Notre étude a révélé que plus d'un tiers (34 %) des entreprises ont été confrontées à un vol d'identité en 2023, les détaillants click-n-mortar, les fournisseurs de télécommunications et les banques de détail étant particulièrement touchés.
La fraude à l’identité synthétique – où les fraudeurs créent des identités à partir d’un mélange d’informations réelles et fausses – a également augmenté, selon notre étude, avec 32 % des entreprises y étant confrontées en 2023, contre 30 % en 2022.
Cette année, la confiance vacillante des entreprises dans leur capacité à identifier leurs clients en ligne a été frappante. Alors qu’en 2022, 80 % d’entre elles étaient « très » ou « extrêmement » confiantes dans leur capacité à reconnaître leurs clients numériquement, ce chiffre est passé à 83 % en 2023. Cette proportion est tombée à 68 % début 2024.
La confiance des consommateurs a également été ébranlée. Notre enquête révèle que le vol d’identité reste la préoccupation dominante – et croissante – des consommateurs effectuant des activités en ligne. Huit ménages sur dix âgés de 55 à 69 ans nous ont dit s’en inquiéter, et 66 % des répondants au total ont exprimé leur inquiétude – contre 58 % en 2023.
Déluge de deepfakes
Il ne fait aucun doute que cette anxiété est exacerbée par la récente recrudescence des reportages médiatiques sur la manière dont les fraudeurs du monde entier exploitent IA générative – notamment des capacités de deepfake – pour utiliser abusivement des identités volées et fabriquer de nouvelles identités pour tout, des escroqueries par phishing aux prises de contrôle de comptes.
En février, la police de Hong Kong a signalé qu'un employé de la finance d'une multinationale avait été dupé et avait versé 25 millions de dollars à des fraudeurs qui se faisaient passer pour ses collègues grâce à un canular deepfake élaboré. L'employé s'est d'abord méfié lorsqu'il a reçu un e-mail, prétendument de son directeur financier, évoquant la nécessité d'une transaction secrète. Mais il a mis ses doutes de côté après avoir assisté à une vidéoconférence à laquelle participaient apparemment le directeur financier et des collègues qu'il reconnaissait. Cependant, tous les participants étaient des deepfakes.
L’un des types de fraudes informatiques les plus alarmants est l’attaque par injection vidéo, dans laquelle les criminels insèrent un flux de contenu préenregistré ou fabriqué entre un appareil capturé (comme une caméra mobile) et un système de sécurité (comme un test de détection en direct). En 2021, deux fraudeurs ont été surpris en train d’utiliser cette méthode pour émettre de fausses factures fiscales d’une valeur de plus de 76 millions de dollars, en contournant le système de reconnaissance faciale du gouvernement chinois, à l’aide d’un logiciel abordable et largement disponible. Le duo avait créé une société écran et l’avait « dotée » d’identités synthétiques qu’ils avaient créées à partir de données personnelles réelles achetées sur le marché noir. Ils ont ensuite utilisé une technologie largement disponible pour créer des séquences vidéo très réalistes et détourner le flux d’une caméra mobile pour convaincre le système de facturation fiscale qu’il détectait une personne réelle.
Les modèles d’IA capables de cloner des voix et d’imiter des modèles de discours posent un autre défi aux particuliers et aux entreprises. En mai, le directeur général de la société de communication WPP, Mark Read, a révélé comment des fraudeurs ont utilisé un clone de sa voix, ainsi que sa photo de profil et une séquence YouTube d’un collègue lors d’un appel vidéo frauduleux, dans le but d’extraire de l’argent et des informations personnelles d’un collègue cadre. Heureusement, le cadre ciblé a vu clair dans l’arnaque. Mais en 2023, un journaliste du Guardian a pu générer un clone de sa propre voix pour contourner le système de sécurité du bureau des impôts australien, et plusieurs rapports ont fait état de fraudeurs utilisant des fichiers audio truqués pour tromper des personnes en leur faisant croire que leurs proches avaient été kidnappés et avaient besoin d’une aide financière urgente.
La course aux armements de l'IA
Alors, comment l’industrie peut-elle répondre aux menaces émergentes de l’IA et du deepfake ?
La réponse est qu'il n'existe pas de réponse unique. Pour garder une longueur d'avance, vous devrez soigneusement superposer plusieurs fonctionnalités et technologies qui vous permettront de retrouver la confiance nécessaire pour identifier vos clients en ligne avec précision et de manière répétée.
Grant MacDonald, directeur des initiatives stratégiques en matière de lutte contre la fraude et le blanchiment d'argent, Experian
Grant poursuit : « Les entreprises doivent combiner la puissance de plusieurs méthodes d’authentification des clients et de prévention de la fraude. Nous recommandons des technologies sans friction telles que la biométrie comportementale, l’intelligence des appareils et des e-mails. »
« Il sera essentiel de déterminer les combinaisons fiables d’identifiants clients avec les données de courrier électronique, de téléphone et d’appareil. Les nouvelles combinaisons de données, où les données des candidats sont rassemblées, sont une caractéristique clé de la fraude à l’identité synthétique. La clé est d’adopter une stratégie globale de bout en bout qui ne laisse aucune porte ouverte aux acteurs malveillants. »
« Une orchestration intelligente sera essentielle pour concevoir la meilleure expérience client possible et associer soigneusement toutes les technologies. »
La plupart des entreprises nous indiquent que la détection et la prévention du vol d'identité et de la fraude à l'identité synthétique constituent une priorité opérationnelle majeure en 2024 et environ la moitié d'entre elles ont l'intention d'augmenter leurs investissements dans ce domaine cette année. Modèles d'IA pour la prévention et la détection des fraudes est le premier moteur de l’augmentation des investissements en 2024.
Grant a ajouté : « L’adoption de l’apprentissage automatique pour optimiser la prise de décision dans toutes les capacités sera essentielle pour distinguer avec précision les demandes frauduleuses des bons clients. L’analyse avancée permettra de trouver le juste équilibre entre la confidentialité et la sécurité des clients et de garantir que toutes les technologies et capacités fonctionnent ensemble de manière optimale et à l’unisson. »
« Les entreprises doivent également s’assurer que leurs fournisseurs de vérification de documents investissent suffisamment dans l’IA pour maintenir leur capacité à détecter les meilleurs selfies deepfake et les preuves documentaires générées par l’IA. »
« Les tactiques de fraude évoluent rapidement en fonction de la sophistication des modèles d’IA et les équipes de lutte contre la fraude n’ont d’autre choix que de garder une longueur d’avance dans cette course aux armements technologiques. »
