Peut-on encore parler du PVID ? Une banque peut-elle faire confiance à un PVID ?

Le visa de sécurité de l'ANSSI ou encore la certification PVID permet de savoir qu'une solution a été évaluée et qu'elle doit être de confiance. Une vérification d'identité à distance doit normalement posséder la même finalité qu'une vérification d'identité en face-à-face physique. À distance ou en face-à-face, le premier risque est donc identique : l'usurpation et la fraude d'identitaire. Dans les deux cas, il faut s'assurer que le titre d'identité présenté par l'utilisateur est authentique et que l'utilisateur en est le détenteur légitime. 

Une vérification d’un titre d’identité sous l’angle PVID est devenue familière à tous (schéma ci-dessous). Elle est réalisée en deux séquences, une séquence nécessitant une acquisition dynamique du titre d’identité (vidéo document) et une séquence réservée à l’acquisition d’une vidéo selfie. Ces deux séquences sont généralement perçues comme étant chronophages et irritantes rendant le parcours contraignant. De plus, sous l’angle PVID, les deux vidéos doivent être revues par un opérateur supposé être disponible et formé aux techniques de lutte contre la fraude et l’usurpation identitaire, ce qui rend le parcours encore plus frustrant.

Nous sommes encore loin de l’instant onboarding rêvé par les prospects/clients des banques en ligne. Un parcours PVID peut prendre, sous certaines conditions techniques et comportementales de l’utilisateur, jusqu’à 10 minutes.

Une banque peut-elle faire confiance à un PVID ? Pour rappel, la reconnaissance faciale avait fait couler beaucoup d’encre lors du projet ALICEM (Authentification en ligne certifiée sur mobile). Le process PVID peut être exploité par des malveillants pour des usurpations identitaires par des attaques sur la biométrie d’une personne. Le récent rapport de l'ANSSI et du BSI, a montré les lacunes du process PVID. Ce même rapport indique clairement que la vérification de la puce (RFID/NFC) est la seule solution permettant de contrer la fraude documentaire et l’usurpation identitaire.

 Y a-t-il encore un intérêt pour un acteur de confiance numérique d’investir dans une certification PVID ?

Acquisition dynamique ou statistique ?

En Europe, la lutte contre le blanchiment d’argent et le financement du terrorisme, l’identification et la vérification précises des données des clients constituent un pilier essentiel des obligations de vigilance à l’égard de la clientèle auxquelles les institutions financières doivent se conformer. Avec l'adoption de l’AMLD5, une option supplémentaire a été introduite pour les institutions financières, sous la forme d'une identification sécurisée à distance ou électronique des clients, en se référant aux moyens d'identification électronique et aux services de confiance concernés tels que définis dans la Règlement eIDAS de 2014.

Ainsi les solutions technologiques permettant de contrôler l’identité des utilisateurs par le biais d’une image d’un titre d’identité (acquisition statistique) et d’un selfie ne respectent pas les réglementations légales en matière de KYC/AML imposées aux institutions financières. Elles sont exclues en Europe, pour leur faible niveau de sécurité technique, la faiblesse des preuves électroniques apportées au processus ainsi que leur manque d’intégrité. Tout ceci fait en sorte que le niveau de sécurité fourni est faible, loin de la sécurité requise pour l’identification formelle de clients selon les réglementations les plus exigeantes en la matière, qui ont fixé un haut niveau de conditions techniques pour utiliser le service de vidéo document et vidéo selfie.

Aller encore plus et faire mieux

Le parcours suivant proposé introduit l’apport de la QES (Qualified Electronic Signature) dans le processus d’onboarding. Il offre la possibilité d’améliorer l’expérience client et par conséquent simplifier l’onboarding des futurs clients d’une banque sans compromettre la conformité. Le déploiement, par une banque, de services de confiance numérique innovants, lui permettrait de rationaliser non seulement l'expérience des clients lors de l’onboarding, mais d’améliorer également l'efficacité opérationnelle de son personnel.

Parcours avec usage de la QES : En s’adossant à un PSCo (Prestataire de Services de Confiance) numérique, la banque peut encore proposer à ses futurs clients un processus transparent intégrant une vérification automatisée de l'identité des utilisateurs afin de fournir des certificats électroniques pour la création de signatures électroniques qualifiées. Avec ce nouveau parcours sans aucune intervention humaine, voir schéma ci-dessous, la banque sera en mesure de remplir ses obligations KYC/AML citées ci-dessus.

Le parcours au-dessus offrirait ainsi aux utilisateurs une expérience fluide, conviviale et rentable, intégrant :

• Une vérification du titre d’identité, avec contrôle de l’authenticité à l’aide du modèle d’IA élaborée appliqué à la vidéo document acquise (acquisition dynamique).
• Vérification de l’appartenance du titre à l’aide du modèle d’IA élaborée appliqué à la vidéo selfie acquise (Face Matching) ainsi que du caractère vivant de l’utilisateur à travers un challenge optimisé intelligent (Liveness).
• Émission du certificat qualifié personnel temporaire sans opérateur pour la création de signatures électroniques qualifiées.
• Réalisation de la signature électronique qualifiée.
• Stockage à long terme des certificats.
• Orchestration du flux de travail de signature.  

Le PVID a un périmètre restreint et n’est applicable qu’au niveau de l’hexagone. Grâce aux signatures électroniques à distance, qui sont activables au niveau de toute l'UE via le règlement eIDAS, la banque serait en mesure de proposer ce même processus où il est actuellement présent en Europe. La grande majorité des QES sont créées sous forme de signatures électroniques à distance, avec des certificats stockés auprès du même PSCo.

Parcours avec l’apport du NFC : La technologie NFC s'impose de plus en plus dans les opérations quotidiennes, notamment dans le processus de vérification d'identité KYC, dans les banques et les institutions financières. Ces dernières s'efforcent de fournir aux clients des processus de vérification les plus rapides et les plus sécurisés afin d’atténuer le taux d’abondants. Les nouveaux types de titre d'identité actuels sont basés sur une puce NFC, c’est le cas en France avec la CNIe. La puce contient des informations personnelles sensibles qui ne peuvent pas être extraites ou lues sans appareils compatibles NFC.

Le schéma suivant présente le parcours de vérification d’identité des titres dotés d’une puce NFC.

Ainsi, la banque peut vérifier l'identité de ses clients de manière rapide et précise. En effet, les titres d’identité dotés d’une puce RFID (Radio Frequency Identification) lisible par NFC, conforme au standard ICAO 9303 se déploient actuellement dans le monde entier. L’UE met en œuvre des modifications législatives autour de la technologie NFC pour permettre la vérification de l'identité numérique.

Sont stockées au niveau de la puce : les données figurant en clair sur le titre d’identité et les données biométriques obligatoires du titulaire. Les données sont organisées en DG (Data Group) : "DG1", "DG2", "SOD", etc. Elles sont signées numériquement et le pays délivrant une pièce d’identité biométrique maintient une infrastructure à clé publique (PKI) dédiée qui n’est autre que l'autorité nationale de certification et de signature (CSCA : Country Signing Certification Authority). Le certificat de signataire de document "DS", signé par la CSCA, permet de prouver l'authenticité et l'intégrité des données sur la puce et le lien avec l'émetteur.

Pour lire le contenu de la puce, un contrôle d'accès doit être établi. Deux protocoles ont été définis par le standard ICAO 9303 : le BAC (Basic Access Control) et le PACE (Password Authenticated Connection Establishment). Ils utilisent des clés d'accès générées à partir des lignes de la bande MRZ- MRZ Key. La clé MRZ est créée à partir du numéro du titre, de la date de naissance et de la date d'expiration qui sont présents dans la MRZ, ou directement à partir du CAN (Card Acces Number).

Une fois le contrôle d'accès établi, la puce fournira l'accès aux groupes de données moins sensibles. Le schéma ci-dessus présente la liste de tous les groupes de données possibles. La lecture des champs "DG3" et "DG4" n’est possible qu’avec un certificat supplémentaire.

Ainsi, la vérification NFC fonctionne en quelques étapes simples pour authentifier l'identité des utilisateurs, comme suit :

• Tout d'abord, l’utilisateur capture des images de son titre d’identité.
• Suivi d’une extraction automatiquement des données d’identification personnelles à partir de l'image capturée telles que : le nom, la date de naissance, le pays émetteur, la date d'expiration, le numéro de document et le CAN.
• Le client active le lecteur NFC de son smartphone contre la puce NFC de son titre d’identité.
• Avec le MRZ- MRZ Key ou le CAN, une communication est établie entre le terminal lecteur et la puce, qui peut livrer les informations contenues dans les DG protégés par ces mécanismes.
• Vérification de l'intégrité de la puce par une authentification passive, et qui vaut à une vérification de la signature des données de la puce par l'autorité émettrice de la puce (requête de la PKI détenue par l’état émettrice ou de la PKD détenue par ICAO).
• Détection du clonage de la puce par authentification active et Authentification de la puce.
• L’accès à la DG2 permet de réaliser un rapprochement des gabarits biométriques collectés à partir de la photographie du titulaire du titre contenu dans la puce à celui issue du selfie et par conséquent de réaliser un Face Matching.
• Un challenge est initié pour la détection du vivant (Liveness).

NB. : À date, ce type de traitement n’est pas autorisé en France. Cependant, en France, on peut avoir à peu près le même traitement par exploitation du contenu du "2D-Doc" de la CNIe. Un Face Matching avec la photographie portée au niveau du recto de la CNIe et le selfie.

Conclusions

Compte tenu du fléau de fraude et d’usurpation identitaire, des cyberattaques, de centralisation des données, de l’auto-souveraineté et comme je l’avais annoncé au niveau de mon article «S’orientons-nous vers la fin de la vérification d’identité à partir d’un titre physique ? », nous assisterons bientôt à la fin de la vérification d’identité à partir d’un titre physique. Avec l’arrivée de l’EUDI Wallet, l’identité auto-souveraine SSI et les VC (Verifiable Credentials) réutilisables, ces derniers perturberont inévitablement les processus physiques de vérification d’identité. Les identifiants vérifiables et réutilisables offriront aux utilisateurs de nombreux avantages. Ci-dessous les principaux :

• Un onboarding plus rapide des clients. La plupart des clients abandonneront le processus si l’ouverture d’un compte prend plus de 10 minutes, tel est le cas avec le PVID. Une fois que les clients auront à présenter leurs identifiants numériques pré-vérifiés, ils n’ont plus besoin de saisir à plusieurs reprises leurs coordonnées ou de rassembler des documents physiques chaque fois qu’ils souhaitent s’inscrire à un nouveau service. Cette intégration plus rapide réduira la frustration et les abandons, ce qui se traduire par des taux de conversion plus élevés et une augmentation du PNB.
• Les fournisseurs de pièces d’identité peuvent élargir leur marché : la fraude en ligne se développe et les secteurs où le KYC n’est pas obligatoire reconnaissent désormais l’importance de la vérification d’identité sécurisée. Les fournisseurs d’identité ont une grande opportunité de permettre aux clients d’émettre des identifiants numériques et de créer une demande pour les données d’identité vérifiées de haute qualité qu’ils génèrent. Ces informations d’identification aideront d’autres entreprises à mettre en œuvre une vérification d’identité fiable et sans friction.