Les vulnérabilités d’un système d’onboarding et le manque de vigilance lors de l’ongoing

Je n’avais aucunement l’intention de rédiger ces quelques lignes, mais en lisant l’article publié par INFO RMC concernant l’escroquerie ayant touché le PMU, dont je joins aux lecteurs le lien en commentaire pour y accéder et comprendre le contexte de ma publication, je me suis permis d’émettre quelques remarques sur la vulnérabilité du pare-feu évoqué dans l’article ainsi que des suggestions permettant d’éviter ce genre de situation.

Pour toucher le bonus de l’offre de bienvenue proposé par le PMU aux parieurs à l’issue de son onboarding, un client a ouvert 974 comptes avec 1 000 identités inventées ou usurpées. Pourtant, ces dernières sont liées au niveau de la BJ (Base Joueur) du SI du PMU au même identifiant international d'un compte bancaire (IBAN). C’est au travers de ce dernier que ce même parieur effectuait, sans réveiller aucun soupçon de la compliance du PMU, le décaissement de ses gains.

La faille vient non seulement des deux étapes du KYC Onboarding, "Customer Identification Program" et "Customer Due Diligence" mais aussi du processus de décaissement des gains lors de l’ongoing. Chez certains opérateurs de jeux, la notion de vérification ou de contrôle des pièces justificatives est souvent appelée "certification des pièces".

Le premier risque que doit intégrer une solution fiable de vérification d’identité est l'usurpation d’identité et la fraude identitaire. Dans les deux cas, le PMU, ou éventuellement son prestataire pour rester conforme à la première obligation réglementaire (vigilance obligatoire) imposée par le régulateur l’ANJ (Autorité Nationale des Jeux) lors d’un enrôlement, est de s'assurer que le titre d'identité présenté par le futur parieur est authentique et que ce dernier en est le détenteur légitime.

Rendez-vous compte, la même personne a été enrôlée 974 fois avec des identités différentes ? Soit 974 comptes ouverts, avec un impact financier estimé à 272 K€ et une mobilisation des forces de l’ordre dédiées aux courses et aux jeux pour procéder à son arrestation après un an d’enquêtes !!! Y-avait-il vraiment, comme évoqué dans l’article, des pare-feux dans le dispositif du PMU ? Je me pose des questions et je m’explique :

1 - Si la solution de vérification d’identité implémentée se basait en entrée sur une capture statistique du titre (prise d’image) pour espérer assurer son authenticité, il y a déjà une faille sécuritaire à ce niveau. La preuve, le fraudeur malheureusement s’est bien régalé avant son arrestation #272K€. En effet, un des critères imposés par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Informations) aux acteurs de vérification d’identité, permettant de s’assurer de l’authenticité d’un titre d’identité, est une capture dynamique du titre (acquisition d’une vidéo du document) et non pas une image.

Pour renforcer les contrôles contre la fraude et l’usurpation identitaire, ce critère (vidéo document) est suivi de deux autres permettant de s'assurer que le futur parieur du PMU qui se présente devant la caméra de son device est bien vivant et de rapprocher les deux gabarits biométriques générés respectivement de la photographie du titre à celui issu de la séquence du vidéo selfie.

2 - Une piste que j’avais proposée, figure ci-dessous, en 2010 et en 2014 à un opérateur des jeux en ligne étant la notion d’unicité d’attributs, c’est le cas de l'IBAN. Avant sa certification définitive et l’ouverture du compte joueur, un contrôle de présence de doublon d’IBAN suffisait au PMU pour se rendre compte que le même IBAN était lié au même portefeuille de joueur.

En effet, si la détection de doublon dans la BJ avait eu lieu et si ce même RIB/IBAN était lié à des données pivots (données d’état civil différentes), cela veut dire que le pare-feux n’avait effectué aucun contrôle de cohérence des attributs "nom", "prénom" du titulaire figurant sur le RIB/IBAN avec ceux du titre d’identité et/ou avec ceux saisis au niveau du portail web du PMU (appelé généralement Référentiel Joueur/Parieur).

Avec cette simple suggestion, le PMU ou son prestataire aurait facilement détecté toute suspicion de fraude identitaire et/ou documentaire et l’aurait remontée via le workflow partagé selon le principe #4EyesPrinciple à la compliance du PMU pour prise de décision finale (notion de non-transfert de responsabilité).

3 - Ça c’était il y a au moins 10 ans, le temps a changé, les choses ont évolué et on peut proposer mieux maintenant. Le calcul d’un hash homomorphique du gabarit biométrique issu de la vidéo selfie, décrite ci-dessus, et son stockage dans un environnement sécurisé aurait permis au PMU, dans le cas d’une usurpation d’identité, de détecter les tentatives d’enrôlement ultérieures.

En effet, à la deuxième tentative, la génération d’un gabarit biométrique du visage qui se présente devant la caméra, le calcul du hash correspondant et son rapprochement aux différents hashs stockés aurait permis au PMU de détecter : a) la présence du même hash au niveau de l’environnement du PMU, b) que la personne qui se présente a déjà été enrôlée 3) et que par conséquent, il s’agit d’une éventuelle fraude identitaire. Cette authentification couplée à d’autres facteurs techniques de type biométrie comportementale, empreinte du device, etc., aurait à mon humble avis largement suffit pour alerter le PMU et éviter la perte financière et la mobilisation des forces de l’ordre.

4 - Si dans le futur les mentalités sont amenées à changer et évoluer au niveau de l’hexagone, le NFC serait d’un apport précieux dans la lutte contre la fraude identitaire. Il permettrait aux opérateurs de jeux en ligne de proposer un parcours fluide, sécurisé, sans faille (contrairement aux solutions basées sur l’acquisition d’une image statique suivie d’une phase d’OCR), avec une agréable expérience joueur et par conséquent un taux de transformation/acquisition plus élevé.

Avec un smartphone et un titre d'identité biométrique (doté d’une puce électronique), la technologie NFC permettrait de vérifier immédiatement et en toute sécurité l'identité des joueurs. Elle permettrait de proposer un parcours d’onboarding plus fiable et sans failles sécuritaires. L’ajout de la biométrique au parcours permettrait d’apporter un niveau de sécurité supplémentaire quant à la vérification de l’identité du titulaire. 

5 - La mode se démode, aujourd’hui avec la démocratisation de l’accès au pari en ligne, le besoin d’une identité numérique sécurisée, authentique et vérifiable est devenu important ; Il est donc crucial d’adopter une approche centrée sur le parieur et d’assurer la protection complète des données personnelles des joueurs dans ce paysage en constante évolution et au niveau duquel certains individus malveillants ne manquent pas eux aussi d’ingéniosités.

Dans le contexte du PMU, la décentralisation, et plus exactement les technologies d'identité auto-souveraine SSI (Self Sovereign Identity) et de cryptographie, sans aucune divulgation d’informations ZKP (Zero Knowledge Proof), offrirait une approche innovante et adéquate de l’identité, d’enrôlement et de la connaissance du parieur. Une approche qui utiliserait des preuves cryptographiques au lieu des données réelles de ce dernier. Les preuves cryptographiques seront stockées dans la blockchain.

Comme le propose, la figure ci-dessous, dans le futur proche, les différents processus métiers de paris en ligne (enrôlement, mise à jour de la connaissance joueur, revue périodique, sécurité financière, retrait de gain > à un montant donné (gain Perben), etc.) peuvent être traités dans un écosystème tripartite, composé : a) d’émetteurs des titres/attributs vérifiables, b) du parieur et c) de l’opérateur de jeux en ligne, selon une approche décentralisée dans laquelle le parieur ne dépend plus d'un fournisseur tiers. Le parieur stockerait ses données d'identité et d’autres attributs (IBAN pour illustrer le cas du PMU) en toute sécurité au niveau de son Wallet.

De plus, il peut divulguer de manière sélective des données personnelles aux opérateurs de jeux en ligne, tel que : a) la preuve de majorité, avec un double anonymat, permettant au parieur d’accéder à la plateforme de jeux, b) les données pivots d’état civile, c) l’IBAN, d) une preuve fiable de domiciliation fiscale en France permettant aux opérateurs d’éviter l’envoie par courrier postal du code d’activation du compte au domicile déclaré par le parieur, la gestion éventuelle des PND (Plis Non Distribués), de réaliser des gains sur les consommables, des gains sur les coûts d’affranchissement et sans oublier la protection de la planète.

Au niveau de cette figure : l’émetteur délivrant des titres vérifiables (Verifiable Credential) peuvent être : a) une autorité régalienne (France Titres) pour un titre d'identité, b) la DGFIP pour la justification d’adresse (l’avis d’imposition ou de non-imposition est considérée par les opérateurs comme justificatif de domicile), un opérateur d’énergie, un fournisseur d’accès à internet, c) une banque pour l’IBAN, d) l’ANJ pour une preuve de joueur non interdit volontaire de jeux (lutte contre l’addiction), e) une preuve biométrique #ZKB (Zero Knowledge Biometric), etc.

Le vérificateur est l’opérateur de jeux en ligne basé au niveau de l’hexagone voir au-delà (#EUDI Wallet) qui authentifie le parieur, par présentation des VCs correspondants cités ci-dessus et le contrôle via la blockchain, pour les processus d’onboarding, d’authentification et d’accès à la plateforme de jeux, pour parier ou encore décaisser les gains (cas du PMU évoqué par RMC).

Ainsi, la SSI répondrait aux problèmes de confidentialité et de sécurité associés aux systèmes d'identité traditionnels (centralisés et fédérés), dans lesquels les données personnelles sont stockées dans des bases de données centralisées vulnérables aux violations et aux utilisations abusives.

Selon cette nouvelle approche, l’univers de paris en ligne pourrait exploiter pleinement le potentiel de la SSI puisque les parties impliquées (le titulaire, l'émetteur et le vérificateur) sont connectées dans un environnement de confiance.

Enfin pour terminer, pendant près de trois semaines cet été le monde entier aura les yeux rivés sur Paris, capitale d’accueil des Jeux de 2024. Ils présenteront toutefois un terrain propice à l'arnaque pour les individus malveillants. Les parieurs auront en effet besoin de faire plusieurs transactions en ligne offrant ainsi de nombreuses opportunités aux cyberattaquants pour les escroquer.

D’ici là, et comme disait Karl Zéro : "méfiez-vous des contrefaçons", alors méfiez-vous des charlatans qui vous propose des solutions de vérification qui sont vulnérables aux attaques. Le prix à lui seul ne veut rien dire et un prix bas par rapport aux pratiques existantes cache et masque généralement des choses malsaines. On ne peut pas avoir une voiture avec toutes les options garanties pour le prix d’une entrée de gamme.