Vers une identification à distance au même niveau de risque que le face-à-face ?
Nous avons précédemment évoqué l’urgence de solutions harmonisées pour faciliter un parcours fluide, 100 % numérique et de confiance, tout en prévenant les risques accrus de fraude à l’usurpation d’identité et de compte. Le FATF GAFI, pour sa part, considère que l’identification à distance peut être au même niveau de risque, voire moins risquée, que le face-à-face physique, grâce à des solutions d’identification robustes de confiance.
Outre le cas d’usage d’une ouverture de compte numérique, une identification à distance est également requise pour une contractualisation de services avec une valeur probante suffisante. En effet le recours à un service numérique de confiance, tel qu’un recommandé électronique ou la signature électronique, nécessite de montrer le niveau de fiabilitié suffisant pour l'identification du signataire et le lien univoque avec ce dernier. Notons d'ailleurs que les usages de la signature électronique se sont amplifiés depuis la pandémie, aussi bien en BtoB qu'en BtoC.
Or, à ce jour, aucun cadre règlementaire ou guideline européen n’existe pour définir la robustesse d’une identification à distance au même niveau de risque que le face-à-face. Les révisions des législations eIDAS et AMLD ne pourront donc pas éluder ce sujet majeur pour définir les exigences applicables. Elles pourront s’appliquer directement aux banques ou indirectement, via un cahier des charges précis pour la qualification de moyens d’identification électronique enrôlés et/ou remis sans face à face, et pour la qualification de fournisseurs de services d’identification à distance et/ou de KYC utilities.
C’est pourquoi, la Commission Européenne a missionné un groupe de travail à l’ETSI pour élaborer un rapport technique sur l’état de l’art du marché, puis une spécification technique pour l’été 2021. Cette dernière détaillera la gouvernance et les exigences de sécurité, pour les différents niveaux de confiance. Ce travail pourrait s’inspirer d’un guide allemand déjà existant et émis par le BSI en 2018 (TR-03147 “Assurance Level Assessment of Procedures for Identity Verification of Natural Persons”). Mais en France, l’ANSSI (homologue du BSI allemand) vient tout juste de lancer une consultation (ouverte jusqu’au 31 janvier 2021) pour un nouveau référentiel, très détaillé en exigences de gouvernance, mais aussi opérationnelles.
NOTRE DECRYPTAGE
Le référentiel de l’ANSSI pourquoi faire ?
Le référentiel proposé par l’ANSSI est un cahier des charges pour qualifier des Prestataires de Vérification d’Identité à Distance (PVID). Il a une triple vocation :
- la qualification de moyens eIDAS,
- la qualification de services de confiance eIDAS nécessitant une identification fiable (ex : signature électronique avancée ou qualifiée, recommandé électronique qualifié),
- mais aussi la certification d’un service, cité dans le code monétaire et financier comme l’une des mesures pour la vigilance renforcée AMLD pour l’entrée en relation d’affaires à distance.
« 5° Recourir à un service certifié conforme par l'Agence nationale de la sécurité des systèmes d'information, ou un organisme de certification que cette agence autorise, au niveau de garantie substantiel des exigences relatives à la preuve et à la vérification d'identité, prévues à l'annexe du règlement d'exécution (UE) 2015/1502 du 8 septembre 2015. »
Ce référentiel permettra de distinguer deux niveaux de garantie, élevé et substantiel. Le service d’identification à distance doit présenter le même niveau de garantie qu’en face à face, pour résister à un potentiel d’attaque modéré pour le niveau substantiel, et à un fort potentiel d’attaque pour le niveau élevé. Les nouvelles exigences portent aussi bien sur la vérification du document d’identité que sur la vérification du vivant (liveness detection).
Quelles sont plus précisément ces nouvelles exigences ?
Pour enrôler un utilisateur (par exemple pour une ouverture de compte), que ce soit à distance ou en face-à-face, le service en ligne va lui demander qui il est : ce dernier répond avec des données autoproclamées et avec la fourniture d’une preuve d’identité que le service doit ensuite vérifier en validité, intégrité et authenticité.
- Rappelons qu’en France, l’identité peut se prouver par tout moyen, et entre autres par une pièce d’identité valide (une carte d’identité, un passeport biométrique, une carte de résident…).
- L’intégrité des données se vérifie facilement en comparant les données stockées dans la puce et/ou imprimées sur le titre d’identité, avec les données calculées dans les caractères optiquement reconnaissables (OCR) des lignes MRZ (Machine Readable Zone).
- Mais l’authenticité est beaucoup plus complexe à établir : elle doit permettre de vérifier que le titre n’a été ni contrefait (action de reproduire un faux document) ni falsifié (action de modifier un document existant). Lorsqu’un titre d’identité possède une puce ICAO (Secure Element certifiée Critère Commun CC EAL4+), l’authenticité du titre peut être vérifiée par la validité du certificat de la puce (Cs). Ce certificat permettra également d’attester de la véracité des informations stockées dans la puce (données d’identification et photo). Mais pour un titre sans puce ou un titre dont la puce n’est pas ou plus fonctionnelle (aucune obligation à ce qu’elle soit toujours fonctionnelle pour que le titre demeure valide), le contrôle de l’authenticité se base sur des éléments de sécurité physique du titre, comme pour un billet de banque. En plus du contrôle des éléments de sécurité physique invariables (fond visuel…), la vérification d’authenticité devra vérifier l’absence de fraude sur les données de personnalisation, et en particulier bien vérifier l’absence d’attaque sur la photo imprimée ou gravée sur le titre.
Dans le monde physique, ce contrôle en face-à-face peut se faire sans outillage, au niveau substantiel, avec les éléments de sécurité physique visibles (hologrammes, visuels de sécurité, image fantôme …). Mais pour le niveau élevé, un outillage expert est requis pour vérifier des éléments non visibles (lampe UV ou à IR pour détecter des encres de sécurité, loupe pour détecter les finesses de sécurités visuelles…). Or l’expertise des fraudeurs est de plus en plus pointue. Ainsi à Paris en novembre dernier, ont été arrêtés des fraudeurs qui fournissaient des fausses cartes d’identité françaises, avec du matériel de pointe, ce qui avait permis d’ouvrir des comptes bancaires frauduleux.
Dans le monde numérique, un simple scan d’un document ne permet pas de détecter des éléments invisibles, ni même de contrôler certains éléments de sécurité facilement visibles et de premier niveau, par simple manipulation de la carte (par flip ou rotation) : les encres de sécurité OVI (Optiques Variable Ink), les OVD (Optical Variable Device) tels qu’un hologramme ou un DID. Ainsi pour le niveau élevé, le référentiel de l’ANSSI propose d’imposer des titres d’identité à puce pour l’identification à distance.
Le monde numérique offre des moyens nouveaux pour élaborer des titres totalement virtuels ou pour injecter des données frauduleuses en remplacement des données présentes sur le titre d’identité pour créer une fausse identité.
C’est pourquoi le nouveau référentiel de l’ANSSI, pour le cas substantiel avec un titre sans puce ICAO (ou sans puce fonctionnelle), exige une vidéo durant laquelle l’utilisateur doit manipuler sa carte pendant la capture. Le traitement du titre d’identité peut se faire soit en mode automatique (mais hors du terminal de l’utilisateur), soit en mode manuel avec un service constitué d’opérateurs formés et encadrés par un référent fraude titre document d’identité.
Or, à ce jour, la plupart des fournisseurs de solutions d’identification à distance ne recouraient ni à la vidéo, ni à la mise à disposition obligatoire d’opérateurs pour vérifier l’authenticité d’un titre d’identité, même si certains recouraient déjà à la vidéo pour la détection du vivant pour vérifier le visage de la personne à distance.
Pour lutter contre l’usurpation d’identité à distance avec vérification du vivant, la vidéo est également requise par l’ANSSI. Le traitement automatique hors de l’équipement de l’utilisateur doit pouvoir détecter les altérations d’apparence de l’utilisateur dans le monde physique (masque, maquillage …) mais aussi numérique (masque virtuel, injection de photos ou vidéos d’une personne existante), voir par piégeage ou contrainte sur l’utilisateur. Si tel n’était pas le cas, le recours à un service d’opérateurs formés et encadrés avec un référent biométrie est requis en fonction du degré d’exigence.
- La reconnaissance faciale par comparaison des données d’identification biométrique procède déjà pour nombre de fournisseurs avec prise d’un flux vidéo de selfie, en sollicitant en général des actions de la part des utilisateurs. Certains de ces fournisseurs ont même fait l’objet d’une certification par le laboratoire américain iBeta certifié par le NIST, au regard du standard ISO 30107-3, pour attester de leur fiabilité à la résistance aux attaques et pour la détection du vivant. Mais ce standard n’impose pas de politique de vérification du vivant aussi exigeante que celle proposée par l’ANSSI, avec en appui un service d’opérateurs formés et d’experts.
- Pour la reconnaissance faciale par algorithmes et/ou IA, l’ANSSI ne semble pas requérir pour l’instant d’exigences en termes de faux positifs, et faux négatifs ou de capacité à démontrer l’absence de calculs discriminants. Pourtant, le cahier des charges de l’ANTS pour le nouveau système de gestion d’identité numérique (SGIN) définit déjà une exigence minimale pour son service d’identification à distance.
Exigences SGIN : « Afin de de permettre un fonctionnement optimal en termes d’expérience utilisateur et de sécurité, il est indispensable que la solution offre le meilleur compromis au regard :
- Du taux de faux refus qui devra être suffisamment faible pour garantir l’adhésion des utilisateurs et la bonne utilisation du service. L’exigence est fixée à moins de 20% de TFR (taux de faux refus).
- Du taux de fausse acceptation (que ce soit lors d’une utilisation conforme ou d’une tentative de fraude) qui devra être suffisamment bas pour garantir une sécurité optimale et limiter le risque d’usurpation. L’exigence est fixée à moins de 0,9% de TFA (taux de fausse acceptation). »
Une fois la vérification d’identité à distance réalisée, l’ANSSI exige également la constitution et le stockage d’un dossier à valeur probante, tout en respectant les principes de cybersécurité et de RGPD. Le traitement des données serait imposé sur une plateforme qualifiée par la sécurité du SI (SecuNum) et localisée en Europe, et le SI pourrait fait l’objet d’une homologation par un PASSI (Prestataire d’Audit de Sécurité du Système d’Information qualifié par l’ANSSI), laquelle est obligatoire pour le niveau élevé et recommandée pour le niveau substantiel.
Quel impact sur l’écosystème ?
Le référentiel ANSSI ouvre la voie à la qualification de prestataires de services d’identification à distance, de façon potentiellement dissociée et pas uniquement intégrée à la qualification, voire la notification d’un moyen d’identification électronique ou d’un service de confiance. Cette évolution va dans le sens de l’option 2 de la révision eIDAS d’ouverture à des services privés. La fourniture d’un service d’identification à distance as a service pourrait ainsi être proposée aux banques pour l’ouverture de compte et la conformité AMLD. Cette offre pourrait ensuite être mutualisée avec des services de signature électronique de nouveaux services bancaires.
Cette opportunité d’ouverture d’usage est donc proposée par l’ANSSI avec un cadre d’exigences pour éviter, selon le niveau de risque substantiel ou élevé, les risques de fraude et d’usurpation, tant avec des moyens physiques que numériques. Mais ce référentiel requiert une nouvelle offre de la part des fournisseurs puisqu’il impose des parcours numériques obligatoirement par vidéo, aussi bien pour la capture du titre sans puce que pour la reconnaissance faciale, et avec toujours en appui des services experts de vérification manuelle disponibles.
Thales vient de communiquer sur sa nouvelle offre d’identification as a service 100 % basée sur l’IA et de plateforme as service. Est-ce que le géant de la sécurité va également se lancer dans ce nouveau métier de service avec centre d’opérateurs ? En tout cas, l’acteur français AriadNext semble vouloir relever le défi : Il vient d’annoncer la création d’un nouveau centre en Roumanie, doté d’une centaine d’opérateurs. Il devra faire face à deux acteurs majeurs européens :
- L’allemand IDnow, qui vient de recevoir une aide substantielle de 15 millions d’euros de la Banque Européenne d’Investissement pour accroître ses travaux de R&D et son expansion internationale. Sa solution est aujourd’hui utilisée avec Docusign par les notaires. Cette utilisation est pour l’instant autorisée à titre dérogatoire durant l’état d’urgence sanitaire, pour l’identification à distance des parties pour l’établissement des actes authentiques sur support électronique.
- La solution britannique OnFido, qui fait partie intégrante de la solution AR24, le seul fournisseur de service de confiance auquel l’ANSSI a accordé, il y a 2 ans, le niveau substantiel pour la vérification à distance du destinataire pour autoriser le service recommandé électronique qualifié 100 % en ligne.
AR24 a depuis été racheté par La Poste et le recommandé électronique d’AR24 a été intégré dans le parcours 100 % en ligne pour l’enrôlement du moyen d’identification électronique de La Poste. Ce n’est pas un hasard non plus, si Néthéos, spécialisé dans les parcours d’entrée en relation et souscription à distance, vient d’annoncer la fourniture en partenariat avec AR24 d’une solution de signature électronique numérique, juridiquement fiable et satisfaisant les exigences AMLD. L’innovation repose sur le mode de transmission du code OTP : Il n’est plus transmis par SMS mais par la LRE. Le destinataire doit s’identifier avec la solution au niveau substantiel d’AR24 pour récupérer son code, ce qui permet de valider juridiquement le lien univoque avec le signataire.