État actuel de la fraude : la menace croissante des attaques par injection vidéo
Les progrès technologiques et l’omniprésence de l’IA ont des répercussions dans tous les secteurs d’activité. Mais lorsqu’il s’agit de prévenir les vols d’identité et les fraudes à l’identité, le fait de pouvoir disposer de ces outils est à double tranchant. Garder une longueur d’avance sur les fraudeurs est un réel défi qui se pose aux organismes de régulation et aux prestataires de services de confiance, lesquels font part de tentatives de plus en plus sophistiquées et agressives, année après année.
S’inspirant de quelques précieuses informations partagées lors d’un atelier de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information) consacré à l’identification à distance par vidéo, notre CPO (Directeur Produit), Tomas Zuoza, indique que le volume croissant des cas de fraudes et leur diversité sont une préoccupation majeure. En effet, iProov, l’un des plus grands prestataires de solutions de vérification de l’identité dans le monde, a fait part d’une augmentation de 295% des attaques par injection vidéo au cours du second semestre de 2022 (comparé au premier semestre).
La technologie permet de frauder à haut niveau et à moindre effort
Pour un fraudeur, s’authentifier à l’aide de faux documents ou avec les documents de quelqu’un qui lui ressemble fait partie des plus vieux tours de passe-passe. Il s’agit également de l’écrasante majorité des cas de fraude dans le monde virtuel. Mais, selon Tomas, le plus grand défi à relever est celui des nouvelles catégories et sous-catégories d’attaques dérivées des algorithmes de sécurité. « Je mettrais ici en lumière deux types d’attaques par injection rendues possibles par l’IA. La première cible les vérifications du caractère vivant : les fraudeurs projettent le visage de quelqu’un d’autre sur le leur. La seconde est encore plus répandue et cible les documents, le plus souvent en modifiant leur période de validité ou en projetant des éléments de sécurité alors qu’ils sont en fait inexistants », a-t-il déclaré.
En parlant du recours à la technologie pour la fraude, l’époque actuelle semble être un point de bascule dans la détection et la prévention des fraudes. Si, en remontant seulement quelques années en arrière, l’injection vidéo aurait sans doute nécessité toute une équipe de professionnels qualifiés, opérant dans plusieurs pays à la fois, aujourd’hui cette même menace peut provenir d’un simple ordinateur installé dans la chambre d’un quidam. Bien que la préparation puisse encore nécessiter des falsifications par des moyens mécaniques, avec un appareil mobile (en installant par exemple un câble additionnel pour altérer ce qui sort de la caméra en direct), l’« acteur » principal des attaques modernes par injection vidéo, c’est l’IA.
La science au-delà de la prévention des fraudes
Bien que les types de fraude et les aspects techniques les sous-tendant soient nombreux, il est possible de les classer en « catégories », selon certaines caractéristiques communes. Ici, la technologie joue en faveur des prestataires de services de confiance. « À partir du moment où nous définissons une stratégie ou une approche utilisée par les fraudeurs, nous pouvons développer un algorithme qui saura détecter ces tentatives. Dans ces cas-là, les vérifications automatiques sont très efficaces et peuvent identifier même les traces les plus subtiles d’injection vidéo, invisibles à l’œil nu », a déclaré Tomas.
Mais les tactiques employées par les fraudeurs évoluent en permanence. Il y a donc une pression croissante pour toujours mettre à jour les algorithmes et parfaitement maîtriser les processus d’inscription, en y ajoutant une vérification manuelle. « Les algorithmes détectent les structures et les humains sont bien meilleurs pour détecter les tentatives nouvelles ou inhabituelles de fraude. De plus, intégrer une vérification manuelle à notre processus de vérification de l’identité nous permet de collecter des données et d’identifier de nouvelles structures émergentes », indique notre CPO. De fait, cette approche hybride est une norme du secteur pour les prestataires de services de confiance dans le monde entier, car les algorithmes seuls ne sont pas suffisants.
Les technologies modernes sont de plus en plus puissantes et accessibles et il est probable que nous allons voir sévir des types de fraudes entièrement nouveaux dans un avenir proche. Mais les prestataires de services de confiance et les organes de réglementation sont confrontés à cette montée en puissance depuis plusieurs décennies maintenant. Ils suivent les évolutions des modèles de fraude au fur et à mesure et c’est essentiel dans ce jeu du chat et de la souris. « Je ne pense pas que ce secteur d’activité évoluera vers un modèle unique de vérification des données de si tôt », reconnaît Tomas.