La biométrie ouvre la voie à des services financiers sécurisés
Les institutions financières doivent prêter une attention particulière au sentiment favorable à la biométrie qui s'est installé parmi les consommateurs. Dans une récente étude du Credit Union Times, 9 000 consommateurs du monde entier ont été interrogés sur leur perception d'une série de méthodes d'authentification en termes de sécurité et, pour la première fois depuis des années, les mots de passe n'ont même pas été classés parmi les trois premiers. Au lieu de cela, une majorité de consommateurs a déclaré préférer la biométrie telle que la reconnaissance des empreintes digitales ou du visage ou la biométrie comportementale plus passive qui suit la façon dont les utilisateurs tapent et glissent sur leur appareil mobile.
Par ailleurs, la crise COVID-19 et les blocages qu'elle a entraînés ont clairement accéléré l'adoption et l'utilisation des services financiers numériques, et ces nouvelles habitudes vont probablement perdurer après la pandémie. À l'appui de cette affirmation, une récente enquête de Mastercard a demandé à 14 000 consommateurs comment la pandémie avait affecté leurs habitudes bancaires. Une proportion écrasante de 96 % des personnes interrogées a déclaré avoir effectué des opérations bancaires par voie numérique, 53 % ont utilisé des applications bancaires mobiles plus souvent qu'avant la pandémie, et 87 % des personnes qui n'avaient pas utilisé d'applications auparavant ont déclaré qu'elles allaient continuer à le faire (voir figure 1).
Lesétudes montrent aussi régulièrement que les consommateurs souhaitent à la fois une plus grande sécurité des données et une meilleure expérience utilisateur de leurs services financiers numériques, comme le montre la figure 2. On entend souvent dire qu'il est nécessaire de faire un compromis entre la sécurité et l'expérience utilisateur dans la fourniture de services numériques : si vous augmentez l'un, l'autre est réduit par défaut. Mais c'est un mythe qu'il faut détruire. Grâce à l'interaction entre l'homme et l'ordinateur, la biométrie offre à la fois sécurité et confort.
Dans cet article, je soutiens également que, bien que contre-intuitif, on peut soutenir que la vérification de l'identité numérique - utilisée conjointement avec l'intelligence artificielle (IA), l'analyse des risques et l'authentification biométrique - peut en fait réduire le risque de fraude, par rapport aux processus en personne.
Lutter contre l'augmentation de la fraude
La menace de la fraude numérique s'accroît certainement, car les cybercriminels prennent conscience de l'adoption croissante des services financiers en ligne par la population. Par exemple, l'utilisation de chevaux de Troie bancaires mobiles - des applications malveillantes qui volent les identifiants bancaires sur l'appareil mobile d'un titulaire de compte - a augmenté de 125 % en 2020 par rapport à 2019, selon l'éditeur de logiciels antivirus Kaspersky. L'entreprise a également constaté une augmentation de 20 % des événements de prise de contrôle de comptes financiers en 2020. La grande majorité de ces incidents étaient le résultat d'une faiblesse des mots de passe - leur vulnérabilité au phishing. C'est d'autant plus problématique que les clients des institutions financières sont l'une des trois principales cibles des cybercriminels en matière d'hameçonnage.
En réponse, les institutions financières modernisent de plus en plus leurs systèmes d'authentification afin de réduire la fraude et d'améliorer l'expérience de l'utilisateur, en utilisant l'identification biométrique et en particulier la détection de la vivacité et la biométrie comportementale.
L'élément clé de la sécurité des modèles biométriques est qu'ils fournissent une représentation mathématique de l'empreinte digitale, du visage, de l'iris ou de la rétine, plutôt que de la modalité elle-même. Ces représentations n'ont donc aucune valeur pour les attaquants. Elles ne peuvent pas être proposées au capteur biométrique, au lecteur d'empreintes digitales ou à l'appareil photo et, comme elles sont cryptées, elles ne peuvent pas être facilement reconstituées pour imiter le gabarit biométrique.
Par ailleurs, la détection de la vivacité protège contre les attaques par présentation, où les pirates utilisent un modèle fabriqué de la biométrie de l'utilisateur réel (comme une photo, une vidéo, un masque de haute qualité ou un doigt imprimé en 3D) pour usurper le système et accéder au compte de l'utilisateur enregistré. À cet égard, l'IA et l'apprentissage automatique ont permis d'améliorer considérablement la précision des systèmes biométriques et leur défense contre les attaques de présentation au cours des dernières années.
Enfin, la biométrie comportementale permet aux banques d'authentifier en permanence l'utilisateur en surveillant les schémas de navigation dans une application bancaire mobile, la dynamique des frappes, la pression du doigt et les actions de glissement. Ceci est particulièrement utile pour évaluer les utilisateurs inconnus, tels que ceux qui demandent un nouveau compte bancaire en ligne. Le système de biométrie comportementale peut comparer le comportement de cet utilisateur à celui d'une population plus large - par exemple, les criminels qui se livrent à des fraudes ont tendance à copier et à coller des informations dans les formulaires et à trahir une certaine familiarité avec l'application, en avançant plus vite que les demandeurs légitimes typiques. Les systèmes comportementaux peuvent également discerner les activités non humaines et/ou des robots.
Sécurité : À distance ou en personne
Les consommateurs eux-mêmes en sont venus à reconnaître les avantages en matière de sécurité offerts par les systèmes biométriques physiques et comportementaux. En fait, je pense que l'authentification biométrique sans contact direct avec le client offre aux institutions financières un risque similaire, voire inférieur, à celui de l'identification directe.
Prenons l'exemple de la prévention de la fraude au moment de l'ouverture ou de l'enregistrement d'un compte. Une personne cherchant à ouvrir un nouveau compte bancaire par l'intermédiaire d'une agence physique, d'un site web ou d'un canal mobile est un étranger. La banque doit donc passer par une série d'étapes pour s'assurer que le demandeur est bien celui qu'il prétend être. Dans le cadre des exigences liées à la connaissance du client (KYC), la personne doit présenter un ou plusieurs documents d'identification officiels, généralement délivrés par une agence gouvernementale. La banque doit ensuite vérifier l'authenticité et la validité de ces documents et comparer le visage de la personne en chair et en os qui les présente avec la photo figurant sur la pièce d'identité.
Pour ce faire, la vérification de l'identité numérique utilise l'intelligence artificielle pour évaluer une image du document d'identité et calculer un score d'authenticité, qui détermine si la pièce d'identité est authentique. Ensuite, en combinant la reconnaissance faciale, la détection de la présence et l'appareil photo de l'appareil, le système vérifie la présence physique de l'utilisateur et compare un échantillon biométrique de son visage à la photo de la pièce d'identité valide, afin de vérifier que l'utilisateur est bien le propriétaire légitime de cette pièce d'identité.
Pensez-vous que la réalisation de ces actions par voie numérique est moins, aussi ou plus fiable et sûre que leur réalisation en personne ? Voici l'avis du Groupe d'action financière internationale (GAFI), organisme intergouvernemental de surveillance du blanchiment d'argent et du financement du terrorisme : "L'identification des clients et les transactions qui ne sont pas effectuées en personne et qui reposent sur des systèmes d'identification numérique fiables et indépendants, assortis de mesures appropriées d'atténuation des risques, peuvent présenter un niveau de risque standard, voire un niveau de risque inférieur
Bien que je sache que les membres du GAFI possèdent bien plus de connaissances et d'expérience que moi en matière de blanchiment d'argent et de financement du terrorisme, je me suis d'abord moqué de cette affirmation. Comment la vérification de l'identité numérique pourrait-elle être plus sûre que son équivalent en personne ? Il s'avère que cela dépend de votre définition de "non face à face" ou "en personne". Si l'on examine le document officiel du GAFI intitulé "Guidance on Digital Identity", on constate que l'expression "non face à face" qu'il utilise correspond à la définition de "en personne" donnée par le NIST. Dans ce contexte, les termes "non face à face" et "en personne" permettent une vérification d'identité à distance supervisée, par exemple au moyen d'une transmission vidéo à haute résolution supervisée par un représentant formé à cet effet.
IAL3, le plus élevé des trois niveaux d'assurance d'identité (IAL) définis par le NIST, exige une vérification d'identité en personne ou à distance supervisée. La vérification d'identité à distance non supervisée est acceptable pour le niveau IAL2. La force de vérification de l'IAL2 est considérée comme forte, tandis que la force de vérification de l'IAL3 est considérée comme supérieure.
Bien entendu, toute institution financière doit évaluer la vérification de l'identité numérique en fonction de sa propre propension au risque et tenir compte de ses exigences spécifiques en matière de sécurité, de respect de la vie privée et de conformité - et également vérifier si le fournisseur qu'elle choisit est en mesure de les respecter. Mais il existe un certain nombre d'arguments solides pour expliquer pourquoi même une vérification d'identité à distance et non supervisée peut présenter moins de risques qu'une vérification sur place :
- La vérification manuelle laisse moins de place à l'erreur humaine.
- Elle fournit une piste d'audit sécurisée pour la non-répudiation et l'atténuation des co-conspirateurs humains.
- Il offre une plus grande confidentialité grâce à la numérisation des documents en libre-service, par opposition aux photocopies, etc.
- Il permet des vérifications plus rapides, plus approfondies et plus précises de la validité et de l'authenticité des documents d'identité grâce à l'intelligence artificielle.
Dans le même ordre d'idées, certaines banques ont reconnu que la force de ces avantages en matière de sécurité et d'atténuation des risques est si convaincante qu'elles envisagent de mettre en œuvre la vérification de l'identité numérique dans leurs succursales. Parmi les autres facteurs, citons les économies de coûts et l'amélioration du moral des employés, car la technologie leur évite la tâche fastidieuse de photocopier des documents d'identité.
L'identification numérique basée sur la confiance
Bien que cet article plaide en faveur de la sécurité de l'authentification biométrique - et de la façon dont la vérification de l'identité numérique peut comporter moins de risques que l'authentification en personne - les niveaux optimaux de sécurité et de commodité reposent sur une combinaison de ces deux éléments.
On peut soutenir que les services financiers numériques les plus sûrs et les plus pratiques aujourd'hui peuvent être obtenus en liant les identifiants d'authentification biométrique et d'autres attributs d'identité et d'appareil à la personne dont l'identité est vérifiée, puis en appliquant la biométrie comportementale et l'analyse continue des risques au mélange. Chaque fois que l'utilisateur revient sur votre application web ou mobile, la confiance établie lors de la vérification d'identité initiale demeure, car elle est liée à l'utilisateur avec son appareil et d'autres attributs d'identité.
Vous continuez ensuite à collecter des données tout au long du cycle de vie de la relation de l'utilisateur avec vous. Grâce à l'apprentissage automatique, vous êtes en mesure d'évaluer le risque à tout moment et de déclencher des actions afin de mettre fin à la fraude ; tout en augmentant votre niveau de compréhension de l'utilisateur, afin d'instaurer la confiance et de développer une évaluation plus précise du risque. Cela vous permet de n'interrompre l'utilisateur qu'en cas d'absolue nécessité, ou si cette personne peut s'attendre à un signal de sécurité visible, tel qu'une demande d'authentification biométrique pour une activité à plus haut risque, ou l'apprécier à sa juste valeur. En conclusion, à l'avenir, nous pouvons nous attendre à ce que les banques et les institutions financières équilibrent la convivialité de leurs plateformes avec des outils de sécurité pour la vérification de l'identité et l'authentification, et à ce qu'elles utilisent de plus en plus la biométrie avec l'IA et l'apprentissage automatique pour lutter contre la vague croissante de fraude numérique.
Ce blog, rédigé par Sam Bakken, Senior Product Manager, Mobile Security chez OneSpan, a été publié pour la première fois dans Biometric Technology Today Volume 2021, Issue 6 en juin 2021 .