Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...

Biométrie comportementale

Une firme israélienne cible les fraudes au téléphone

"Des centaines de signaux subtils" sont utilisés par le logiciel conçu par BioCatch pour repérer les victimes d'arnaques sur Internet


Illustration : un ordinateur piraté avec l'aide d'un smartphone. (Crédit : iStok via Getty Images)

Les fraudeurs en ligne sont de plus en plus malins. A peine épinglés par les banques ou les institutions financières, ils trouvent de nouveaux moyens de se montrer plus malins que le système.

Un évènement notable s’est produit il y a un an, au Royaume-Uni, quand une femme a reçu un prétendu appel de son opérateur lui annonçant qu’elle avait un retard de paiement. La femme a utilisé sa carte de débit pour payer les 60 livres sterling qu’elle devait, selon son interlocuteur.

Cinq minutes plus tard, elle a reçu un appel du service des fraudes de sa banque, lui annonçant qu’elle avait été victime d’une arnaque. Sa carte de débit étant liée à son numéro de compte en banque, il lui a été conseillé de transférer ses fonds vers un nouveau compte en banque.

Ils lui ont demandé de se connecter sur son espace personnel sur Internet et de transférer ses fonds vers un numéro de compte qu’ils lui ont fournir, en petits transferts ne dépassant pas 9 000 livres sterling chacun. Une fois que chaque virement sera effectué, ils lui diront quand procéder au prochain virement. Et c’est ce qu’elle a fait.


Illustration : une femme anxieuse devant son ordinateur. (Crédit ; KatarzynaBialasiewicz; iStock by Getty Images)

Malheureusement, il s’agissait d’une double arnaque. Le premier appelant travaillait main dans la main avec le second. La femme, cependant, pensait réellement avoir évité la fraude initiée par le premier appelant, et que son capital était en danger. Alors, elle a fait ce que l’équipe du (faux) service des fraudes lui a demandé de faire, à savoir, transférer son argent en petits virements, à la demande des arnaqueurs, afin de ne pas éveiller les soupçons du véritable service des fraudes de la banque.

C’est ainsi que le véritable titulaire d’un compte en banque a transféré des sommes légales, de son propre chef, vers un compte tiers. Comment une telle arnaque peut-elle être détectée ou évitée ?

« L’usager a été simplement arnaquée et trompée pour qu’elle transfère les fonds », explique Uri Rivner, cofondateur et responsable de la start-up israélienne BioCatch, qui a été sollicitée par la banque britannique en question pour l’aider dans cette affaire. « Il n’y a aucune technologie qui peut réellement l’arrêter. »

Cette arnaque est une affaire classique d’ingénierie sociale, a-t-il dit, un terme utilisé pour décrire un processus au cours duquel des personnes sont psychologiquement manipulées pour réaliser certains actions ou divulguer des informations privées ou confidentielles.

L’ingénierie sociale sévit depuis des milliers d’années, assure Rivner, « depuis le temps de Jacob et Esaü, dans la Bible », quand Jacob piège Esaü à lui vendre son droit d’aînesse en échange d’un plat de lentilles.


Illustration : un plat de lentilles – un exemple classique d’ingénierie sociale, selon Uri Rivner, de BioCatch. (Crédit : Manueltrinidad; iStock by Getty Images)

La réaction initiale de l’industrie bancaire britannique face à cette nouvelle forme d’arnaque a été : « ce n’est pas notre problème », a expliqué Rivner. Si des utilisateurs naïfs tombent dans le panneau, c’est entièrement de leur faute ; les banques n’ont joué aucun rôle dans cette affaire. Après tout, les utilisateurs ont fourni toutes les authentifications et autorisations, et les banques ont simplement répondu aux ordres émis.

Mais, quand davantage d’arnaques de ce types ont émergé, les banques britanniques ont reçu l’ordre des régulateurs financiers de tenter de trouver une solution à cette nouvelle tactique frauduleuse, désormais appelée Authorised Push Payments Voice Scams.


Infographie sur le fonctionnement d’un hameçonnage par téléphone. (Crédit : :BioCatch)

BioCatch, un pionnier israélien dans le domaine de la biométrie comportementale, a été sollicité pour se pencher sur ce problème.

La biométrie comportementale est une révolution dans la technologique de la cyber-sécurité qui identifie les personnes par la façon dont ils font ce qu’ils font – plutôt que par qui ils sont, comme c’est traditionnellement fait à travers la reconnaissance faciale ou l’empreinte digitale ; ou ce qu’ils savent, avec les questions secrètes ou les mots de passe ; ou ce qu’ils ont pour s’identifier, comme un code éphémère envoyé par SMS.

Chaque personne a une façon qui lui est propre de déplacer une souris, taper sur un clavier ou sur un téléphone, et la biométrie comportementale est capable de mesure et d’analyser ces schémas. De plus, quand les personnes s’identifient auprès de leurs banques ou d’un commerçant en ligne en renseignant des informations à leurs sujet, comme leur adresse, leur date de naissance, ils puisent dans leur mémoire à long terme, et non pas la mémoire à court terme. On observe cela dans la façon dont ils interagissent avec leur ordinateur ou leur smartphone, et des comportements qui diffèrent de ces schémas classiques peuvent être signalés comme inhabituels et générer une alerte.


Les schémas de défilement de BioCatch. (Autorisation)

BioCatch a développé un logiciel qui vérifie 500 bio-comportements et paramètres cognitifs et physiologiques pour créer des profils d’utilisateurs uniques et une présence web personnalisée pour chaque utilisateur de sites bancaires et commerçants.

La star-up, fondée en 2011 par Avi Turgeman et Rivner, a levé 50 millions de dollars de financement à ce jour, et emploie une centaine de personnes. Elle vend ses produits de détection aux banques et à ses autres clients dans le monde entier.

Elle est désormais face à un nouveau défi : comment savoir quand les clients sont incités à faire des choses dommageables.

« Nous avons réalisé que nous avons un nouveau problème, et la réaction initiale était  : que peut-on faire ? C’est l’utilisateur, c’est l’humain, c’est la personne elle-même qui est piégée », a déclaré Rivner dans une interview donné dans les bureaux de BioCatch à Tel Aviv. « Donc, parce que nous somme experts dans la fraude et la science des données et des neurosciences, nous avons commencé à nous pencher sur les données. »

Rivner a expliqué qu’ils ont trouvé « presque immédiatement » que dans le cas de la femme escroquée au Royaume-Uni, après le premier virement vers le nouveau compte en banque, elle déplaçait « de façon hasardeuse et nerveuse » la souris sur l’écran. « Elle était nerveuse, on lui disait d’attendre, elle devait attendre une confirmation », a-t-il dit.

La femme n’a pas quitté le site de sa banque après son opération, comme le font d’ordinaire les gens. Elle est restée en ligne, en attente d’autres instructions, et pendant qu’elle attendait, elle était nerveuse. Et cette nervosité se reflète dans les mouvements de sa souris.


Uri Rivner, cofondateur de BioCatch, dans ses bureaux de Tel Aviv, le 3 juillet 2019. (Crédit : Shoshanna Solomon/TimesofIsrael)

C’était bien elle qui procédait au virement, a assuré Rivner, « mais il y avait quelque chose d’étrange dans la façon dont elle interagissait ».

Le mouvement de la souris était « bien, bien plus long qu’à l’habitude », a-t-il dit, ce qui indique que la personne n’est « pas totalement concentrée » sur la transaction, mais préoccupée par d’autres choses.

« La biométrie comportementale une science qui étudie les comportements humains », a-t-il dit. « Ce n’est pas juste une question d’authentification. C’est aussi une question d’état d’esprit. »

A mesure que les chercheurs étudient les données, ils réalisent que les personnes escroquées partageaient un schéma commun.

« Nous avons vu qu’elle n’était pas la seule », a expliqué Rivner. Il y avait des traits spécifiques auprès des utilisateurs qui ont été dupés de manière similaire. « Une personne normale passera peut-être 20 % de son temps à déplacer seulement (la souris) sans but précis. Par contre, ce genre de victimes, parce qu’ils sont guidés par téléphone et qu’ils sont plus distraits, ce chiffre monte à 40, voire 60 %. »

Plus l »équipe enquêtait, plus elle trouvait de points commun. « Je ne peux pas tout vous dire », a ajouté Rivner. Mais l’équipe de BioCatch a mis au point une liste de « centaines de ces petits signaux comportementaux très subtils », comme l’hésitation, les signaux de stress, les signes de contrainte ou des gestes dictés par autrui.

« Il s’agit de signaux biométriques comportementaux très subtils », a-t-il dit. Chacun des signaux, pris à part, est sûrement un indicateur très faible que quelque chose ne va pas. Mais pris ensemble, ces centaines de signaux subtils peuvent « assez précisément, dire si quelque chose ne va pas à propos de cette activité spécifique ».

En se basant sur ces recherches, BioCatch a récemment lancé son propre « logiciel de détection d’appels frauduleux », qui étudie ces paramètres basés sur les mouvements de la souris et du clavier, ou sur la façon dont la personne fait défiler la page sur son téléphone.

Certaines banques britanniques utilisent déjà ce nouveau produit, dit-il. « Cela les aide. »

La firme se penche désormais sur la façon dont ces indicateurs comportementaux peuvent être utilisés pour détecter des crimes financiers, mais également dans « d’autres directions intéressantes », dit-il. « Nous avons beaucoup de recherches intéressantes que nous menons avec plusieurs compagnies, sur les capacités supplémentaires au-delà de la détection des fraudes, et c’est plus ou moins tout ce que je peux vous dire à ce stade. »

Source : https://fr.timesofisrael.com

Formation conseil en biométrie

Biometrie-Online.Net vous propose des actions de
Formation - Conseil sur mesure en intra.

Ces sessions permettent aux participants d'acquérir les bases de la biométrie, afin de comprendre les solutions biométriques mises en œuvre dans leur secteur d’activité.

Formation Conseil Biométrie Biométrique

À l’issue des actions de Formation - Conseil, les participants seront capables de :

  • Connaître le contexte, le marché, les enjeux, la place de la biométrie dans la sécurité et la gestion des identités.
  • Comprendre le fonctionnement des technologies biométriques, terminologie, avantages et limites.
  • Appliquer la règlementation.
  • Lister les problématiques du déploiement, propre à chaque type d’application.

Lire la suite

Le réseau social de la biométrie

Vous avez un intérêt pour la biométrie.

Vous pouvez adhérer au groupe « Biometrics Network & Forum » sur Linkedin.Plus

de 10 000 membres, des utilisateurs finaux, des fournisseurs, des chercheurs vous attendent.

En tant que membre du groupe, vous pouvez lire et soumettre des articles sur la biométrie, nouveaux produits, emplois, nouvelles de l'industrie et des événements.

Cliquez ici pour rejoindre le groupe.

LinkedIn 648x200

Il y a également des sous-groupes par modalité.

 

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.