Dans un avenir proche, avec eIDAS 2.0, l’Europe imposera un cadre pour les identités numériques pouvant être stockées dans une application mobile, permettant ainsi aux citoyens européens de s’identifier en ligne d’une manière simple, privée et sécurisée, grâce à un portefeuille d’identité, appelé EUDI Wallet. Cette évolution majeure s’accompagnera d’une multiplication d‘activités frauduleuses qui s’adapteront également à ce nouvel environnement. Dans ce contexte, les contre-mesures juridiques et techniques doivent rapidement s’adapter et anticiper l’évolution de la fraude.
Parmi les nouvelles techniques de fraude : les deepfakes. Ces contrefaçons numériques d’images et de vidéos représentent une menace de plus en plus grande pour la sécurité et l’intégrité des procédures de vérification d’identité à distance. Si certains États membres ont fait preuve d’une grande maturité en matière de normalisation et réglementation des aspects fonctionnels et sécuritaires de la vérification d’identité à distance au niveau national (comme PVID en France), la majorité des États de l’UE requièrent des niveaux d’exigence variables en fonction des cas d’usage. Par conséquent, l’Europe présente un paysage de la vérification d’identité pour le moins fragmenté, incohérent et peu clair. Des mesures supplémentaires sont donc nécessaires – et attendues – pour garantir la sécurité des données personnelles sensibles au niveau européen.
Course aux armements numériques : de nouvelles menaces à l’horizon
À l’heure actuelle, trois nouvelles méthodes d’attaque contre la vérification d’identité à distance occupent particulièrement les RSSI :
- Dans une attaque par injection, un code ou des données malveillants sont injectés dans des applications ou des systèmes de confiance pour en prendre le contrôle ou accéder à des informations confidentielles. Un exemple courant est celui des injections SQL, où un code SQL malveillant est inséré dans des champs de saisie.
- Les cybercriminels utilisent également de plus en plus la méthode de l’attaque par présentation. Celle-ci vise à tromper les systèmes de reconnaissance faciale biométrique en présentant de faux modèles ou échantillons. Il peut s’agir de photos, de masques ou d’empreintes digitales synthétiques présentés à la place de caractéristiques biométriques authentiques.
- Les attaques par document d’identité : une méthode dans laquelle des documents d’identité falsifiés ou manipulés, tels que des passeports ou des cartes d’identité, sont utilisés pour créer une fausse identité. Cela peut se faire en falsifiant les documents eux-mêmes ou en manipulant les informations qu’ils contiennent. Des experts ont déjà proposé une stratégie de défense contre cette méthode, préconisant de scanner la puce NFC d’un document d’identité officiel pendant le processus de vérification d’identité à distance.
Arsenal de cyberdéfense : la clé pour lutter efficacement contre la fraude
Dans son rapport Remote ID Proofing Good Practices de mars 2024 1, l’Agence européenne de cybersécurité (ENISA) met ainsi en évidence ces menaces et nouvelles techniques d’attaque. Son objectif est d’étayer par des mesures concrètes les exigences de sécurité pour les identités numériques formulées dans le projet de règlement eIDAS 2.0.
Dans ce contexte, l’ENISA recommande des mesures de sécurité actualisées pour les processus de vérification d’identité à distance. Le rapport donne un aperçu des systèmes et méthodes de prévention possibles, et amène par ailleurs à un dialogue nécessaire entre les secteurs public et privé. Néanmoins, ce rapport ne doit pas être considéré par les organisations comme la solution unique pour lutter contre la fraude.
Parmi les mesures recommandées :
- Détection du mouvement au lieu de l’analyse statique de l’image : les solutions de vérification d’identité à distance les plus modernes devraient utiliser la détection du mouvement pour distinguer les personnes authentiques des imposteurs numériques. Le logiciel reconnaît les mouvements des yeux, des lèvres et les expressions faciales en temps réel.
- Analyse des métadonnées : l’objectif est de détecter la présence d’une caméra virtuelle ou d’un émulateur de matériel, qui imite le comportement d’un ou de plusieurs composants matériels, dans le système d’exploitation de l’utilisateur. Pour cela, diverses métadonnées de la session de la vérification d’identité à distance sont examinées, comme la résolution de la photo ou du flux vidéo, les données GPS, l’horodatage, les informations sur le réseau ainsi que le système d’exploitation.
- Authentification assistée par IA : les systèmes qui utilisent l’IA reconnaissent même les plus petites différences dans les données d’image et peuvent identifier les deepfakes avec un haut degré de fiabilité. L’entraînement basé sur des millions de vérifications d’identité vraies et fausses permet d’affiner ces systèmes.
- Reconnaissance biométrique du visage : le traitement de diverses caractéristiques biométriques du visage, telles que l’analyse des contours en 3D, le suivi des yeux et les gestes, permet d’identifier de manière fiable les utilisateurs.
Mécanismes de protection contre l’interaction entre l’Homme et la machine
Les différents processus recommandés suscitent aujourd’hui un débat riche et nuancé, offrant une multitude de perspectives éclairantes. En fonction de l’application ou des réglementations à respecter dans un pays donné, chaque processus a des effets différents. Par conséquent, une approche unique ne résoudra pas les défis auxquels sont confrontés les régulateurs et le secteur privé.
L’ENISA insiste donc sur le fait que la vérification à distance des documents d’identité nécessite une approche de sécurité multicouche, soutenue par l’IA, afin de rester en phase avec les menaces face à l’augmentation constante des cyber-risques. Les entreprises doivent mettre en œuvre des mesures de sécurité préventives dans ce domaine sensible afin de minimiser efficacement les incidents de sécurité et leur coûteuse gestion. C’est le seul moyen de mettre en pratique les exigences strictes d’eIDAS 2.0 pour des identités numériques hautement sécurisées.
