Un marché souterrain vise l’un des mécanismes de confiance centraux de la finance numérique

MIT Technology Review rapporte que des escrocs utilisent des outils illicites vendus sur Telegram pour contourner les vérifications d’identité employées par les banques et les plateformes crypto, en particulier les scans faciaux de type “Know Your Customer”, ou KYC. Dans son enquête, la publication a identifié 22 canaux et groupes Telegram publics en chinois, vietnamien et anglais qui annoncent des kits de contournement et des données biométriques volées. Les outils sont présentés comme des moyens de contourner les systèmes de conformité censés confirmer à la fois qu’un compte appartient à une personne réelle et que le visage de l’utilisateur correspond aux documents d’identité initialement fournis.

Les implications sont sérieuses, car les contrôles KYC sont fondamentaux dans la manière dont la finance numérique filtre la fraude, les comptes relais et le blanchiment d’argent. Si ces contrôles peuvent être transformés en produit, vendu ouvertement via des messageries, ce qui ressemble à une couche de sécurité peut de plus en plus fonctionner comme une opportunité de marché pour des spécialistes du crime. L’histoire ne porte pas seulement sur un exploit ingénieux. Elle porte sur une chaîne d’approvisionnement dédiée à l’évasion d’identité.

L’enquête étaye cette inquiétude par un exemple concret. Un escroc opérant depuis un centre de blanchiment d’argent au Cambodge fait la démonstration d’une application bancaire vietnamienne qui demande une photo liée au compte, puis un contrôle de vivacité par vidéo. Au lieu d’utiliser un flux de caméra en direct légitime, l’escroc emploie une image qui ne correspond pas et passe tout de même. Selon l’enquête, cela est possible parce que de nombreux kits de contournement remplacent le flux attendu de la caméra en direct par d’autres vidéos ou images grâce à une technique de caméra virtuelle.

La faiblesse tient au fait que la “vivacité” peut être falsifiée au niveau de l’appareil

Le point technique clé du texte fourni est que ces outils ne battent généralement pas les systèmes biométriques en imitant parfaitement un véritable utilisateur au niveau de la plateforme. Ils compromettent plutôt le système d’exploitation du téléphone ou l’environnement de l’application afin que le flux de la caméra puisse être remplacé. Une fois qu’un contrôle de vivacité accepte une fausse entrée comme s’il s’agissait d’une vidéo en temps réel, l’ensemble du processus de sécurité peut s’effondrer.

Cela importe parce que beaucoup d’utilisateurs supposent que les contrôles faciaux sont intrinsèquement plus solides que les mots de passe ou les simples téléversements de documents. En principe, ils le sont souvent. Mais le reportage de MIT Technology Review montre à quel point leur efficacité dépend de l’intégrité de l’appareil et de la chaîne applicative. Si les escrocs peuvent contrôler ce que l’application voit, alors le contrôle facial peut devenir moins une garantie biométrique qu’un test de présentation vulnérable aux outils et aux services de fraude.

L’enquête indique que ces kits prétendent viser des institutions allant de grandes places d’échange crypto comme Binance à des banques, dont BBVA en Espagne. Certains canaux comptaient des milliers de membres ou d’abonnés. Même si toutes les affirmations de ces canaux ne sont pas exactes, l’ampleur de la publicité décrite dans le matériau source suggère un marché suffisamment mûr pour justifier l’inquiétude.

Fact Sheet: President Donald J. Trump Promotes Advanced Artificial Intelligence Innovation and Security (via whitehouse.gov)
More in Innovation

Le décret de Trump ouvre les modèles de pointe à un examen américain

Un nouveau décret de Trump demande aux entreprises d’IA de soumettre volontairement leurs modèles avancés à un examen fédéral 30 jours avant leur publication publique.

Read article

La criminalité financière devient plus orientée services

L’une des caractéristiques marquantes de l’écosystème Telegram décrit est la façon explicite dont il est commercialisé. L’article évoque des canaux faisant la promotion de “toutes sortes de services de vérification KYC” et se présentant comme sûrs et professionnels. Ce langage est révélateur. Il suggère une économie criminelle qui imite de plus en plus les entreprises légitimes de logiciels et d’externalisation. Plutôt que d’exiger que chaque réseau de fraude invente ses propres méthodes, des spécialistes peuvent vendre des capacités de contournement prêtes à l’emploi à un réseau illicite plus vaste.

Ce modèle de service accroît le risque systémique. Lorsque les techniques de fraude deviennent des produits standardisés, elles se diffusent plus vite, atteignent des acteurs moins sophistiqués techniquement et deviennent plus difficiles à contenir par des contre-mesures ponctuelles. Les banques et les plateformes d’échange peuvent améliorer une couche de défense pour constater ensuite qu’un nouveau package est déjà en vente et apprend aux opérateurs à la contourner.

L’enquête souligne aussi la dynamique du chat et de la souris déjà familière dans la sécurité financière. À mesure que les institutions déploient des étapes d’onboarding et de vérification plus avancées, les criminels s’adaptent. Ce qui rend cette phase plus conséquente, c’est que cette adaptation cible directement les systèmes de confiance biométrique que de nombreuses entreprises ont considérés comme une voie d’amélioration.

Pourquoi cela compte au-delà de la crypto ou d’une seule région

Bien que le reportage cite des exemples liés au Cambodge, à des applications bancaires vietnamiennes et à des plateformes crypto mondiales, le problème central n’est pas limité géographiquement. Toute institution qui s’appuie fortement sur la vérification d’identité via téléphone devrait y prêter attention. Si des groupes publics peuvent commercialiser ouvertement des outils de contournement des contrôles biométriques, la menace dépasse largement une seule application ou un seul pays.

L’enjeu dépasse aussi les pertes immédiates liées à la fraude. Les systèmes KYC soutiennent la conformité anti-blanchiment, l’intégrité des comptes et la capacité à relier l’activité numérique à des individus réels. Affaiblir ces systèmes revient à faciliter l’ouverture de comptes relais, le déplacement de fonds illicites et la création de nouvelles couches de distance entre les organisateurs criminels et l’argent lui-même.

Le reportage de MIT Technology Review n’implique pas que le KYC soit inutile. Il montre en revanche que les technologies de conformité ne sont aussi solides que les contrôles de l’appareil, la détection de fraude et le scepticisme opérationnel qui les entourent. Les institutions financières devront peut-être considérer l’onboarding biométrique moins comme un problème résolu que comme un composant d’un environnement de sécurité continuellement contesté.

La leçon la plus importante est que la vérification d’identité est désormais un champ de bataille actif doté d’outils d’attaque commercialisés. La question n’est donc plus de savoir si des acteurs malveillants peuvent contourner le KYC, mais à quel point ils peuvent le faire à bas coût, ouvertement et fréquemment. Au vu des éléments présentés ici, la réponse est suffisamment préoccupante pour imposer une remise en question.

Cet article s’appuie sur le reportage de MIT Technology Review. Lire l’article original.

Wind turbines off the coast of Shanghai, China
More in Innovation

La Chine met en service un centre de données sous-marin alimenté par l’éolien en mer

Un centre de données sous-marin au large de Shanghai est désormais en service grâce à l’énergie éolienne offshore et à un refroidissement basé sur l’eau de mer, une combinaison que ses promoteurs disent favorable à la réduction de l’usage des terres et des besoins en refroidissement.

Read article

Originally published on technologyreview.com