Vérification d’identité à distance : Nouveaux vecteurs de fraude ?
Interview de Stéfane Mouille directeur du laboratoire européen d’évaluation des technologies biométriques du Cabinet Louis Reynaud – CLR Labs.
Depuis quelques années la fraude se propage au monde de la relation à distance. FraudNews a souhaité aborder les vecteurs de la fraude potentielle lors de la vérification d’identité à distance qui sont des facteurs de risques importants pour de nombreuses entreprises.
FraudNews : Merci Stéfane d’avoir accepté de répondre à nos questions. Pouvez-vous exposer à nos lecteurs vos activités au sein du Cabinet Louis Reynaud ?
Stéfane Mouille : Nous sommes très heureux de pouvoir répondre aux questions de FraudNews pour apporter notre expérience sur les risques de fraude dans la vérification d’identité à distance.
CLR Labs est le laboratoire européen, basé en France à La Ciotat, dédié à l’évaluation des technologiques biométriques et de sécurité, fondé par des experts multidisciplinaires de l’industrie cumulant un siècle d’expérience en biométrie et en sécurité. De nombreux industriels, intégrateurs de systèmes complexes et fournisseurs de services de confiance français et européens lui font confiance pour évaluer leurs produits et solutions utilisant les technologies biométriques dans le cadre du passage au frontière, du paiement sécurisé, du contrôle d’accès physique, de l’authentification électronique en ligne et plus généralement dans le domaine de la gestion et vérification de l’identité numérique.
FraudNews : Pourriez vous nous décrire les problématiques que vous avez pu évaluer dans le cadre de la vérification d’identité à distance ?
Stéfane Mouille : Tout d’abord, la vérification d’identité est une obligation règlementaire dans de nombreux cas d’usage, notamment pour l’ouverture d’un compte bancaire, l’octroi d’un crédit, la souscription d’une assurance ou un abonnement auprès d’un opérateur télécom ainsi que dans le domaine de l’émission de certificat de signature qualifiée, élément nécessaire à créer la confiance dans le monde numérique. De nombreuses réglementations européennes couvrent largement ce sujet tels que : la réglementation contre le blanchiment d’argent (AML en anglais), la réglementation sur l’identification électronique et les fournisseurs de services de confiance (eIDAS).
Accélérées par la pandémie, les interactions commerciales ou sociales à distance et à travers le monde du numérique ont pris une importante primordiale.
La vérification à distance permet d’avoir un certain niveau de confiance de l’authenticité des pièces justificatives de l’identité des personnes (carte d’identité, passeport, carte de résident) et des éléments de caractères physiques et biométriques de la personne à travers la reconnaissance faciale, ce qui permet d’avoir une vérification d’identité à distance basée sur deux facteurs : le titre d’identité et la reconnaissance faciale entre une capture vidéo d’un visage et la photo présente sur le titre.
FraudNews : Quels sont les risques associés à ce nouvel usage ?
Stéfane Mouille : Il existe deux types de risques : la falsification ou la contrefaçon du titre d’identité et la falsification du visage de la personne.
FraudNews : Mais comment est-il possible de falsifier un visage d’une personne ?
Stéfane Mouille : Nous faisons face à deux vecteurs d’attaques : le premier est basé sur la présentation d’artefacts physiques de la personne, ces artefacts peuvent être une simple photo collectée sur les réseaux sociaux et imprimée sur différents supports (papier, carton) ou présentée sur différents types d’écrans (Smart Phone, TV etc….) ou même de masques. Le second vecteur est basé sur le remplacement du flux vidéo produit par la caméra du smart phone ou du PC utilisé pour réaliser la vérification d’identité à distance par une vidéo falsifiée. On parle dans ce cas d’attaque par injection de données biométriques.
FraudNews : Comment est-il possible de remplacer un flux de vidéo ?
Stéfane Mouille : Plusieurs solutions sont possibles dont la plus simple est l’utilisation de caméra virtuelle. Il existe de nombreuses façons de réaliser ce type d’attaque, certaines demandent une connaissance profonde des techniques de tests de pénétration qui sont utilisées pour les évaluations de sécurité réalisées dans le cadre de schéma de certification de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dont le schéma CSPN (certification de sécurité de premier niveau).
FraudNews : Comment cette falsification de vidéo peut-elle être réalisée ?
Stéfane Mouille : La plus parlante des méthodes potentielles est celle du Deepfake, c’est-à-dire que l’on va créer un masque numérique de la victime à partir de vidéos collectées sur les réseaux sociaux et on va l’apposer sur le visage de l’attaquant qui va lui-même réaliser les actions demandées lors de la vérification d’identité. Au-delà des applications Deepfake pour smartphone qui ne sont pas les plus élaborées, sur Internet, vous pouvez accéder à des algorithmes de génération de Deepfake très performants.
FraudNews : et qu’en est-il pour la falsification vidéo des titres d’identité ?
Stéfane Mouille : Il en est de même, en utilisant les mêmes techniques d’injection vidéo et de falsification de vidéo il est possible de modifier par exemple la photo du titre.
FraudNews : Quelles sont les mesures à prendre pour limiter ce risque ?
Stéfane Mouille : Ce risque a été identifié il y a environ trois ans et grâce à la persévérance de l’ANSSI nous disposons d’un schéma de certification des prestataires de vérification d’identité à distance (PVID) qui couvrent tous ces risques. Ce schéma est unique au monde et sert de référence à de nombreux pays qui sont en phase de préparation de leur schéma de certification. Dans ce cadre, le Cabinet Louis Reynaud – CLR Labs a proposé à l’organisme de normalisation européen CENCENELECT de créer une norme sur les attaques par injection de données biométriques et nous avons l’honneur d’en être l’éditeur.
Nous accueillons tous les experts européens les 8 et 9 décembre dans notre belle ville de la Ciotat. Faire de la biométrique de type reconnaissance faciale dans la ville ou fut tourné le premier film au monde est très symbolique. La Ciotat est la ville où nous passons « de la lumière à l’image », l’image étant la base de toute vidéo.
FraudNews : Merci Stéfane Mouille pour ces informations qui permettent de mieux mesurer les risques de fraude dans le monde du digital et qui seront utiles aux lecteurs de FraudNews. Nous invitons tous les prestataires de vérification d’identité à distance et les entreprises intégrant ces technologies dans l’entrée en relation à se rapprocher du cabinet CLR Labs pour évaluer leur solution de contrôle.
Stéfane Mouille : Merci à FraudNews et nous sommes heureux d’être dans les premiers à pouvoir s’exprimer dans cette nouvelle initiative de partage de l’information dans la lutte contre la fraude.
FraudNews rédaction