Entre délinquants financiers et banques, un jeu du chat et de la souris dopé à l’IA a commencé
Près de 70 % des professionnels de la finance estiment que les criminels utilisent l’intelligence artificielle plus ingénieusement pour commettre des délits financiers que les banques ne le font pour les combattre. C’est ce qui ressort du premier rapport annuel BioCatch sur l’impact de l’IA sur la fraude numérique et la criminalité financière.
Dans une enquête internationale menée auprès de 600 responsables de la lutte contre la fraude et le blanchiment d’argent, et la gestion du risque dans 11 pays d’Europe, d’Amérique du Nord, du Moyen-Orient et d’Asie, près de 70 % des personnes interrogées ont indiqué que les criminels utilisent l’intelligence artificielle (IA) plus ingénieusement pour commettre des délits financiers que les banques ne le font pour lutter contre la fraude. “C’est une sorte de jeu du chat et de la souris où les criminels s’efforcent d’avoir toujours une longueur d’avance sur les institutions financières”, explique Rob Vink, country manager Benelux chez BioCatch, le leader mondial de la détection de la fraude numérique et de la prévention de la criminalité financière.
Les criminels qui utilisent l’IA pour la fraude financière et les banques qui utilisent l’IA pour la combattre peuvent être comparés aux créateurs de virus informatiques et aux développeurs d’antivirus. Il s’agit d’une bataille permanente entre attaquants et défenseurs, dans laquelle l’innovation technologique joue un rôle crucial de part et d’autre. “La différence est que les créateurs de virus sont parfois encore des étudiants ou des amateurs, alors que les fraudeurs digitaux font généralement partie d’organisations internationales fonctionnant 365 jours par an”, indique Rob Vink.
Freinés par la législation
Le rapport souligne que les criminels utilisent de plus en plus l’IA. Ils peuvent le faire même avec des connaissances techniques ou une expertise financière minimales, en achetant sur le marché noir des outils d’IA prêts à l’emploi qui leur permettent de maximiser leur portée et leur succès. “L’IA peut amplifier n’importe quelle escroquerie, souligne Rob Vink. Elle adapte de manière transparente le langage, le jargon et les noms propres à chaque victime. Avec l’IA, nous avons affaire à une forme illimitée d’escroquerie, ce qui oblige les institutions financières à adopter de nouvelles stratégies pour protéger leurs clients.” Près des trois-quarts des personnes interrogées déclarent que leur employeur utilise par conséquent l’IA pour détecter les délits financiers, tandis que 87 % affirment que l’IA augmente la vitesse à laquelle leur organisation répond aux menaces potentielles. Mais le fait que les institutions financières doivent également respecter des règles juridiques strictes dans cette lutte rend le jeu du chat et de la souris beaucoup plus complexe.
“Techniquement, tout est possible, mais les banques doivent s’assurer que leurs solutions répondent aux exigences légales, souligne Isabelle Marchand, porte-parole de Febelfin. Plusieurs législations européennes fixent des limites aux entreprises pour protéger les citoyens européens, comme la directive RGPD pour la vie privée, la loi sur l’IA et la loi PSD2 pour les paiements. Les banques doivent se conformer strictement à toutes ces réglementations lorsqu’elles développent ou utilisent des solutions techniques.”
Une plus grande coopération
Rob Vink préconise d’établir une sorte de liste noire des fraudeurs. “Si la banque A repère un faux compte bancaire, celui-ci est irrévocablement fermé. Le fraudeur se rend alors à la banque B et tente la même chose. Les banques ne sont pas autorisées à partager certaines informations. On pourrait y remédier en créant une liste noire à l’échelle du secteur pour de telles fraudes.”
“Les fraudeurs sont organisés et rusés, estime Gadi Mazor, CEO de BioCatch. Ils collaborent et partagent les informations instantanément. Pour lutter contre l’augmentation de la fraude à l’échelle mondiale, les chasseurs de fraude, y compris les fournisseurs de solutions technologiques comme nous, doivent collaborer avec les banques, les régulateurs et les forces de l’ordre pour faire de même.”
Identités synthétiques
Septante pour cent des personnes interrogées ont détecté des “identités synthétiques” lorsqu’elles ont recruté de nouveaux clients l’année dernière. Ces données personnelles créées artificiellement ou falsifiées sont souvent générées par l’IA et peuvent aller des faux comptes aux deepfakes (photos ou vidéos manipulées numériquement). “Les banques privées et les gestionnaires de patrimoine utilisent souvent la vérification vocale avec leurs gros clients, explique Rob Vink. Mais aujourd’hui, la voix d’une personne peut être clonée par l’IA sur la base d’un enregistrement d’à peine trois secondes.” C’est pourquoi 91 % des participants à l’enquête ont déclaré que leur organisation reconsidère la vérification vocale pour les grands clients. “Selon la banque centrale américaine, les modèles de fraude traditionnels ne parviennent pas à détecter jusqu’à 95 % des identités synthétiques”, précise Rob Vink.
“Sur le darkweb, les criminels peuvent acheter des données de cartes d’identité. Ils les fusionnent avec l’IA et créent ainsi de nouvelles identités.” – Rob Vink (BioCatch)
Febelfin estime que l’usurpation d’identité lors de l’ouverture d’un compte bancaire en Belgique est quasiment impossible en raison des procédures strictes en vigueur. “L’usurpation d’identité se produit principalement par le biais des réseaux sociaux et des télécoms, poursuit Isabelle Marchand. Les victimes sont approchées via, par exemple, WhatsApp, Facebook, Instagram, LinkedIn ou X par des criminels qui se font passer pour des fonctionnaires, des membres de la famille ou des amis, et qui jouent sur les émotions de la victime pour l’obliger à payer. Par exemple, ils veulent prendre le contrôle des comptes à vue, demander des prêts ou ouvrir des comptes pour recevoir des revenus criminels.” Nous ne pouvons plus nous fier à nos yeux et à nos oreilles pour vérifier les identités numériques, fait écho BioCatch. “Sur le darkweb, les criminels peuvent acheter des numéros de registres nationaux et des données de cartes d’identité, explique Rob Vink.
Ils peuvent même fusionner les données de différentes identités pour en créer de nouvelles.” L’ère de l’IA exige donc de nouveaux sens de l’authentification. “L’utilisation de l’analyse avancée des données et de l’IA dans la lutte contre le blanchiment d’argent en est encore à ses débuts, mais ils sont prometteurs, conclut Isabelle Marchand. En 2023, la police fédérale a craqué le réseau de communication de Sky ECC, ce qui a donné lieu à plusieurs poursuites judiciaires. Cela montre que les nouvelles technologies peuvent rendre les organisations criminelles vulnérables.”
Comment les criminels utilisent l’IA
1. Hameçonnage personnalisé et identités synthétiques
L’intelligence artificielle est utilisée pour créer des attaques d’hameçonnage très ciblées et générer de faux comptes ou profils d’apparence réaliste, souvent à l’aide de la technologie du deep phishing.
2. Automatisation et intensification de la fraude
Les bots basés sur l’IA effectuent des transactions frauduleuses à grande échelle, en soumettant des milliers de fausses demandes de prêt ou de crédit, ou en aidant à refinancer continuellement des prêts pour augmenter la vitesse et l’ampleur de la fraude.
3. Manipulation des cryptomonnaies et des marchés financiers
L’IA peut être utilisée pour automatiser le blanchiment d’argent, en achetant et en vendant de manière répétée des cryptomonnaies pour créer de faux volumes d’échanges et masquer le blanchiment d’argent.
Intelligence artificielle
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici