Plusieurs pays tentent de mettre en place des identités numériques pour améliorer le processus d’identification au sein des services et, à terme, pour intégrer les portefeuilles de monnaies numériques de banque centrale (MNBC).
Cependant, à l’échelle mondiale, le déploiement a largement été retardé, les gouvernements s’efforçant de résoudre les problèmes techniques et de surmonter l’opposition du public.
En décembre 2024, le gouvernement britannique a présenté un projet de loi pour 2025 autorisant les pubs, bars et commerces à accepter une identité numérique provenant d’émetteurs agréés comme preuve d’âge.
Toutefois, cette option facultative est encore loin d’un système national d’identité numérique complet.
Des pays comme l’Australie expérimentent actuellement des programmes pilotes et prévoient de déployer des identités numériques pleinement fonctionnelles d’ici 2030.
La situation est plus complexe aux États-Unis, qui ne disposent pas d’un système fédéral permettant d’initier le processus, les identités étant gérées par chaque État.
Par exemple, les permis de conduire numériques ne sont acceptés que dans 13 États américains, et des mises à niveau majeures des infrastructures sont nécessaires pour en faire des alternatives viables aux identités traditionnelles.
Face aux retards techniques, aux défis réglementaires et à l’opposition du public, nous observons également l’émergence d’outils d’IA générative et de randomisation qui facilitent plus que jamais la cybercriminalité liée au vol d’identité et la création de fausses identités de plus en plus difficiles à détecter.
Techopedia se penche sur l’augmentation de la fraude à l’identité numérique et fournit des conseils aux entreprises qui dépendent de l’identification dans le cadre de leurs fonctions.
Pourquoi le déploiement des identités numériques a-t-il pris du retard ?
Certains pays ont progressé de manière significative dans l’adoption d’identités numériques nationales, à l’image de l’Inde avec son système Aadhaar, lancé en 2009, et qui couvre environ 99 % des adultes du pays.
Plusieurs pays d’Afrique subsaharienne ont introduit des systèmes d’identité numérique biométrique, coïncidant avec une augmentation de l’utilisation des smartphones comme moyen d’inscription aux services.
Néanmoins, l’un des principaux obstacles à une adoption généralisée est le manque de standardisation et d’interopérabilité.
Ofer Friedman, Directeur du Développement Commercial chez AU10TIX, société spécialisée dans la vérification d’identité, a expliqué à Techopedia :
Chaque gouvernement ou région développe ses propres standards et cadres. Dès lors, les solutions ne communiquent généralement pas entre elles, même si de nombreux marchés sont transfrontaliers.
Certains sont plus prudents quant à la forme et à l’existence des identités numériques, tandis que d’autres sont plus confiants. De nombreux pays adoptent une approche fragmentée plutôt que de collaborer sur un cadre mondial unifié.
Les États-Unis en sont l’exemple parfait, ne disposant pas d’un système fédéral unifié pour les identités numériques et laissant les États individuels et les entreprises privées expérimenter des solutions comme les permis de conduire numériques.
La modification d’un régime d’identité pour tous les citoyens et résidents constituant une entreprise majeure, les gouvernements avancent à des rythmes différents, ce qui, selon Friedman, laisse une fenêtre d’opportunité prolongée aux fraudeurs.
En l’absence d’une adoption universelle, d’une interopérabilité transfrontalière, d’une infrastructure soutenant l’acceptation publique et privée et d’un sentiment de confiance généralisé dans un régime d’identité numérique, la nature fragmentée de ces efforts continue d’entraver les progrès.
Selon Friedman, plusieurs éléments sont essentiels pour une introduction réussie des identités numériques :
- Des standards universels et une interopérabilité transfrontalière, de préférence à l’échelle mondiale ou au moins régionale ;
- Un environnement complet incluant solutions utilisateurs et back-end ;
- Un pionnier influent, comme l’Australie introduisant des exigences de vérification d’âge ;
- Une large acceptation par les gouvernements et les prestataires de services privés ;
- Une facilité d’utilisation via des portefeuilles d’identité répandus offrant une expérience utilisateur simple et fiable.
Accorder la priorité à la sécurité et à l’interopérabilité au niveau régional représenterait une avancée significative. En outre, les essais de systèmes d’identification numérique évolutifs et sécurisés en Afrique peuvent donner des indications sur la manière dont les régions confrontées à des difficultés peuvent aborder l’adoption avec succès.
Les standards universels ne sont pas encore là, mais nous observons des progrès réels avec les dernières Directives d’Identité Numérique du NIST (SP 800-63 Révision 4), qui tentent d’équilibrer sécurité et utilisabilité.
Friedman précise :
Celles-ci se concentrent sur des domaines cruciaux comme la protection contre le hameçonnage et les attaques d’ingénierie sociale sophistiquées. Mais il reste du chemin à parcourir »,
Nous avons besoin de trois choses essentielles : Premièrement, ces cartes d’identité doivent fonctionner au-delà des frontières, sans aucune exception.
Deuxièmement, nous avons besoin de protocoles de sécurité très solides, notamment en ce qui concerne la biométrie, car les données personnelles de la plupart des gens ont déjà été compromises à la suite de diverses violations.
Troisièmement, nous avons besoin d’une acceptation généralisée. Les normes existent sur le papier, mais comment faire en sorte que tout le monde les mette en œuvre ? C’est là le véritable défi.
Les identités numériques peuvent-elles prévenir la fraude par IA ?
Les identités numériques peuvent offrir une protection efficace contre la fraude basée sur l’IA grâce à des mesures de vérification d’identité plus robustes et standardisées. Elles intègrent des données biométriques telles que les empreintes digitales, la reconnaissance faciale et les scans d’iris, compliquant ainsi le contournement des systèmes de vérification par les identités synthétiques générées par l’IA. Cette efficacité s’explique par le fait que l’IA générative peine à reproduire fidèlement les caractéristiques physiques lors des analyses biométriques. Il est donc crucial de s’éloigner des identificateurs statiques comme les dates de naissance, les adresses et les numéros d’identification officiels, qui sont facilement compromis. Par ailleurs, de nombreux systèmes d’identité numérique peuvent être construits sur des blockchains ou d’autres plateformes décentralisées sans point unique de défaillance. Ils peuvent utiliser des techniques cryptographiques, comme les paires de clés publiques-privées et les signatures numériques, pour authentifier l’identité d’un individu. Ces mesures empêchent la falsification et l’usurpation d’identité par les outils d’IA. L’authentification multifacteur ou la vérification d’identité en temps réel et continue, comme l’analyse des schémas de frappe au clavier et des mouvements de souris, permet également de détecter les tentatives automatisées d’intrusion par l’IA. “Ce n’est pas tant l’IA en soi qui alimente cette explosion de la fraude”, explique Friedman. “C’est plutôt l’apparition de ‘solutions clés en main’ qui permettent une production massive d’usurpations d’identité, d’évasions et de personnalisations ciblées.” “Sans ces solutions packagées, les outils d’IA resteraient une simple collection d’éléments disparates nécessitant temps et efforts considérables pour être exploités efficacement”, précise-t-il. Les dernières plateformes de fraude par IA proposent désormais l’IDFaaS (fraude à l’identité en tant que service), enrichie par des algorithmes de randomisation et autres technologies avancées. Ces outils permettent aux fraudeurs de générer un nombre illimité de fausses identités — chacune étant unique et pratiquement indétectable par les méthodes traditionnelles. “Contrairement aux anciennes méthodes de falsification d’identité qui reposaient souvent sur des modèles, l’IA générative a transformé la fraude à l’identité en une opération industrielle à grande échelle où chaque faux est unique”, ajoute Friedman. “Les organisations qui s’appuient sur des outils obsolètes de vérification d’identité sont particulièrement vulnérables à ces attaques sophistiquées.” Les fraudeurs exploitent diverses failles, notamment la disponibilité des informations personnelles sur les réseaux sociaux et le Dark Web, la tendance humaine à faire confiance aux visages et aux voix familiers, la difficulté à détecter les deepfakes de haute qualité, ainsi que la capacité des attaquants à injecter des attaques dans le flux de communication plutôt que d’essayer de tromper les caméras. De plus, de nombreux prestataires de services ont tendance à se contenter des systèmes de défense minimaux répondant aux exigences réglementaires, plutôt que d’investir dans des capacités plus avancées. Friedman souligne que l’incapacité de certaines organisations à gérer correctement l’expérience utilisateur peut affecter la qualité de la détection, ajoutant que les promesses marketing des fournisseurs de sécurité peuvent amener les organisations à croire en des performances irréalistes. La question ne se limite pas à la rapidité du déploiement des identités numériques, mais concerne également la pertinence des approches actuelles en matière de vérification d’identité. Tant que les entreprises et les gouvernements n’adopteront pas des stratégies globales adaptées aux nouvelles techniques des fraudeurs, la lutte contre la fraude basée sur l’IA restera probablement un combat difficile. Friedman ajoute : Combien d’entreprises connaissez-vous qui disposent d’une défense à double niveau ? Trop peu. Il n’est pas surprenant d’apprendre que la majorité des entreprises ne disposent même pas d’une protection de base contre la fraude par IA. Les attaques basées sur l’IA produisant des faux indétectables à l’œil humain, les agents du back-office ne sont généralement pas en mesure de détecter ou de corroborer la détection automatique. Il faut également considérer que, bien que les technologies initiales de lutte contre la fraude par IA existent, de nombreuses entreprises n’y ont pas encore investi, se laissant ainsi vulnérables à ces attaques sophistiquées. Indépendamment des causes profondes, les entreprises doivent urgemment renforcer leurs défenses contre la fraude par IA. S’appuyer uniquement sur la future mise en place des identités numériques risque de les laisser exposées dans l’intervalle. Elles doivent plutôt adopter une approche combinant mesures de protection immédiates et solutions à long terme. Quelles mesures concrètes les entreprises peuvent-elles prendre en attendant l’adoption des identités numériques ? Il est crucial de moderniser la vérification d’identité en mettant en œuvre des systèmes avancés basés sur l’IA, comme la reconnaissance faciale ou les scans d’empreintes digitales, pour se protéger contre les identités synthétiques. L’application d’une authentification multifacteur, par exemple en combinant mots de passe et codes provenant d’applications d’authentification ou de SMS, peut réduire les vulnérabilités. Il est essentiel que les entreprises gardent une longueur d’avance sur les menaces émergentes en surveillant les dernières évolutions en matière d’IA et de tactiques cybercriminelles, et en mettant régulièrement à jour leurs algorithmes de détection de fraude pour identifier les schémas liés aux identités synthétiques. Friedman précise : Les entreprises doivent auditer leurs défenses pour comprendre contre quelles menaces elles se protègent activement et avec quel niveau d’efficacité. Elles devraient adopter une stratégie de défense à deux niveaux incluant à la fois la détection des menaces au niveau des cas individuels et au niveau du trafic global pour identifier les réseaux de fraude organisés et les schémas répétitifs d’activités suspectes. Je recommande également à toutes les organisations d’interroger leurs fournisseurs sur le type de protection actuellement en place contre les deepfakes. Par ailleurs, les entreprises devraient vérifier quels facteurs de risque collatéraux, en particulier ceux liés aux appareils, leur solution actuelle surveille. Il est également indispensable que les entreprises forment leurs employés à repérer les signaux d’alerte de fraude à l’identité et organisent des formations régulières pour maintenir leurs connaissances à jour. Les identités numériques peuvent constituer une défense solide contre la fraude basée sur l’IA. Toutefois, elles ne sont pas une solution autonome, et leur efficacité dépend de leur conception, de leur mise en œuvre et de leur adoption mondiale. Les identités numériques universelles peuvent créer des processus standardisés de vérification d’identité qui réduisent le risque de failles entre différentes industries et pays. Toutefois, toutes les régions ne disposent pas de l’infrastructure technologique nécessaire, et une adoption mondiale fragmentée laisse des vulnérabilités exploitables pour la fraude transfrontalière. Et si la biométrie peut être efficace, l’IA peut, dans certains cas, générer des données synthétiques très convaincantes. C’est pourquoi une approche de sécurité multicouche reste nécessaire pour une détection et une protection complètes contre la fraude.Comment les entreprises peuvent-elles se protéger contre la fraude à l’identité par IA ?
Conclusion
FAQs
Pourquoi le déploiement des identités numériques a-t-il été retardé dans de nombreux pays ?
Comment l’IA contribue-t-elle à la fraude d’identité ?
Les identités numériques peuvent-elles prévenir la fraude par IA ?
Que peuvent faire les entreprises pour lutter contre la fraude d’identité en attendant l’adoption généralisée des identités numériques ?
Comment le manque d’interopérabilité affecte-t-il l’adoption des identités numériques ?