La fraude identitaire numérique prend une ampleur inquiétante. Selon le dernier rapport d’Entrust, spécialiste de la vérification d’identité, les falsifications de documents numériques ont bondi de 244% entre 2023 et 2024. Pire, une attaque par deepfake, ces vidéos truquées ultra-réalistes, a lieu toutes les 5 minutes. Les cybercriminels profitent des avancées de l’intelligence artificielle pour perfectionner leurs techniques et déjouer les protections. C’est pourquoi Entrust tire la sonnette d’alarme sur ces menaces qui touchent tous les secteurs, en particulier les services financiers. Décryptage de ce fléau mondial qu’est la fraude identitaire numérique et recommandations pour s’en prémunir.
Sommaire :
- La fraude identitaire numérique surpasse désormais la fraude physique
- Les deepfakes, nouveau visage de la fraude identitaire numérique
- Comment se protéger contre la fraude identitaire numérique ?
La fraude identitaire numérique surpasse désormais la fraude physique
En 2024, la falsification de documents numériques s’est imposée comme la principale méthode de fraude, représentant 57 % des cas. Il s’agit d’un véritable tournant, car jusque-là, les contrefaçons physiques dominaient. Cette transition vers le numérique a commencé en 2021. Depuis, la fraude identitaire numérique connaît une croissance fulgurante. Une augmentation de 244 % en 2024, avec une progression impressionnante de 1600 % depuis 2021 !
D’après le rapport d’Entrust, les documents les plus ciblés en 2024 sont :
- Le numéro d’identification fiscale de l’Inde (27%)
- La carte d’identité nationale du Pakistan (18%)
- La carte d’identité nationale du Bangladesh (15%)
- Le passeport français (10%)
“Ces documents sont des cibles populaires en raison de la disponibilité de modèles en ligne, ce qui facilite leur manipulation numérique”, souligne le rapport. Les fraudeurs s’appuient, en effet, sur des plateformes “as-a-service” et des outils d’IA générative. Ainsi, ils mènent des attaques sophistiquées par falsification ou injection, et ce à grande échelle.
Les services financiers, cibles privilégiées des fraudeurs
Tous les secteurs sont touchés, mais les services financiers concentrent le plus d’attaques :
- Plateformes de cryptomonnaies : 9,5% des tentatives de fraude (+50% sur un an)
- Services de prêts/hypothèques : 5,4%
- Banques traditionnelles : 5,3% (+13%)
“Les plateformes de crypto ont connu la plus forte hausse de tentatives de fraude. Puisqu’elle sont en augmentation de 50% d’une année sur l’autre. Ainsi, elle passe de 6,4% en 2023 à 9,5% en 2024. Cette croissance pourrait s’expliquer par la hausse record des prix de la cryptomonnaie en 2024, attirant ainsi les fraudeurs.”
Les deepfakes, nouveau visage de la fraude identitaire numérique
Une autre tendance préoccupante émerge dans le paysage de la fraude. Les tactiques simples et relativement faciles à détecter, comme le phishing, sont en nette régression. Pour rappel, le phishing est une technique de fraude en ligne. Elle vise à tromper les utilisateurs pour qu’ils divulguent des informations sensibles, comme des mots de passe ou des coordonnées bancaires. À cet effet, les cybercriminels utilisent souvent des e-mails ou des sites web qui imitent des sources fiables. Puis, ils incitent les victimes à partager leurs données personnelles.
Désormais, ce type de fraudes laisse rapidement place à des méthodes plus sophistiquées. Parmi celles-ci figurent les deepfakes générés par l’IA et les identités artificielles hyperréalistes, qui représentent un défi croissant pour les systèmes de détection. Ces vidéos truquées d’un réalisme bluffant permettent d’ouvrir des comptes, prendre le contrôle de comptes existants, ou encore mener des campagnes de phishing.
“La prolifération des applications de face-swap et des outils de GenAI permet aux fraudeurs de lancer des attaques biométriques de plus en plus crédibles et à grande échelle”, alerte Simon Horswell d’Entrust.
Le champ d’application des deepfakes malveillants est, en effet, très large. En 2024, une attaque par deepfake se produisait toutes les cinq minutes.
L’IA générative démultiplie les possibilités de fraude
Les IA génératives (DALL-E, Midjourney…) conçues pour des usages artistiques et récréatifs sont à présent détournées pour générer de fausses pièces d’identité.
“Il est possible de créer de fausses identités de toute pièce en combinant deepfakes et documents générés par IA. Des photos de visages n’ayant jamais existé sont insérées dans de faux passeports, permis de conduire, justificatifs de domicile, etc.”, illustre le rapport.
Le réalisme est tel qu’une IA peut même générer une biographie complète pour crédibiliser ces personnages fictifs.
Comment se protéger contre la fraude identitaire numérique ?
Face à cette menace protéiforme, les entreprises doivent réagir vite.
“Les données de cette année soulignent cette tendance et illustrent la manière dont les fraudeurs adaptent leurs techniques à une vitesse alarmante. Pour garder une longueur d’avance, les équipes de sécurité doivent adopter une approche proactive. En cela, elles surveillent en permanence ces nouvelles menaces émergentes. En parallèle, il est essentiel qu’elles préparent leurs organisations à affronter cette nouvelle réalité avec des stratégies adaptées. Ce n’est plus une simple précaution ; c’est une nécessité”, insiste Simon Horswell.
À cet effet, Entrust recommande de :
- Combiner vérification d’identité et authentification multifactorielle
- Recourir à la biométrie pour le “liveness”
- Croiser différentes techniques : analyse du device, comportementale, sandbox…
- Valider les pièces dans les bases étatiques
La région EMEA (Europe, Moyen-Orient et Afrique) semble plus épargnée, avec “seulement” 3,4% de tentatives contre 6,8% en APAC (Asia-Pacific) et 6,2% aux Amériques. Cela s’explique sans doute par des exigences réglementaires et de KYC (Know Your Customer) plus strictes sur le Vieux Continent. En effet, c’est un processus utilisé par les entreprises, notamment dans le secteur financier, pour vérifier l’identité de leurs clients. Ainsi, il vise à prévenir la fraude, le blanchiment d’argent et d’autres activités illicites en collectant et en authentifiant des documents personnels, comme des pièces d’identité ou des justificatifs de domicile.
Néanmoins, la fraude identitaire numérique reste un défi collectif impliquant institutions, entreprises et particuliers.
