La "Data Driven Behavioral Authentication" au service de la prévention de la fraude

Préambule  

Nous sommes des créateurs d’habitudes. Nos façons d’écrire, de réagir avec un écran tactile, de déplacer un curseur, de renseigner des champs au niveau d’un formulaire, de naviguer sur un site web, etc., sont des rituels profondément enracinés qui, même si nous n'en sommes pas nécessairement conscients, nous sont propres. Une personne peut être identifiée par des détails physiques de différentes parties de son corps et aussi par la manière dont il accomplit ses tâches quotidiennes. Bienvenue au monde de l’analyse comportementale et de la biométrie comportementale, où ce que nous sommes est vérifié silencieusement par la façon dont nous agissons #SilentAuthentication.

L'analyse comportementale et la biométrie comportementale sont deux technologies efficaces que les corporates peuvent utiliser pour atténuer les risques et lutter contre la fraude dans le cadre d’une stratégie préventive. Cependant, même si elles sont souvent regroupées dans la même catégorie, les deux technologies sont intrinsèquement différentes. L'analyse comportementale collecte des données et interprète les modèles élaborés de comportement des utilisateurs pour détecter en temps réel toute activité frauduleuse. La biométrie comportementale, quant à elle, authentifie qu'un utilisateur est bien celui qu'il prétend être en fonction de la façon dont il interagit avec son device (montre, smartphone, Ipad, desktop) et par rapport à ses actions collectées antérieurement.

Ainsi, l’analyse comportementale et la Data Driven Behavioral Authentication pour l’authentification par biométrie comportementale basée sur la donnée, notée ci-après DDBA, est d’un apport précieux pour les corporates dans la lutte contre la fraude et la détection des formes de malversations sur les canaux digitaux. Les habitudes de frappes inhabituelles des fraudeurs et d'autres types de biométrie comportementale peuvent automatiquement être signalés pour un examen plus approfondi.

En matière de sécurité, ce qui rend l’usage de la DDBA encore plus intéressant est qu’elle reste en permanence active, en arrière-plan, pour détecter certaines typologies de fraudes qui peuvent se produire lors des sessions en ligne déjà authentifiées. De ce fait, la DDBA apporte une couche de sécurité supplémentaire en plus des mécanismes d'authentification nécessitant une interaction directe avec l'utilisateur comme la saisie d'un mot de passe ou encore une prise d’une vidéo-selfie, etc.

En plus du phénomène de la fraude, et à l’ère du digital, les utilisateurs attendent des expériences fluides et personnalisées dans toutes leurs interactions avec les services proposés par les corporates. Dans cette optique, la biométrie comportementale permet de créer cette alliance en offrant le juste équilibre entre une sécurité de bon niveau et une expérience client #CX agréable et sans frictions.

Au travers de cet article, je propose aux lecteurs une description de l’analyse comportementale, de la biométrie comportementale et de leurs rôles respectifs dans la lutte contre la fraude. Y sont aussi développés le fonctionnement de la DDBA, les avantages ainsi que les défis que doit remonter la biométrie comportementale et son pouvoir à créer une relation harmonieuse entre sécurité et expérience client.

Analyse comportementale, biométrie comportementale et biométrie physique, de quoi parle-ton ?

La biométrique relève de quelque chose que nous sommes "bio" dérivé du mot grec pour "vie" et "métrique", bien évidemment, étant le verbe "mesurer". Chacun de nous dispose de deux grandes catégories de données biométriques, qui sont physiques et comportementales.

La biométrie physique : dépend des mesures des caractéristiques spécifiques d'un utilisateur pour la vérification de son identité. Cela inclut les empreintes digitales, les caractéristiques vocales, les propriétés géométriques des paumes, les données de reconnaissance faciale, les scans de l'iris et d’autres traits corporels. Dit autrement, la biométrie physique remplace les choses qu’on connaît (mots de passe, codes PIN, réponses à des questions personnelles, etc. – notion de connaissance) par les choses qui nous appartiennent (notion d’inhérence). Bien que ces caractéristiques rendent chaque corps unique, elles sont statiques, ce qui les rend plus vulnérables au balayage ou à la photographie, puis à la reconstruction à des fins malveillantes.

Rappels : en 2016, une équipe de chercheurs japonais de l’Institut National de l’Informatique (NII), avait mis en garde contre des pirates d'un nouveau genre : il suffisait de faire le signe "peace" face à l'objectif, et les empreintes peuvent être largement exploitées. Cette équipe avait réussie à reproduire des empreintes à partir de photos postées sur les réseaux sociaux sans trop d'effort. Une fois l'empreinte digitale numérisée, des moules et des modèles sont nécessaires pour la recréer. Le phénomène n’était pas nouveau. En 2014 le collectif de hackers berlinois "Chaos Computer Club" avait copié avec facilité l'empreinte de la ministre de la Défense allemande Ursula von des Leyen.

La biométrie comportementale : est une authentification biométrique mesurant les modèles uniques de l'activité d’un utilisateur. Les données issues de nos manières de tenir notre smartphone, de saisir des informations, de naviguer, de défilement, de balayage, de cadence de frappes, d’utilisation ou pas des touches de raccourcis et de la pression de nos doigts sur l’écran génèrent une mine de données associées aux comportements normaux de chaque utilisateur.

En capitalisant sur cette richesse d’informations, des modèles apprenants d’Intelligence Artificielle (IA) de type Machine Learning (ML) entraînés en permanence sont élaborés au fil du temps dressant des schémas évolutifs (non statiques) individuels et unique des mouvements corporels d'un utilisateur axé sur la "data".

À noter qu’il existe trois méthodes principales de vérification pouvant être appliquées à la "data" collectée : 1) "Notation Combinée", 2) "Définition de Seuils" et 3) le "Machine Learning". Au niveau du présent article, seule le ML est abordé. La notation combinée et la définition de seuils permettent une vérification basée sur des facteurs de risque connus. Cependant, le ML est nécessaire pour une véritable authentification comportementale évolutif. Il permet de valider des modèles de séquences complexes et en particulier, les modèles de Markov qui sont utilisés pour disséquer le comportement d'un utilisateur en une série d'actions pour identifier et classifier intelligemment un comportement normal de ce qui ne l’ai pas. Cette authentification est réalisée en comparant le comportement d’un utilisateur à instant donné au dernier profil connu des schémas de ses mouvements.

À retenir : la précision est la considération la plus importante pour les algorithmes apprenants. Malgré la précision annoncée de certaines formes de biométrie, d'autres formes sont encore en train d'affiner leur potentiel de précision. Le NIST (National Institute of Standards and Technology) avait examiné des algorithmes de reconnaissance faciale et d'empreintes digitales et le meilleur d'entre eux présentait un taux d'erreur de près de deux erreurs pour 100 tests. Le NIST vise un taux d'erreur de seulement 1 pour 100 000 tests.

Ainsi, plus le score de similarité est élevé, moins la corporate a à se soucier de l'identité et des intentions de l’utilisateur. Un manque de similarité entre le comportement de l’utilisateur (comportement normal) et son profil justifie l'application d’une couche d'authentification supplémentaire. Elle peut être, par exemple, une prise d’empreinte digitale du device.

En effet, une prise d’empreinte digitale d’un device est le suivi de ce dernier en fonction de ses caractéristiques et attributs uniques (type d'appareil, adresse IP, proxy, système d'exploitation, types et versions de navigateur web, paramètres du navigateur, etc.). Leurs acquisitions, créent une "empreinte digitale" distincte pour chaque device. Cette empreinte est archivée et elle peut être utilisée comme un autre facteur d’authentification. L’authentification est réalisée en rapprochant l’empreinte digitale du device archivée à une nouvelle créée lors de la session initiée par l’utilisateur. Un non-rapprochement des deux empreintes consolide la non-similarité du comportement de l’utilisateur et par conséquent bloquer toutes tentatives frauduleuses.

L'analyse comportementale : indépendamment de l’identité de l’utilisateur, l’analyse comportementale établie un mapping entre les intentions d’un utilisateur et ses réactions sur le site institutionnel ou au niveau de l’application numérique proposée par une corporate. Ce qui la différencie de la biométrie comportementale, est qu’elle ne nécessite aucun historique d’actions de l’utilisateur ou de son device. L’analyse comportementale interprète intelligemment la manière dont l'utilisateur interagit avec un formulaire web et analyse des facteurs comportementaux tels que la dynamique des frappes au niveau d’un écran, les méthodes de saisie (remplissage automatique, copier-coller, etc.), les corrections, la fluidité et le taux de clics. Elle permet à une corporate d’anticiper et d’identifier tout comportement anormal à risques et par conséquent freiner les fraudeurs dans leurs élans.

Le tableau suivant, synthétise les points distinctifs entre la biométrie physique et comportementale, ce qui est de l’analyse comportementale, les réglementations qui déterminent où se situent les différences et comment mieux évaluer l'utilisation de l'analyse comportementale et de la biométrie dans le cadre de la fraude à l'identité numérique.

Ce que peut offrir le déploiement de la biométrie comportementale à une corporate

Une authentification silencieuse, sécurisée et invasive : dans l’univers digital d’aujourd’hui, l’authentification par mot de passe est en voie d’extinction. Cette dernière donne place à "Passwordles Authentification", pour authentification sans mot de passe, basée sur des technologies biométriques. 

Les mots de passe sont généralement gérés par des systèmes centralisés et ces derniers n’inspirent pas du tout une totale confiance numérique. Ils restent vulnérables aux attaques des cybercriminels. Les dernières en date, au niveau de l’hexagone, concernent, le CHU de Rennes, le prestataire de services de Pôle emploi, etc. où des données personnelles ont été dérobées et qui seront, peut-être, utilisées à l’insu et au détriment des intérêts de l’utilisateur.

Dans ces circonstances, l’authentification par saisie de mots de passe peut être substituée par de l'authentification biométrique comportementale. Cette dernière est non seulement hautement sécurisée mais aussi fluide, silencieuse et peu invasive dans la vie quotidienne des utilisateurs.

Axée sur la "data", elle constitue une défense extrêmement précieuse, sophistiquée dans la lutte contre la fraude et une alternative sérieuse aux techniques biométriques, telles que la reconnaissance faciale ou encore la reconnaissance d’empreintes digitales.

Comme expliqué, les cybercriminels ont trouvé des techniques de contournement de ces protocoles sécuritaires, en volant des identifiants de connexion, ou par des attaques sur la biométrie d’une personne (présentation d’une photo imprimée ou numérique, injection d’une vidéo pré-enregistrée ou générée par l’IA (deepfake), présentation d’un masque en silicone tridimensionnel, d’une pièce d’identité authentique d’une personne ressemblante (attaque par sosie), etc.).

À noter que la biométrie comportementale ne nécessite aucune connaissance technique et ne demande aucun temps ni effort d'utilisation. Son processus de collecte de données et d’authentification se déroulant en arrière-plan, sans même que l’utilisateur s’en aperçoit ce qui lui procure le caractère invasif.

Une arme contre les cyberattaques et la fraude :  la biométrie comportementale est propre et unique à chaque utilisateur et de ce fait elle offre un bon niveau de protection grâce à sa capacité de reconnaître les interactions "attendues" d'un propriétaire légitime d’un compte avec son device. Elle est rassurante contre les cyberattaques et aussi pour reconnaître l’activité des robots et l’utilisation d’outils d’accès à distance par des malveillants.

Dans le cas où les données comportementales se retrouvent entre les mains des cybercriminels, il serait impossible à un mauvais acteur de reproduire les comportements du vrai titulaire de ces données. C’est ce qui se produit lorsque la biométrie comportementale est utilisée dans le cadre d’une "MFA" comme un autre facteur d'authentification. Si les données d'identification de l’utilisateur sont compromises, l’authentification ne sera pas établie et par conséquent la transaction (changement du n° de mobile, de domiciliation bancaire ou postale, ajout d’un bénéficiaire de virement, etc.) sera bloquée pour la simple et bonne raison que l’utilisateur affiche un comportement anormal par rapport à la connaissance établie ou agit sous la contrainte (comportement plus ou moins normal mais perturbé pour une raison quelconque : pas la même tenue du smartphone, pas la même dynamique de frappes ou d’appuie sur les touches).

Une expérience utilisateur simplifiée : avec la sophistication et l’augmentation du nombre des cyberattaques, les coroprates donnent plutôt la priorité à la sécurité qu’à l’expérience client. L’accumulation de couches sécuritaires d’authentifications classiques (saisie de mot de passe, de code PIN, réponse à une question secrète, etc.) engendrent des frustrations durant un parcours. Ce qui est en totale contradiction avec une stratégie digitale où l’on cherche à offrir de l’instantanéité aux utilisateurs. Inversement baisser la garde en améliorant l’expérience client peut rendre l’authentification vulnérable aux attaques citées au niveau de la section précédente.

Aujourd’hui il est plus pratique de déverrouiller son smartphone par la voie de la biométrie (reconnaissance faciale ou d’empreinte digitale) que de saisir son code PIN. Elle est adoptée par une majorité de corporates et son usage ne cesse d’augmenter et a considérablement amélioré le parcours des utilisateurs.

La biométrie augmentée des données comportementales d’un utilisateur est une voie de réconciliation entre sécurité et expérience client où ses deux aspects se renforceront mutuellement sans se contredire, avec : 1) une réponse concrète aux techniques de contournement adoptées par les cybercriminels, 2) une expérience agréable est proposée à l’utilisateur. Aucune contrainte ou règle ne sont imposées à ce dernier pour s’authentifier. Il lui est, juste, demandé d’être naturel et égal à lui-même. Cela garantit d’une part une authentification rapide, fluide et pratique et d’autre part une authentification sécurisée et continue tout au long d’une session initiée.

Au-delà des avantages, des défis sont encore à remonter par la biométrie comportementale

Comme exposé ci-dessus, l'une des principales préoccupations de cette technologie concerne la précision de la biométrie comportementale. Même si la technologie a connu des évolutions notables ces dernières années, il existe au déploiement un risque de mauvais jugement par le modèle d’IA (ML) élaboré :

Cas des faux négatifs : ils peuvent-être déclenchés suite à un changement de comportement (blessure, raideur au niveau des doigts/poignets, baisse de souplesse, déformation articulaire, maladie de parkinson, etc.), empêchant la personne d'accéder à son compte personnel et aux services proposés par une corporate.

Cas des faux positifs : ils sont signalés par la technologie, lorsqu’un utilisateur est identifié comme étant malveillant alors qu’il est légitime.

Il est important de noter que cette inquiétude de précision de l’authentification, au démarrage, se dissipe naturellement avec le temps. En effet, la biométrie comportementale surveille en continue le comportement d’un utilisateur, ce qui permettrait de disposer, avec le temps, d’une variabilité de données sur son comportement normal et par conséquent améliorer les performances et la précision du modèle d’IA lors des itérations de training ultérieures.

Cette surveillance continue du comportement normal adossée au ML permettrait à la DDBA de prendre en compte des changements dans le comportement d’un utilisateur, de proposer une technologie avec des hauts niveaux de précision et des taux de faux positifs et de faux négatif les plus bas.

Conclusions

À l’ère de la digitalisation des processus, les fraudeurs tentent d’exploiter toutes les méthodes à leur disposition pour subtiliser nos données personnelles (identité, bancaire, de contacts, etc.). Cependant, la biométrie comportementale basée sur la donnée (DDBA) combinant l'authentification avec des modèles d'utilisateur uniques permet non seulement d’atténuer la fraude mais aussi d’offrir une expérience plus sécurisée.

La DDBA reste une technologie à examiner de près par les corporates pour offrir une harmonie entre la sécurité et l’expérience client. Elle est prometteuse avec de nombreux cas d’usages et avantages potentiels. L’exploitation de la "data" comportementale et des données de l’empreinte digitale du device pour vérifier les utilisateurs de manière transparente en arrière-plan, permet aux corporates de répondre aux attentes des clients en matière d'expériences personnalisées tout en renforçant la sécurité.

Néanmoins, avant de l’adopter, il est important pendant une phase transitoire de prendre en considération les défis potentiels de la technologie à son déploiement (au démarrage), notamment en matière de précision et de gestion de risques.

Mots clés : "Biométrie Comportementale" - "Biométrie Physique" - "Analyse Comportementale" - "Authentification Silencieuse" - "Intelligence Artificielle" - "Machine Learning" - "Data Driven"