KYC, pour “Know Your Customer”, est un processus visant à aider les institutions financières, les start-ups de la fintech et les banques à vérifier l’identité de leurs clients. Il n’est pas rare que l’authentification KYC implique des “images d’identité”, ou des selfies recoupés utilisés pour confirmer qu’une personne est bien qui elle prétend être. Wise, Revolut et les plateformes de cryptomonnaie Gemini et LiteBit font partie de ceux qui se fient aux images d’identité pour l’intégration sécurisée. Mais le GenAI pourrait semer le doute sur ces contrôles.
Des publications virales sur X (anciennement Twitter) et Reddit montrent comment, en utilisant des logiciels open source et de rayon, un attaquant pourrait télécharger un selfie d’une personne, le modifier avec des outils de GenAI et utiliser l’image d’identité manipulée pour réussir un test KYC. Il n’y a pas encore de preuves que les outils GenAI ont été utilisés pour tromper un véritable système KYC. Mais la facilité avec laquelle des images d’identité assez convaincantes peuvent être créées de façon approfondie est une cause d’alarme.
“L’usurpation de l’authentification par image d’identité du KYC n’a jamais été infaillible. Les fraudeurs vendent des identités et des selfies falsifiés depuis des années. Mais le GenAI ouvre un éventail de nouvelles possibilités.”
Dans une authentification typique par image d’identité KYC, un client télécharge une photo de lui-même tenant un document d’identité – un passeport ou un permis de conduire, par exemple – que seul lui pourrait posséder. Une personne – ou un algorithme – recoupe l’image avec les documents et les selfies enregistrés pour déjouer (espérons-le) les tentatives d’usurpation.
Quelques applications et plateformes mettent en œuvre des contrôles de “vivacité” comme sécurité supplémentaire pour vérifier l’identité. En règle générale, ils demandent à l’utilisateur de prendre une courte vidéo de lui-même en train de tourner la tête, de cligner des yeux ou de démontrer de quelque autre manière qu’il est en effet une véritable personne. Mais les contrôles de vivacité peuvent également être contournés à l’aide de GenAI.
L’année dernière, Jimmy Su, responsable de la sécurité de la plateforme d’échange de cryptomonnaies Binance, déclarait à Cointelegraph que les outils d’usurpation d’identité étaient désormais suffisamment efficaces pour réussir les contrôles de vivacité, même ceux qui exigent que les utilisateurs effectuent des actions telles que des rotations de la tête en temps réel. La conclusion est que le KYC, qui était déjà aléatoire, pourrait bientôt devenir effectivement inutile comme mesure de sécurité. Su, pour sa part, ne croit pas que les images et les vidéos usurpées ont atteint le point où elles peuvent tromper les examinateurs humains. Mais ce n’est peut-être qu’une question de temps avant que cela ne change.
