D – Détournement d’Identité

D - Détournement d'identité

Chez Heptalytics nous avons à cœur de partager notre connaissance pour lutter contre la fraude dans les paiements. Et chaque semaine du 1er semestre 2024 nous publions un article de notre abécédaire.

Le détournement d’identité, ou l’usurpation d’identité est une technique de fraude régulière, avec un risque avéré pour les entrées en relation en ligne ou opérations gérées à distance. Le corpus réglementaire s’est donc densifié pour prévenir ce type de fraude, avec notamment pour l’entrée en relation la systématisation de la preuve vidéo, et l’authentification forte. Malgré ces sécurités, il existe encore des fraudes possibles au détournement d’identité, notamment liées à l’ingénierie sociale.

En France, l’entrée en relation par preuve vidéo est désormais requise par l’Autorité de Contrôle Prudentielle et de Résolution (ACPR). La preuve vidéo est réalisée par des Prestataires agréés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), en tant que Prestataire de Vérification d’Identité à Distance (PVID).

Pour la gestion du compte au quotidien, en application de la 2ème Directive Européenne pour les Systèmes de Paiements (DSP2), toute opération dite critique ou opération de paiement en ligne est soumise à une authentification forte.

Pour réaliser une authentification forte, il faut réunir deux des trois conditions suivantes :

  • Un mot de passe ou un code que seul l’utilisateur connaît
  • Un appareil (téléphone mobile) que seul l’utilisateur possède
  • Une empreinte biométrique

Malgré ces sécurités, nous assistons toujours à des fraudes liées à des détournements d’identité :
Lors de l’entrée en relation, il s’agit le plus couramment d’une « rupture de processus » c’est-à-dire que la preuve vidéo est réalisée à l’insu du détenteur. Par exemple, l’ouverture du compte va être initiée par un fraudeur qui dispose d’informations personnelles sur la cible, et sous prétexte d’une vérification d’usage, va envoyer un lien d’identification vidéo à la cible qui l’exécute. La faille n’est donc pas dans les outils de vérifications en tant que tel, mais dans la cohérence du processus d’onboarding.

Pour la gestion du compte, il s’agit le plus souvent de failles liées à l’ingénierie sociale, par exemple du phishing, ou de supposées mesures d’identification renforcées sollicitées par un fraudeur, qui lui permettent de prendre à distance le contrôle d’un compte bancaire.

On le voit, dans ces deux exemples, un utilisateur est la cible de fraudes organisées. La solution Heptalytics permet d’identifier immédiatement les cas de détournement d’identité.

Pour s’en prémunir en amont, il est important de sensibiliser les utilisateurs finaux sur les dangers liés au partage d’informations sensibles, et aux arnaques possibles liées à des appels malintentionnés de personnes se faisant passer pour des experts en sécurité voire des conseillers bancaires. En cas de doute, et malgré une supposée urgence, il vaut mieux raccrocher et rappeler directement son agence bancaire ou la société dont dépend l’expert en question.