Incidents associés
OnlyFake.org a fait sensation parmi les fournisseurs de vérification d'identité numérique et les entreprises qui s'appuient sur la biométrie pour embarquer des clients lorsqu'il a été révélé qu'il s'agissait d'un outil de tentative de fraude à grande échelle.
Le site Web a disparu d'Internet à la suite du tollé, mais pas pour de bon.
Les chercheurs en prévention de la fraude chez Au10tix ont découvert le site, renaissant avec une nouvelle URL qui peut être trouvée via les mêmes canaux de contact, a déclaré Ofer Friedman, directeur du développement commercial d'Au10tix, à Biometric Update dans un e-mail. Le générateur d'identité synthétique a ajouté d'autres clauses de non-responsabilité qui démontrent sa connaissance de la manière dont les clients peuvent commettre des fraudes avec les produits qu'il vend.
Un avertissement sur le nouveau site indique aux clients : « N'utilisez pas les images illégalement ! » Le site propose des achats en gros d'un millier de faux documents d'identité pour 1 500 $ et fait la publicité de faux permis de conduire et passeports américains. Le site inclut également une « dénégation de responsabilité », intitulée « Avis de non-responsabilité OnlyFake ».
L'avertissement suggère que les faux modèles d'identité « ne sont destinés qu'à être utilisés dans des films, des émissions de télévision, des illustrations Web (vérification de compte en ligne) ».
« Acheter et posséder un modèle PSD à partir de ce site n'est pas illégal, mais fabriquer un faux permis/carte/carte d'identité en PVC pour une utilisation physique est illégal et constitue un crime grave », indique l'avertissement. « L'utilisation à des fins frauduleuses est donc strictement interdite. Nous avons configuré notre modèle de manière à ce que les gens ne puissent pas l'utiliser physiquement (en fabriquant un faux permis/carte/carte d'identité en PVC). Si vous envisagez d'utiliser notre faux modèle de permis/carte/carte d'identité en PVC, veuillez quitter notre site immédiatement. »
« Ils annoncent également l'ajout de nouveaux modèles de documents d'identité chaque semaine et ont ajouté des outils de support tels que la génération de signatures manuscrites », explique Friedman. « En parallèle, divers canaux proposent à la vente des cartes d'identité falsifiées en masse prêtes à l'emploi à ceux qui veulent la facilité. »
*Biometric Update ne partage pas la nouvelle URL, pour éviter de rendre public l'outil de fraude.
Même les faux de mauvaise qualité défont les défenses faibles
Friedman dit que les chercheurs d'Au10tix ont été surpris que les faux vendus par OnlyFake et sa nouvelle incarnation soient capables de déjouer diverses plateformes automatisées de vérification de documents d'identité, et note : « Le battage médiatique est plus important que la qualité des livrables. »
« Nous avons exécuté quelques-uns de leurs faux sur notre système de défense à double couche, et la première couche a suffi à les signaler sur 4 problèmes différents », explique-t-il. « Nous sommes conscients que d'autres systèmes « automatisés » sont en fait assistés par des humains. Comme vous le savez, les humains ne peuvent détecter que ce qu'ils peuvent voir, et la technologie deepfake est suffisamment performante pour produire des faux invisibles que seule une automatisation appropriée peut détecter. Donc, à ce stade, non, il s'agit d'une manipulation assez basique de l'IA générale. Nous avons vu beaucoup plus de fraudes professionnelles générées par l'IA, et les fraudeurs s'améliorent rapidement. »
Les entreprises préoccupées par la menace des usurpations générées par l'IA doivent garder à l'esprit que les systèmes de protection contre la fraude varient considérablement en qualité, conseille Friedman, et s'assurer qu'ils disposent d'une défense à plusieurs niveaux. « Au niveau du cas et du comportement, et assurez-vous de compter le nombre de « types de contrôles » effectués », précise-t-il. « Les systèmes standard seraient à 40-60 contrôles, et les systèmes robustes seraient à 120-180 contrôles. »
Friedman souligne que les technologies biométriques et de protection contre la fraude d'Au10tix ont été développées pour des applications de contrôle aux aéroports et aux frontières, où il faut supposer que les tentatives de fraude peuvent passer inaperçues à l'œil nu.
Les gouvernements reconnaissent l'ampleur de la menace que représentent les fausses identités générées par l'IA, selon Friedman, mais sont quelque peu paralysés par la nature de la réglementation.
« Le problème est que les fraudeurs, en particulier les fraudeurs professionnels, ne respectent pas vraiment ces règles », dit-il. Il propose cependant une suggestion aux décideurs politiques : « Ce qui pourrait être une bonne idée, c'est que les régulateurs accréditent les solutions en fonction du niveau de défense qu'elles offrent. Ils le font pour les hôtels ; pourquoi pas pour la lutte contre la fraude ? »