Comment les fraudeurs contournent la vérification de l’identité des clients à l’aide de deepfakes

Alors que l’humanité se demande comment récupérer les centaines de milliards de dollars investis dans l’IA générative, les cybercriminels adoptent déjà cette technologie. Par exemple, ils ont découvert que l’IA peut être utilisée pour créer des passeurs d’argent virtuels, c’est-à-dire des comptes fictifs utilisés pour transférer des fonds volés. Les deepfakes permettent aux criminels de contourner aisément les procédures de vérification de l’identité des clients (KYC) utilisées par les institutions financières, éliminant ainsi la nécessité d’avoir des complices vivants. Penchons-nous sur les détails.

Que sont les procédures de connaissance du client (KYC) ?

La procédure KYC est une pratique du secteur financier permettant de vérifier l’identité d’un client et utilisée pour lutter contre diverses activités financières illégales, notamment la fraude, le blanchiment d’argent, l’évasion fiscale, le financement du terrorisme, etc.

Plus précisément, les procédures de connaissance du client se rapportent souvent aux systèmes de vérification de l’identité biométrique dans le cadre de services entièrement à distance, c’est-à-dire lorsqu’un client s’inscrit en ligne sans aucun contact personnel avec les employés d’une institution financière.

En général, cette procédure exige que le client télécharge des photos de ses documents et prenne un selfie, souvent en tenant les documents en main. Une mesure de sécurité supplémentaire est également en vogue depuis peu : le client est invité à activer l’appareil photo de son smartphone et à tourner la tête dans différentes directions, en suivant les instructions.

Cette méthode est parfois également utilisée pour vérifier les transactions, mais elle est généralement conçue pour se protéger contre l’authentification à l’aide de photos statiques qui pourraient avoir été volées d’une manière ou d’une autre. Malheureusement, les criminels ont déjà trouvé le moyen de contourner cette protection : ils se servent de deepfakes.

Outils d’IA contre la fraude

Il y a peu, des experts de la startup Sensity, spécialisée dans la détection des deepfakes, ont publié un rapport annuel décrivant certaines des façons les plus courantes dont les cybercriminels utilisent à des fins malveillantes des contenus générés par l’IA.

Dans ce rapport, les experts publient le nombre total d’outils de création de contenu par IA dans le monde. Ils ont dénombré 10 206 outils de génération d’images, 2 298 outils de remplacement de visages dans des vidéos et de création d’avatars numériques, et 1 018 outils de génération ou de clonage de voix.

Le rapport souligne également le nombre d’utilitaires spécialisés conçus spécifiquement pour contourner la procédure KYC : 47 outils de ce type ont été recensés. Ces outils permettent aux cybercriminels de créer des clones numériques qui passent aisément la vérification de l’identité du client. Les fraudeurs peuvent ainsi ouvrir à distance des comptes dans des institutions financières : banques, plateformes d’échange de cryptomonnaies, systèmes de paiement, etc.

Les deepfakes sont utilisés pour contourner les procédures KYC dans le monde entier (les régions où ces attaques sont les plus fréquentes sont mises en évidence en rouge sur la carte). Source

Ces comptes sont ensuite utilisés pour diverses activités criminelles – principalement pour la fraude financière directe, ainsi que pour le blanchiment de profits provenant d’opérations illégales.

Boutique de clonage numérique

Récemment, 404 Media a fait état d’un site Internet clandestin vendant des photos et des vidéos de personnes pour contourner les procédures KYC. Selon les journalistes, les vendeurs de duplicatas numériques possèdent des collections entières de ce type de contenus. Ils trouvent des bénévoles dans des pays défavorisés et leur versent des sommes relativement modestes (de 5 à 20 dollars) en échange des images.

Le contenu obtenu est ensuite vendu à toute personne intéressée. Les collections sont assez complètes et incluent des personnes d’âge, de sexe et d’origine ethnique différents. Les services du site sont assez bon marché : par exemple, les journalistes ont acheté un lot pour seulement 30 dollars. Les lots comprennent des photos et des vidéos dans différents vêtements, ainsi que des images avec une carte blanche et une feuille blanche dans la main, qui peuvent être remplacées par une pièce d’identité ou un autre document.

Une boutique en ligne pour les escrocs, qui vendent des photos et des vidéos afin de contourner la procédure KYC. Source

Le service est fortement orienté client. Le site Internet présente des avis de clients reconnaissants et attribue même une note spéciale aux photos et vidéos qui ont été achetées le moins souvent. Ces « nouveaux clones » ont plus de chances de passer les vérifications du système antifraude.

Outre les identités numériques prêtes à l’emploi, les administrateurs du site proposent des lots de contenus exclusifs créés individuellement pour l’acheteur – sur demande et probablement à un prix plus élevé.

Faux documents générés par l’IA

Les journalistes du même média ont également découvert un site Internet spécialisé dans la vente de photos réalistes de faux documents créés à l’aide de l’IA.

Une fausse photo d’un permis de conduire, censé appartenir à un résident de la Californie. Source

Selon un expert d’une entreprise qui s’occupe de ce type d’escroquerie, certains services de ce genre vendent des kits prêts à l’emploi qui comprennent à la fois de faux documents et les photos et vidéos de leurs faux propriétaires.

De ce fait, les outils d’IA et les collections de contenus de ce type facilitent grandement le travail des escrocs. Il y a quelques années encore, les passeurs (des personnes réelles qui manipulaient directement de l’argent sale, ouvraient des comptes et effectuaient des transferts ou des retraits d’argent) constituaient le maillon le plus faible des opérations criminelles.

Aujourd’hui, ces mules  » physiques  » deviennent de plus en plus inutiles. Les criminels n’ont plus besoin d’interagir avec des humains, peu fiables et vulnérables aux forces de l’ordre. Il s’agit simplement de créer un certain nombre de clones numériques aux mêmes fins et de cibler ensuite les services financiers qui permettent d’ouvrir des comptes et d’effectuer des transactions entièrement à distance.

Alors, quelle est la prochaine étape ?

À l’avenir, la facilité avec laquelle il est possible de contourner les procédures KYC actuelles aura probablement deux conséquences. D’une part, les établissements financiers introduiront des mécanismes supplémentaires de vérification des photos et des vidéos fournies par les clients à distance, qui reposeront sur la détection des signes de falsification par l’IA.

D’autre part, les régulateurs renforceront probablement les exigences relatives aux opérations financières entièrement distantes. Il est donc tout à fait possible que la simplicité et la commodité des services financiers en ligne, auxquelles nous nous sommes déjà habitués, soient menacées par l’intelligence artificielle.

Malheureusement, le problème ne s’arrête pas là. Comme le notent les experts, la généralisation des outils d’IA pour générer des contenus photo, vidéo et audio mine fondamentalement la confiance dans les interactions numériques entre les personnes. Plus la qualité des créations de l’IA est élevée, plus il devient difficile de croire ce que nous voyons sur nos smartphones et nos ordinateurs.