Biométrie comportementale

Une firme israélienne cible les fraudes au téléphone

“Des centaines de signaux subtils” sont utilisés par le logiciel conçu par BioCatch pour repérer les victimes d’arnaques sur Internet.

Les fraudeurs en ligne sont de plus en plus malins. A peine épinglés par les banques ou les institutions financières, ils trouvent de nouveaux moyens de se montrer plus malins que le système.

Un évènement notable s’est produit il y a un an, au Royaume-Uni, quand une femme a reçu un prétendu appel de son opérateur lui annonçant qu’elle avait un retard de paiement. La femme a utilisé sa carte de débit pour payer les 60 livres sterling qu’elle devait, selon son interlocuteur.

Cinq minutes plus tard, elle a reçu un appel du service des fraudes de sa banque, lui annonçant qu’elle avait été victime d’une arnaque. Sa carte de débit étant liée à son numéro de compte en banque, il lui a été conseillé de transférer ses fonds vers un nouveau compte en banque.

ls lui ont demandé de se connecter sur son espace personnel sur Internet et de transférer ses fonds vers un numéro de compte qu’ils lui ont fournir, en petits transferts ne dépassant pas 9 000 livres sterling chacun. Une fois que chaque virement sera effectué, ils lui diront quand procéder au prochain virement. Et c’est ce qu’elle a fait.


Illustration : une femme anxieuse devant son ordinateur. (Crédit ; KatarzynaBialasiewicz; iStock by Getty Images)

Malheureusement, il s’agissait d’une double arnaque. Le premier appelant travaillait main dans la main avec le second. La femme, cependant, pensait réellement avoir évité la fraude initiée par le premier appelant, et que son capital était en danger. Alors, elle a fait ce que l’équipe du (faux) service des fraudes lui a demandé de faire, à savoir, transférer son argent en petits virements, à la demande des arnaqueurs, afin de ne pas éveiller les soupçons du véritable service des fraudes de la banque.

C’est ainsi que le véritable titulaire d’un compte en banque a transféré des sommes légales, de son propre chef, vers un compte tiers. Comment une telle arnaque peut-elle être détectée ou évitée ?

« L’usager a été simplement arnaquée et trompée pour qu’elle transfère les fonds », explique Uri Rivner, cofondateur et responsable de la start-up israélienne BioCatch, qui a été sollicitée par la banque britannique en question pour l’aider dans cette affaire. « Il n’y a aucune technologie qui peut réellement l’arrêter. »

Cette arnaque est une affaire classique d’ingénierie sociale, a-t-il dit, un terme utilisé pour décrire un processus au cours duquel des personnes sont psychologiquement manipulées pour réaliser certains actions ou divulguer des informations privées ou confidentielles.


Illustration : un plat de lentilles – un exemple classique d’ingénierie sociale, selon Uri Rivner, de BioCatch. (Crédit : Manueltrinidad; iStock by Getty Images)

La réaction initiale de l’industrie bancaire britannique face à cette nouvelle forme d’arnaque a été : « ce n’est pas notre problème », a expliqué Rivner. Si des utilisateurs naïfs tombent dans le panneau, c’est entièrement de leur faute ; les banques n’ont joué aucun rôle dans cette affaire. Après tout, les utilisateurs ont fourni toutes les authentifications et autorisations, et les banques ont simplement répondu aux ordres émis.

Mais, quand davantage d’arnaques de ce types ont émergé, les banques britanniques ont reçu l’ordre des régulateurs financiers de tenter de trouver une solution à cette nouvelle tactique frauduleuse, désormais appelée Authorised Push Payments Voice Scams.


Infographie sur le fonctionnement d’un hameçonnage par téléphone. (Crédit : :BioCatch)

BioCatch, un pionnier israélien dans le domaine de la biométrie comportementale, a été sollicité pour se pencher sur ce problème.

La biométrie comportementale est une révolution dans la technologique de la cyber-sécurité qui identifie les personnes par la façon dont ils font ce qu’ils font – plutôt que par qui ils sont, comme c’est traditionnellement fait à travers la reconnaissance faciale ou l’empreinte digitale ; ou ce qu’ils savent, avec les questions secrètes ou les mots de passe ; ou ce qu’ils ont pour s’identifier, comme un code éphémère envoyé par SMS.

Chaque personne a une façon qui lui est propre de déplacer une souris, taper sur un clavier ou sur un téléphone, et la biométrie comportementale est capable de mesure et d’analyser ces schémas. De plus, quand les personnes s’identifient auprès de leurs banques ou d’un commerçant en ligne en renseignant des informations à leurs sujet, comme leur adresse, leur date de naissance, ils puisent dans leur mémoire à long terme, et non pas la mémoire à court terme. On observe cela dans la façon dont ils interagissent avec leur ordinateur ou leur smartphone, et des comportements qui diffèrent de ces schémas classiques peuvent être signalés comme inhabituels et générer une alerte.

BioCatch a développé un logiciel qui vérifie 500 bio-comportements et paramètres cognitifs et physiologiques pour créer des profils d’utilisateurs uniques et une présence web personnalisée pour chaque utilisateur de sites bancaires et commerçants.

La star-up, fondée en 2011 par Avi Turgeman et Rivner, a levé 50 millions de dollars de financement à ce jour, et emploie une centaine de personnes. Elle vend ses produits de détection aux banques et à ses autres clients dans le monde entier.

Elle est désormais face à un nouveau défi : comment savoir quand les clients sont incités à faire des choses dommageables.

« Nous avons réalisé que nous avons un nouveau problème, et la réaction initiale était  : que peut-on faire ? C’est l’utilisateur, c’est l’humain, c’est la personne elle-même qui est piégée », a déclaré Rivner dans une interview donné dans les bureaux de BioCatch à Tel Aviv. « Donc, parce que nous somme experts dans la fraude et la science des données et des neurosciences, nous avons commencé à nous pencher sur les données. »

Rivner a expliqué qu’ils ont trouvé « presque immédiatement » que dans le cas de la femme escroquée au Royaume-Uni, après le premier virement vers le nouveau compte en banque, elle déplaçait « de façon hasardeuse et nerveuse » la souris sur l’écran. « Elle était nerveuse, on lui disait d’attendre, elle devait attendre une confirmation », a-t-il dit.

La femme n’a pas quitté le site de sa banque après son opération, comme le font d’ordinaire les gens. Elle est restée en ligne, en attente d’autres instructions, et pendant qu’elle attendait, elle était nerveuse. Et cette nervosité se reflète dans les mouvements de sa souris.


Uri Rivner, cofondateur de BioCatch, dans ses bureaux de Tel Aviv, le 3 juillet 2019. (Crédit : Shoshanna Solomon/TimesofIsrael)

C’était bien elle qui procédait au virement, a assuré Rivner, « mais il y avait quelque chose d’étrange dans la façon dont elle interagissait ».

Le mouvement de la souris était « bien, bien plus long qu’à l’habitude », a-t-il dit, ce qui indique que la personne n’est « pas totalement concentrée » sur la transaction, mais préoccupée par d’autres choses.

« La biométrie comportementale une science qui étudie les comportements humains », a-t-il dit. « Ce n’est pas juste une question d’authentification. C’est aussi une question d’état d’esprit. »

A mesure que les chercheurs étudient les données, ils réalisent que les personnes escroquées partageaient un schéma commun.

« Nous avons vu qu’elle n’était pas la seule », a expliqué Rivner. Il y avait des traits spécifiques auprès des utilisateurs qui ont été dupés de manière similaire. « Une personne normale passera peut-être 20 % de son temps à déplacer seulement (la souris) sans but précis. Par contre, ce genre de victimes, parce qu’ils sont guidés par téléphone et qu’ils sont plus distraits, ce chiffre monte à 40, voire 60 %. »

Plus l’équipe enquêtait, plus elle trouvait de points commun. « Je ne peux pas tout vous dire », a ajouté Rivner. Mais l’équipe de BioCatch a mis au point une liste de « centaines de ces petits signaux comportementaux très subtils », comme l’hésitation, les signaux de stress, les signes de contrainte ou des gestes dictés par autrui.

« Il s’agit de signaux biométriques comportementaux très subtils », a-t-il dit. Chacun des signaux, pris à part, est sûrement un indicateur très faible que quelque chose ne va pas. Mais pris ensemble, ces centaines de signaux subtils peuvent « assez précisément, dire si quelque chose ne va pas à propos de cette activité spécifique ».

En se basant sur ces recherches, BioCatch a récemment lancé son propre « logiciel de détection d’appels frauduleux », qui étudie ces paramètres basés sur les mouvements de la souris et du clavier, ou sur la façon dont la personne fait défiler la page sur son téléphone.

Certaines banques britanniques utilisent déjà ce nouveau produit, dit-il. « Cela les aide. »

La firme se penche désormais sur la façon dont ces indicateurs comportementaux peuvent être utilisés pour détecter des crimes financiers, mais également dans « d’autres directions intéressantes », dit-il. « Nous avons beaucoup de recherches intéressantes que nous menons avec plusieurs compagnies, sur les capacités supplémentaires au-delà de la détection des fraudes, et c’est plus ou moins tout ce que je peux vous dire à ce stade. »

La biométrie comportementale : c’est quoi?

Contrairement à la biométrie physiologique (caractéristiques physiques figées), la biométrie comportementale est liée à des caractéristiques comportementales dynamiques, par exemple votre façon de bouger, votre gestuelle très personnelle.
L’exemple de biométrie physiologique le plus couramment utilisé est votre signature, mais les progrès technologiques permettent d’identifier d’autres caractéristiques comportementales personnelles et de les utiliser pour confirmer que nous sommes vraiment qui nous disons être!

Voici une liste des éléments les plus communs:

La signature dynamique 

Cela va au-delà de votre signature elle-même, pour analyser les gestes que vous faites lorsque vous signez. Cette analyse considère la direction et la pression de votre tracé au stylo et combine ces informations à la forme de votre signature afin de déterminer votre identité.

La voix

Les intonations uniques de votre voix peuvent être analysées et comparées à votre empreinte vocale afin de confirmer votre identité. Cette technique est déjà utilisée pour accéder à certains services bancaires ou autres lignes de service après-vente automatisées.

Dynamique de frappe au clavier

Tout comme lorsque vous écrivez à la main avec un stylo, les données biométriques peuvent aussi venir de l’analyse de la dynamique de frappe au clavier.


Vitesse de frappe sur le clavier et son des touches [1]

La démarche

L’analyse de la démarche se concentre sur votre manière unique de marcher, déterminée par un éventail de caractéristiques personnelles comme votre âge, votre taille et votre poids. Des caméras spéciales permettent d’analyser le style de démarche d’un individu et permettre de l’identifier.

Les gestes 

D’autres gestes humains, généralement des mouvements de tête et de mains, peuvent aussi permettre de vous identifier. Certains smartphones utilisent la reconnaissance faciale (ou même la reconnaissance de votre sourire!) pour contrôler le déverrouillage de l’appareil.

Pour plus d’informations, visitez www.gemalto.com/govt/inspired/biometrics

Souvenez-vous : bien que la sécurité biométrique soit un outil intéressant pour l’identification des personnes, elle n’est pas suffisante pour garantir une sécurité importante. L’authentification en trois étapes, qui comprend quelque-chose que vous savez (comme un mot de passe), quelque-chose qui fait partie de vous (la biométrie) et quelque-chose que vous avez en votre possession (comme une clé) est la meilleure façon d’éviter un accès non-autorisé.


Le Dr Sébastien Marcel, directeur scientifique, présente le programme postgrade en biométrie et vie privée d’UniDistance: le Certificate of Advanced Studies in Biometrics & Privacy.
le 29 mai 2017