En France, 6% des documents d’identité seraient frauduleux, selon le Ministère de l’Economie et des Finances. Depuis la pandémie de Covid-19 et le recours accru aux services à distance, les fraudeurs se professionnalisent et les attaques deviennent de plus en plus sophistiquées. Concernant les moyens de paiement par exemple, le montant total de la fraude dans ce secteur aurait augmenté de 8% en 2021 selon le dernier rapport de la Banque de France. 

Une grande partie de la fraude pourrait pour autant être détectée bien en amont de la souscription de l’attaquant à un nouveau service en ligne, et ce grâce à un parcours de KYC sécurisé, capable de reconnaître des attaques à l’identité sophistiquées. En vérifiant l’identité de vos utilisateurs en amont, vous protégez vos clients et réduisez le coût de la fraude sur vos parcours d’entrée en relation à distance. 

I) Quels sont les différents types de fraude à l’identité ?

Pour reconnaître les différents types de fraude à l’identité, il est nécessaire de comprendre l’objectif de l’attaquant. Le fraudeur souhaite-t-il voler l’identité d’une personne physique existante ou créer une identité de toute pièce ? Dans les cas où l’attaquant utilise l’identité d’une personne existante, on parle alors d’usurpation d’identité. Le Code Pénal définit l’usurpation d’identité comme le fait de “s’attribuer une identité à laquelle on ne peut prétendre, à utiliser l’identité d’un tiers” (art 226-4-1). En France, 400 000 usurpations d’identité sont déclarées chaque année. L’usurpation d’identité est d’ailleurs perçue comme une des 15 principales cybermenaces par l’Agence européenne chargée de la sécurité des réseaux et de l’information dans le rapport ENISA. 

En revanche, si le fraudeur crée une identité de toute pièce, on ne parle pas d’usurpation d’identité mais de contrefaçon ou de fausse identité. 

À savoir également, les fraudes à l’identité peuvent être réalisées sur les documents d’identité eux-mêmes ou sur le visage d’une personne, ce sont alors des “spoofing attacks”.

Concernant les fraudes sur les documents, il est important de distinguer les techniques dites “physiques” et plutôt “artisanales” des techniques numériques, apparues avec la digitalisation des outils aux mains des fraudeurs.

Les fraudes sur les documents d’identité 

• La Contrefaçon physique : c’est une copie ou reproduction non-autorisée d’un document officiel, d’un template, réalisée par des moyens quelconques. Le document d’identité en lui-même n’est pas authentique, c’est une reproduction. En général, il s’agit d’un collage ou d’une fabrication artisanale.
• La Falsification physique : c’est la modification d’un document authentique. Un des cas les plus banals surgit lors de vols de pièces d’identité, où le fraudeur change quelques données clefs. Le support de base est donc authentique mais les données du document ont été falsifiées. Les champs les plus souvent modifiés sont le nom, le prénom, la date de naissance ou encore la photo de la personne. 

 Dans le cas de contrefaçons ou de falsifications physiques, les documents sont reproduits ou modifiés “à la main” (collage, photocopie), à la différence des techniques numériques, assistées des nouvelles technologies : 

• La Contrefaçon numérique : c’est la fabrication d’une pièce d’identité de toute pièce à l’aide des outils digitaux à la disposition de l’attaquant. 
• La Falsification numérique : concerne la modification d’un document authentique en utilisant un filtre numérique sur un document pour modifier les données clefs de l’identité d’une personne.

 Nous l’avons vu, les fraudes à l’identité peuvent être liées au document d’identité. Toutefois, ce ne sont pas les seules types de fraudes à être utilisées par les attaquants. L’attaque frauduleuse peut être réalisée au niveau du visage de la personne dans le cadre d’usurpations d’identité. On parle alors de “facial spoofing”. 

Les attaques de “facial spoofing”

Le “facial spoofing” décrit l’utilisation du visage d’une personne pour usurper ses données biométriques faciales. Parmi les méthodes utilisées par les attaquants, on retrouve des techniques dignes de film d’espionnage comme le maquillage ou l’utilisation de masques et d’accessoires. Des méthodes de plus en plus sophistiquées et assistées de l’intelligence artificielle sont également apparues ces dernières années : les deepfakes. Penchons-nous sur ces différentes techniques. 

1. Les masques : les masques sont des techniques statiques en “2D” ou en “3D”. La méthode en 2D consiste généralement en la superposition d’une photo ou d’un masque sur une surface plane. C’est une des techniques de “spoofing” la moins sophistiquée et donc, une des plus simples à détecter. Certains attaquants utilisent des méthodes plus difficiles à réaliser, grâce à la création de masques à impression 3D basés sur une photographie d’un visage existant. Ces masques 3D nécessitent un équipement technique spécifique.
2. Les deepfakes : de plus en plus médiatisées, les deepfakes apparaissent aujourd’hui dans le secteur de la vérification d’identité grâce aux données biométriques faciales. Le deepfake est une méthode d’injection vidéo ou audio sur un flux existant. L’injection vidéo peut avoir lieu en direct ou à l’aide d’une vidéo pré-enregistrée. Le deepfake est basé sur l’intelligence artificielle. Un des cas les plus médiatisés de deepfake a été réalisé en avril 2018 sur le visage de Barack Obama. Sur cette vidéo vue par 3 millions de personnes en quelques heures, Barack Obama parle de Donald Trump en termes peu élogieux. La vidéo est en réalité un deepfake et Barack Obama ne s’est définitivement pas exprimé ce jour-là. Les techniques de deepfakes évoluent constamment, ce qui implique de développer des méthodes de plus en plus sophistiquées pour les reconnaître.

II) Comment reconnaître et lutter efficacement contre ces différents types de fraude à l’identité ? 

En tant que service en ligne, il est primordial de mettre en place une procédure de KYC sécurisée pour se prémunir de ces fraudes dès l’entrée de l’utilisateur dans le parcours client.  Les services financiers et les fintechs se doivent de respecter les règlementations en vigueur autour de la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT). Pour cela, le KYC est une étape indispensable pour que l’utilisateur accède au service souhaité. Le KYC consiste en la vérification en ligne de l’identité des utilisateurs afin de leur permettre l’accès à un service. Chez ubble, notre technologie de vérification d’identité à distance (KYC) est conforme aux réglementations LCB-FT. 

Depuis 2018, ubble s’appuie sur un modèle sans compromis sur la sécurité pour garantir une vérification d’identité en ligne équivalente à celle d’un face-à-face. Pour cela nous avons développé un KYC en vidéo-streaming pour la vérification d’identité à distance, assistée de l’intelligence artificielle et de nos opérateurs humains. Dans un contexte de streaming en temps réel, nous pouvons mettre en avant les limites des fraudes grâce à deux méthodes phares :

1. Le “liveness” ou la “preuve de vie” : consiste à s’assurer que la personne est bien “en vie” et en train de se filmer en direct. Pour cela, nous nous assurons des mouvements de la personne. Nous avons déployé des challenges aléatoires sur notre IA pour prémunir les deepfakes pré-enregistrées. Par exemple, notre IA peut demander à l’utilisateur de bouger la tête. Cela permet de détecter les artefacts sur le visage, les flous, les changements de couleur de la peau ou encore les expressions du visage. Grâce au liveness, nos opérateurs peuvent identifier des fraudes aux masques ou des tentatives de deepfake. En live video-streaming, un fraudeur n’a pas la possibilité de corriger les imperfections du deepfake.
2. Le Doc-face-match : nos opérateurs vérifient des points clefs entre la photo présente sur le document d’identité et les caractéristiques du visage filmé. Nos opérateurs vont notamment regarder la forme du front et des sourcils, la distance entre les yeux, la forme du menton ou du nez, la naissance des cheveux, etc… 

Nos experts fraude vérifient également la cohérence et la véracité des documents d’identité entrants. Les principaux éléments permettant de détecter un faux sont basés sur le fond d’impression, la forme ou texture du support ou encore les éléments de sécurité dynamiques.

Chez ubble, notre technologie de vérification d’identité à distance vidéo basée sur l’intelligence artificielle et associée à une vérification humaine permet de diviser par 9 le risque de fraudes à l’identité. 

Aujourd’hui, ubble est en cours de certification PVID par l’ANSSI. Ce nouveau référentiel est en totale adéquation avec les choix développés en natif chez ubble depuis 2018. Ces choix natifs sont basés sur 3 piliers :

• un KYC en vidéo-streaming, 
• une hybridation de l’IA et de l’humain  
• un cloud certifié SecnumCloud. 

Opter pour notre solution, en cours de certification PVID, c’est s’assurer de sécuriser vos services, en conformité avec les normes existantes et de maximiser la lutte contre la fraude à l’identité à distance.