Lovro Persen, Directeur Document Management & Fraud chez IDnow, a un parcours rare dans l’industrie : trente ans d’expérience en law enforcement, dont plus d’une décennie au sein d’Interpol. Le constat qu'il partage aujourd'hui est sans appel : les fraudes à l'identité sont en train de changer de nature, et la plupart des organisations n'y sont pas préparées.
Pendant des années, les
contrôles d'identité numérique se sont focalisés sur le visible : les visages,
les documents, les photos. Or ce cadre ne correspond plus à la réalité des attaques.
Les menaces les plus sophistiquées ne se contente plus d'exploiter et de
détourner les images, mais tout ce qui les entoure : elles exploitent les
appareils, interceptent les flux vidéo, détournent les systèmes d'exploitation
et les parcours de récupération de comptes ou manipulent les personnes chargées
des vérifications. Les fraudeurs
injectent des flux vidéo artificiels impossibles à détecter à l'oeil nu,
manipulent des caméras virtuelles, s’appuient sur des LLM pour automatiser des
scripts d’ingénierie sociale, et réutilisent des faux documents qui n’ont
jamais existé autrement que sous forme numérique. Dans ce contexte, la
biométrie, qui ne fait que comparer deux échantillons, ne constitue plus un
mécanisme de confiance suffisant.
Cette bascule impose de
repenser l’architecture défensive. Le passage des attaques par imitation (photos,
masques, écrans) aux attaques par injection transforme radicalement le rapport
de force : l’attaquant contrôle désormais l’appareil, le réseau, et parfois
l’ensemble de l'environnement. En parallèle, l’essor du Fraud-as-a-Service et
des kits de phishing prêts à l'emploi permet à des profils très peu qualifiés
de mener des campagnes malveillantes à grande échelle. Chaque canal étend la
surface d’attaque, et la moindre faiblesse se transforme en porte d’entrée.
Pour garder une
longueur d'avance, les entreprises doivent passer à un modèle de confiance
multicouche, dans lequel les signaux ne sont plus analysés isolément : contrôle
des documents, biométrie, empreintes digitales enregistrées sur les appareils,
signaux comportementaux, indicateurs réseau, reconnaissance de schémas de
sessions répétées, détection d’anomalies. La vérification manuelle ne doit
intervenir qu’en dernier recours.
Les outils d'IA jouent
un rôle central, non pas pour battre ceux utilisés par les attaquants, mais
pour corréler des éléments que les fraudeurs ne peuvent pas falsifier
simultanément, comprendre les clusters d’identités et repérer des
micro-variations dans le temps et entre les canaux.
Et la suite ? Elle est
déjà là : les fraudeurs migrent vers les portefeuilles d’identité numériques et
les systèmes considérés comme “trusted by design”.
Ces environnements sont particulièrement vulnérables : ils n’ont ni historique, ni modèles d’attaque documentés, tout en concentrant une valeur stratégique considérable. Dans un contexte où les criminels exploitent chaque surface disponible, la confiance ne peut plus découler d’un document ou d’une image : elle doit émerger de systèmes résilients, adaptatifs, capables d’interpréter un contexte, et pas seulement le contenu.