Ingénierie sociale et usurpation d’identité : nouvelles tendances et contre-mesures

Voici quelques éléments que l’on peut retenir des discussions entre les experts réunis par l’ID&KYC Forum pour l’occasion :

Une dimension européenne et internationale

Didier MARTIN, Commissaire Divisionnaire Chef de la Division de l’Expertise en Fraude Documentaire et à l’Identité à la DCPAF a insisté sur la dimension européenne et internationale de la fraude documentaire mais aussi des solutions notamment via la coopération des services de police et de plusieurs grands projets liés à l’UE ou à Interpol. Il a aussi souligné l’évolution des fraudes en France, qui sur le plan documentaire continuent à utiliser certaines techniques de fraude (notamment celle de l’application d’un film laminé) mais évoluent de plus en plus sur les éléments d’information liés à la chaîne de délivrance des titres et donc visent à l’octroi de titres « faux-authentiques ».

Vers une vérification à distance beaucoup plus robuste

Hugo MANIA, chargé de l’Identité Numérique, de la Biométrie & de la Confiance Numérique au bureau Politique Industrielle de la sous-direction expertise (SDE) de l’ANSSI a quant à lui abordé les questions liées à la vérification de l’identité à distance. Il a présenté le référentiel d’exigences PVID (prestataire de vérification d’identité à distance) de l’ANSSI, qui vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs. Ce référentiel permet d’attester la mise en œuvre des mesures de réduction de la fraude relevées par les services certifiés selon deux niveaux de garantie : substantiel et élevé. Il a également évoqué son utilité pour l’exercice des PVID dans le contexte du Code Monétaire et Financier et des règlements européens (eIDAS et AML-FT notamment). Ce nouveau référentiel d’exigences est valorisé par un visa de sécurité ANSSI. L’ANSSI espère que plusieurs industriels obtiendront cette certification dans les mois à venir afin de répondre aux besoins croissants du marché.

Devant la sécurité technique, une recrudescence des tentatives d’ingénierie sociale

Julien LASALLE, Secrétaire de l’Observatoire de la sécurité des moyens de paiement (OSMP), Banque de France, a fait le point de situation sur l’état de la fraude aux moyens de paiement tant pour les entreprises que pour les particuliers. Si globalement la situation est maitrisée, notamment grâce à la performance des solutions techniques mises en œuvre (telles que l’authentification forte et les dispositifs de scoring), on note toutefois une recrudescence de l’ingénierie sociale ciblant tant les entreprises que les particuliers. La vigilance est de mise, particulièrement pour les entreprises vis-à-vis soit des tentatives de pression sur la trésorerie et la comptabilité (fraude au président) soit vis-à-vis des interceptions de factures ou bon d’achats et de détournement du compte bancaire pour le règlement (fraude au fournisseur).

Enfin, sur le plan des nouvelles technologies mises en œuvre, il identifie quelques vulnérabilités nouvelles comme celles liées à l’enrôlement de l’utilisateur dans son dispositif d’authentification forte ou au transfert de celui-ci, par exemple lors d’un changement de mobile. Le développement de solutions tierces de type identité numérique pourrait être un levier de sécurisation de ce type de processus.

Vigilance sur le futur du paiement instantané

Nigel REAVLEY, directeur activités paiements France de la société FIS Global est intervenu sur la situation internationale des nouvelles fraudes sur le paiement. Il a souligné la recrudescence des actes de phishing pendant la période sanitaire et l’impact des menaces cybercriminelles persistantes ou APT. L’actualisation qui devient de plus en plus fréquente de nos logiciels et systèmes d’exploitation est justement faite pour contrer celles-ci au fur et à mesure de leurs détections, analyses et de l’édition des correctifs. Il a aussi souligné le caractère plus ciblé et sophistiqué de l’ingénierie sociale actuelle visant les entreprises. Il a insisté sur les évolutions que l’on voit au Royaume-Uni et qui arrivent en France du fait de l’accélération de la vitesse des paiements (paiement instantané, P2P) et du caractère souvent irrévocable du paiement international.

Les entreprises peuvent vérifier l’état de leur préparation

Maxime MOLKHOU, avocat associé fondateur au sein du cabinet NEMROD Avocats, spécialisé dans la cybersécurité et le traitement des cybermenaces a évoqué la diversité de la typologie des fraudes rencontrées autour de l’ingénierie sociale et de l’usurpation d’identité en décrivant plusieurs typologies de cas auquel son cabinet a été confronté. Après avoir rappelé que le phishing ne constitue pas un délit en soit, il a souligné le travail juridique consistant à lier les éléments recueillis pour une qualification de fraude ou d’usurpation d’identité. Il a ensuite indiqué les différentes collaborations entre l’entreprise et la compétence juridique pour faire face au fléau : élaborations des processus de décision et des règles de conformité, respect de la charte informatique, procédures assurantielles, etc.

Plusieurs autres aspects ont été évoqués dans les échanges et en réponse aux questions des participants à la conférence web, par exemple la portée de plusieurs études sur le marché français ou les méthodes de recrutement des mules pour ouvrir des comptes bancaires en utilisant les besoins affectifs des personnes dans les relations sur des réseaux sociaux ou des sites de rencontres.

La rédaction de l’ID&KYC Forum