionner correctement leur paume sur le scanner. Toutefois, de nouveaux travaux de recherche et de développement plus récents ont vu le jour, permettant aux utilisateurs d'utiliser l'appareil photo de leur smartphone pour capturer l'image de leur paume.

Autres considérations

  • Précision et partialité : les algorithmes biométriques peuvent présenter des niveaux variables de précision et de partialité en fonction de facteurs tels que l'âge, le sexe et l'appartenance ethnique. Les organisations devraient évaluer soigneusement les performances de la solution choisie dans divers groupes démographiques afin de garantir l'équité et de minimiser les faux positifs ou négatifs.
  • Le respect de la vie privée : La collecte, le stockage et l'utilisation de données biométriques soulèvent d'importantes questions en matière de protection de la vie privée, car ces données sont très sensibles et ne peuvent pas être facilement modifiées si elles sont compromises. Les organisations doivent respecter des réglementations strictes en matière de protection des données et les meilleures pratiques, comme l'obtention du consentement explicite de l'utilisateur, la mise en œuvre de méthodes de stockage et de transmission sécurisées, et la définition de politiques claires de conservation et de suppression des données.
  • Paysage de la menace : Bien que les techniques biométriques visent à atténuer le risque d'attaques par présentation (par exemple, en utilisant des photos, des vidéos ou des masques), des adversaires sophistiqués peuvent toujours tenter de tromper le système en utilisant des copies de haute qualité ou des supports numériques avancés (tels que des échanges de visages). Les organisations doivent se tenir informées des dernières menaces et mettre à jour en permanence leurs mesures anti-spoofing afin de maintenir un niveau de sécurité élevé.

Nous reviendrons plus en détail sur la biométrie dans le document 3 du Spectre de l'identité - Technologies biométriques.

  • Procéder à une évaluation approfondie des risques : Avant de mettre en œuvre une solution de vérification d'identité, les organisations doivent évaluer les risques associés à leurs cas d'utilisation spécifiques. Il s'agit notamment d'évaluer l'impact potentiel de l'usurpation d'identité, la sensibilité des données ou des services auxquels on accède et les exigences réglementaires. L'évaluation des risques permet de déterminer le niveau d'assurance nécessaire.
  • Trouver un équilibre entre la sécurité, la conformité, l'expérience de l'utilisateur et le coût : Les solutions de vérification de l'identité doivent trouver un équilibre entre la sécurité, la conformité réglementaire, l'expérience de l'utilisateur et les considérations de coût. Si des mesures de sécurité solides sont essentielles, elles ne doivent pas se faire au détriment d'une expérience utilisateur transparente. Les organisations doivent également prendre en compte les implications financières de la mise en œuvre et de la maintenance des différentes technologies de vérification de l'identité.
  • Adopter une approche multicouche : La combinaison de plusieurs méthodes et technologies de vérification peut améliorer le niveau d'assurance global. Une approche multicouche rend plus difficile pour les fraudeurs de contourner le processus de vérification de l'identité et fournit une vue plus complète de l'identité d'un individu.
  • Réviser et mettre à jour régulièrement les processus : Les processus de vérification de l'identité doivent être régulièrement revus et mis à jour pour suivre l'évolution des menaces et des avancées technologiques. Les organisations doivent se tenir informées des meilleures pratiques émergentes, des normes industrielles et des changements réglementaires afin de garantir l'efficacité continue de leurs efforts de vérification de l'identité.

iProov : Confiance de la part de

Logo du NHS
Logo ING
Banque Knab

Ce n'est qu'avec Dynamic Liveness que vous pouvez être sûr qu'un individu est la bonne personne, une vraie personne, qui s'authentifie en ce moment même.

LES CERTIFICATIONS SONT IMPORTANTES.

Apprendre pourquoi

  • Niveau d'assurance de l'eIDAS Élevé
  • ISO/IEC 30107-3
  • SOC 2 Type II
  • Certification du cadre de confiance de l'identité numérique et des attributs du gouvernement britannique
  • Fournisseur certifié G-Cloud
  • Fournisseur de services d'atténuation pour les FIS de la Réserve fédérale
  • iBeta
  • iRAP
  • Laboratoire national de physique du Royaume-Uni (NPL)

Planifiez votre démonstration gratuite !