Avec l’émergence de l’IA, les techniques de fraude à l’identité évoluent

Dans certains secteurs d’activité, en particulier dans le domaine bancaire et financier, les entreprises doivent vérifier l’identité de leurs clients. Des fraudeurs, qui souhaitent donner une fausse identité, généralement afin d’anonymiser leurs activités illégales, doivent par conséquent trouver des méthodes pour déjouer les contrôles. Alors que la création de comptes en ligne dans des banques, des organismes de trading, ou autres prestataires se démocratise et implique une vérification d’identité par internet, les fraudeurs s’adaptent et falsifient désormais majoritairement des documents numériques, plutôt que des documents physiques. Dans ce domaine, l’intelligence artificielle est un outil dont se servent de plus en plus les cybercriminels.

C’est ce qui ressort d’un rapport publié par l’entreprise Entrust, spécialisée dans la production de logiciels permettant d’authentifier les utilisateurs pour accéder à des réseaux sécurisés. Selon ce rapport, la falsification numérique, qui consiste à produire une version modifiée d’un vrai document d’identité, représente désormais 57,5% des cas de fraude aux documents d’identité, contre 32,3% pour la contrefaçon physique. La contrefaçon numérique, c’est-à-dire la reproduction à l’identique d’un document d’identité, pèse pour 6,1% des cas de fraude.

Afin d’empêcher ces fraudes, les entreprises développent des outils d’identification biométrique, permettant en principe de vérifier que la personne derrière un compte est bien la même que celle présente sur la pièce d’identité fournie à la création du compte. Les fraudeurs développent donc à leur tour des méthodes permettant de déjouer l’authentification biométrique. Souvent, cette vérification nécessite de se filmer avec la caméra de son ordinateur ou de son téléphone portable, afin d’effectuer une comparaison automatique avec la photo présente sur la pièce d’identité fournie. Selon l’étude d’Entrust, dans 40,8% des cas, les fraudeurs utilisent alors le deepfake pour duper le système d’authentification biométrique. Cela signifie que, à l’aide d’un algorithme, ils modifient numériquement leur visage pour se faire passer pour quelqu’un d’autre. Afin d’injecter une vidéo deepfake dans un système d’authentification biométrique, les fraudeurs remplacent généralement une caméra matérielle par un logiciel leur permettant d’utiliser n’importe quelle source.

Les deepfake, qui ne cessent de se perfectionner et deviennent de plus en plus difficiles à détecter, permettent également à des escrocs de se faire passer pour des célébrités, et ainsi soutirer de l’argent à des personnes. Certains fraudeurs s’en servent également pour pirater des comptes qui ne leur appartiennent pas. Enfin, dans un autre registre, les deepfake peuvent être utilisés dans le cadre de campagnes de désinformation, par exemple pour influencer des élections.

Avec le perfectionnement des systèmes de vérification d’identité, les informations données par les escrocs pour ouvrir des comptes frauduleux évoluent également. Ils ont de plus en plus recours à la création d’identités synthétiques. Cela signifie que, au lieu de voler l’identité d’une personne, ils combinent différentes informations personnelles (nom, prénom, date de naissance, etc.) en mélangeant le vrai et le faux, afin de créer une nouvelle personne fictive. Ces identités synthétiques peuvent être créées uniquement en modifiant marginalement certaines informations, comme la date de naissance sur un permis de conduire par exemple. Elles peuvent également consister à donner de vraies informations personnelles d’identité d’une personne, en les associant à une pièce d’identité fabriquée frauduleusement. Enfin, il peut également s’agir de fausses identités fabriquées de A à Z, avec une base de document d’identité remplie uniquement avec des informations inventées, et ayant pour photo d’identité une image générée par l’intelligence artificielle.

Pour se prémunir de ces différentes méthodes de fraude, le rapport d’Entrust donne plusieurs pistes. Il recommande d’abord aux entreprises de réellement connaître leurs clients (KYC) en utilisant une procédure de vérification d’identité, ce qui permet d’établir un premier filtre. Le rapport conseille de bâtir une stratégie de prévention de la fraude sur tout le cycle de vie et d’activité du consommateur. Ainsi, il est recommandé de vérifier, lors de moments à haut risque et à l’aide de technologies biométriques, que l’individu derrière le compte est bien celui déclaré à la création. Ces vérifications s’ajoutent à celles réalisées lors de la création du compte.

Spécifiquement sur les deepfake, le rapport évoque également plusieurs moyens de les détecter. Le premier est de rechercher des signaux d’activités suspectes liées au média envoyé par l’utilisateur, ou à son appareil. Le second est de rendre obligatoire une capture biométrique en temps réel, nécessitant une forme d’interaction dynamique, afin d’analyser le contenu vidéo pour détecter des anomalies ou des incohérences dans les mouvements du visage. Enfin, la troisième méthode consiste à utiliser l’IA pour détecter les deepfake.