GT NLO

Démystifier l'ITSec et vous préserver d'au moins 95% des attaques informatiques

GT NLO

[Actu] Sécurité des documents officiels et d’entreprises : état sur les techniques de pointe en 2024

par · Publié · Mis à jour

Les factures, bons de commandes, rapports financiers, contrats, dossiers d’employés, les titres identitaires, les titres de propriété intellectuelle, les certificats de conformité, les documents fiscaux, pièces d’identité, relevés d’identité bancaire, courriers administratifs, communiqués, appels d’offres sur les réseaux sociaux et bien d’autres, sont des documents qui font couramment l’objet de fraude documentaire. L’impact est particulièrement dommageable pour les cibles qui peuvent être des particuliers, entreprises ou même des gouvernements victimes d’arnaques, atteinte à l’image, usurpation, vol de données, etc. Au regard du nombre croissant de cas, certains pourraient être amenés à se demander si l’informatique qui aide à la conception de ces documents, ne peut pas aussi en assurer la protection et le contrôle. Si oui, comment ? Après avoir compris ce en quoi consiste réellement la fraude documentaire, nous explorerons dans ce post, diverses techniques informatiques ainsi que les mesures organisationnelles complémentaires, permettant d’assurer une protection documentaire optimale à ce jour (2024).

Comprendre la fraude documentaire

Un fraudeur cherche avant tout à bénéficier des avantages liés à l’usage d’un document au même titre que quelqu’un qui l’aurait obtenu légalement. La fraude documentaire consiste donc à falsifier, modifier, contrefaire ou utiliser illégalement des documents pour obtenir un avantage indu, tromper des parties prenantes ou causer un préjudice à un détenteur légitime ou à l’entité émettrice. Mais toutes les fraudes documentaires ne se valent pas en fonction de la manière dont le faux document est fabriqué ou obtenu. On distingue à cet effet :

  • La contrefaçon : consiste à reproduire complètement un document afin de faire croire qu’il respecte un certain standard de qualité et le faire passer pour un vrai. Ce qu’il faut remarquer ici, c’est que la fabrication du document en question se fait ex nihilo, sur simple observation ou étude d’un document original pour en sortir un identique. C’est la première forme de fraude documentaire qui vient souvent à l’esprit du commun des mortels.
  • La falsification : a pour but d’apporter des modifications à un document existant pour en produire un contenant les données de son choix. Quelqu’un pourrait par exemple falsifier le bulletin de notes de son enfant, afin qu’il puisse être accepté dans une école par exemple. Ou bien, un autre en entreprise, pourrait scanner et modifier son bulletin de paie ou le reporting de ses ventes, dans le but de toucher un montant d’argent plus important à la caisse. Les exemples en ce sens sont légions avec notamment des logiciels comme Photoshop qui permettent aux fraudeurs et à leurs complices de faire des merveilles, dans le mauvais sens bien-sûr.
  • L’usurpation d’identité : consiste pour le fraudeur à utiliser les documents d’identification d’une autre personne ou d’une autre entreprise. Elle se produit lorsqu’un titre identitaire est présenté ou utilisé par une personne qui n’en est pas le titulaire légitime. Le fraudeur peut par exemple se faire passer pour un salarié d’une entreprise en utilisant son adresse électronique, ou une adresse similaire, pour envoyer des emails à des clients ou des fournisseurs, et demander des paiements ou des informations sensibles.
  • Les documents volés vierges : il s’agit de documents pré – formatés qui attendent juste d’être personnalisés et auxquels le fraudeur ou un complice a pu avoir accès. Il pourra donc les remplir à sa guise. Le document ainsi obtenu est donc appelé un « document volé vierge ». Des bons de commande vierges peuvent par exemple être volés et utilisés pour passer des commandes frauduleuses.
  • Les documents fantaisistes : il s’agit de documents créés de toute pièce par le faussaire sans référence à un modèle existant. Bien qu’il soit fantaisiste, il permet souvent de combler un vide très important pour le fraudeur, à l’instar de quelqu’un qui irait créer un faux « certificat d’exemption fiscale », afin de convaincre ses clients qu’il est exempté de certaines taxes et contourner les questions sur la conformité fiscale.
  • L’obtention indue : dans ce cas, nous avons affaire à un vrai document mais qui a été obtenu indûment. Pour ce faire, le fraudeur va tout d’abord produire de faux justificatifs qui seront ensuite utilisés pour obtenir un vrai document. C’est ainsi qu’on parle souvent de vrai-faux documents.

Plusieurs solutions informatiques permettent de pallier aux cas de fraude documentaire mais comme nous le verrons dans la section qui suit, la technologie à elle seule ne saurait tout faire et devra être complétée par des mesures organisationnelles.

Les solutions de protection

Un logiciel anti-fraude accessible en ligne (dans le nuage ou dans le cloud), directement sur son ordinateur ou son téléphone, permettra à un émetteur de document d’exploiter diverses technologies de protection, ainsi que les fonctionnalités de vérification qui leurs sont associées.

Les technologies en question évoluent au gré des avancées scientifiques mais les nouvelles n’ont pas toujours pour effet de rendre les précédentes caduques, elles peuvent être combinées pour d’avantage renforcer la sécurité. Et pour mieux y parvenir, il faudrait savoir de quelles technologies on parle et comment elles fonctionnent.  

S’équiper d’une solution anti-fraude

1.      Les solutions anti-fraude basées sur la biométrie

La biométrie fait référence à un éventail de techniques, d’appareils et de systèmes permettant aux machines de reconnaître des personnes, ou de confirmer ou d’authentifier leur identité en se basant sur leurs caractéristiques biométriques.

On entend par « caractéristiques biométriques » les traits physiques et comportementaux qui sont enregistrés dans un système biométrique ; il peut s’agir du visage, des empreintes digitales, de la voix, des empreintes de la paume de la main, de la forme des veines des doigts et de la main, de la structure des yeux (iris ou rétine), même de la démarche, etc. Comme vous pouvez l’imaginer, certaines caractéristiques biométriques ne peuvent pas offrir le même niveau de sécurité pour identifier une personne. C’est en ce sens que les caractéristiques dites « distinctives » sortiront du lot.

Une caractéristique est dite distinctive lorsqu’elle ne permet pas ou très peu une concordance entre les données d’une personne à une autre. Ainsi, les empreintes digitales, l’iris et l’ADN figurent parmi les caractéristiques les plus distinctives, alors que les traits du visage peuvent être partagés entre deux ou plusieurs personnes. Cela s’explique simplement par le fait que les empreintes digitales, l’iris, et l’ADN ont tendance à demeurer inchangés au fil des ans et à être difficiles à modifier, alors que d’autres caractéristiques biométriques, comme le visage, peuvent changer au fil des années et peuvent aussi être modifiées par le maquillage, les déguisements ou la chirurgie.

Un usage couramment répandu de la biométrie dans la production et la sécurisation des documents est le passeport biométrique. Un passeport biométrique est muni d’un composant électronique qui contient toutes les données relatives à votre état civil, votre photo d’identité au format numérique, ainsi que deux empreintes digitales. Il est très difficilement falsifiable dans la mesure où, le faussaire devrait pouvoir reproduire en plus des données d’identification faciles à copier, les caractéristiques distinctives qui s’y trouvent. Comment ferra-t-il sans vous, prêts à lui donner vos empreintes digitales, ces dernières étant une caractéristique biométrique distinctive ?

2.      Les solutions anti-fraude permettant la production et l’usage de signatures électroniques

On ne le dira jamais assez, le scan de votre signature (calligraphie) classique, n’apporte en rien une couche de sécurité sur un document. La preuve, il est possible de l’extraire à partir d’un ancien et puis d’aller l’apposer à un autre pour se faire passer pour vous. C’est ainsi que de nombreuses personnes se font passer pour des autorités étatiques dont les actes sont le plus souvent rendus public. Pourtant en informatique, c’est la signature numérique qui permet de s’assurer de la source véritable d’un document. Il s’agit ici d’une personne physique car, comme nous le verrons plus bas, les cachets numériques existent aussi.

Pour fonctionner, la signature électronique est émise sur la base d’un certificat électronique contenant une clé publique associée à une clé privée, détenue par le signataire. La clé privée que le seul le signataire connait, est utilisée pour signer et la clé publique permet de vérifier la signature en question. La magie derrière ce fonctionnement s’appuie sur un mécanisme appelé chiffrement asymétrique qui, grâce à des fonctions mathématiques permet d’établir une corrélation clé publique – clé privée. Les 2 clés qui ont concrètement la forme d’une chaîne de caractères sont loin d’être identiques mais pourtant liées. Le nœud dans l’usage d’un certificat électronique repose sur l’entité émettrice et les procédés mis en œuvre pour identifier une personne désireuse de l’exploiter via un logiciel dédié.

En effet, certains certificats électroniques ne sont pas dignes de confiance sur l’espace publique, selon que l’entité émettrice est reconnue apte à délivrer un certificat électronique « qualifié ». Cette crédibilité sujette à examen vient notamment de la procédure de vérification de l’identité des demandeurs ; si elle est légère ou sommaire, reposant par exemple sur un simple email ou d’avantage poussée, en requérant que le demandeur ou utilisateur final puisse justifier de son identité via une vérification avancée de ses pièces officielles, et peut-être même de son adresse aussi. Leur valeur juridique peut donc être variable et la documentation des prestataires doit être analysée avec soin, afin de s’assurer que lesdits procédés sont conformes aux lois en vigueur dans le pays de résidence ou celui dans lequel réside des correspondants.

Cela est tout de même encourageant de savoir que de nombreux pays ont déjà adopté et donné une valeur juridique aux signatures numériques, à l’instar des Etats Unis d’Amérique, les pays membres de l’Union Européenne via le règlement e-IDAS, et oui, chez nous aussi, au Cameroun.

Au Cameroun, l’article VI de la loi n°2010/012 du 21 décembre 2010 relative à la cybersécurité et la cybercriminalité dit en son article 17 que « la signature électronique avancée a la même valeur juridique que la signature manuscrite et produit les mêmes effets que cette dernière ».  L’article 18 de ce même texte qui annonce les critères que doit remplir une signature électronique avancée, est étayé par l’arrêté n° 14/MINPOSTEL du 27 Juin 2012 fixant les critères de qualification des certificats et les caractéristiques techniques de création des signatures électroniques.

3.      Les solutions anti-fraude permettant la production et l’usage de cachets numériques

Le principe de fonctionnement et l’infrastructure derrière le fonctionnement du cachet électronique sont les mêmes que ceux de la signature électronique. La seule différence entre les 2 réside sur le fait que la signature électronique est liée à une personne physique alors que le cachet lui, est lié à une personne morale telle qu’une entreprise.

Si certaines règlementations à l’instar de e-IDAS en application au sein de l’Union Européenne tel que susmentionné en font le distinguo, seul le chapitre sur la signature électronique a pour le moment droit de citer au sein de la loi n°2010/012 du 21 décembre 2010 relative à la cybersécurité et la cybercriminalité au Cameroun.

Ceci étant dit, les documents numériques engageants la responsabilité morale de l’entreprise devront être traités avec soin en tenant compte des avancées légales de son pays ou celui de ses partenaires, bref, de la base légale choisie.

4.      Les solutions anti-fraude basées sur la blockchain

S’il est vrai que la cryptomonnaie a presque confisqué l’usage de la blockchain, l’on ne saurait perdre de vue tout le potentiel et les applications possibles qui sont les siennes. Et s’il faut le rappeler, la définition de la CNIL française me semble particulièrement pointilleuse : « La blockchain est une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle. Elle constitue une base de données qui contient l’historique de tous les échanges effectués entre ses utilisateurs depuis sa création, sécurisée et distribuée : elle est partagée par ses différents utilisateurs, sans intermédiaire, ce qui permet à chacun de vérifier la validité de la chaîne. »

Mise en application dans la sécurité des documents, divers acteurs engagés au sein d’une même blockchain qu’elle soit privée ou publique, ont la possibilité de garantir l’intégrité et l’origine des documents qu’ils manipulent. Cela peut donc par exemple, être avantageux dans le cadre de transactions commerciales mêlant au sein d’une même blockchain fournisseurs et autres entreprises où les bons de commandes, devis, factures et autres, ont une traçabilité et une capacité d’authentification certaines.

5.      Solutions anti-fraude basées sur l’IA

Avec le développement de l’intelligence artificielle (IA), le traitement intelligent des documents ou « intelligent document processing (IDP) » en anglais a vu le jour. Elle est perçue par certains acteurs du numérique comme la nouvelle génération de l’automatisation, capable de faire usage des technologies d’IA telles que le traitement du langage naturel (TLN), la vision par ordinateur, l’apprentissage profond et l’apprentissage machine (ML) pour capturer, classer, extraire, valider, analyser et organiser automatiquement des données dans des formats accessibles.

Avec l’IDP, il est donc possible d’assurer diverses opérations de sécurité sur les documents, notamment :

  • L’intégrité des données via la vérification des champs de données pour déterminer la validité du document (signatures, noms, numéros de facture, dates, …) ;
  • L’authenticité des documents en recherchant des anomalies dans les documents qui sont difficiles à détecter par l’œil humain (changements de police, qualité des pixels, modifications des métadonnées, hologrammes, …) ;
  • La biométrie faciale : pour s’assurer que le visage d’une personne correspond à la photo téléchargée ou scannée, les algorithmes d’IA peuvent analyser les données envoyées et dire si l’on est en présence d’une même personne, dans les cas de vérification d’identité notamment.

De nombreuses fonctionnalités sont à cet effet fournies par les logiciels d’IDP. Il s’agit globalement de :

  • OCR : mis pour « Reconnaissance Optique de Caractères », cette fonctionnalité permet d’extraire du texte à partir d’images de documents ;
  • Classification d’image : utilisée pour former des modèles de classification d’images afin d’identifier les documents faux, en se basant sur des motifs et des caractéristiques uniques aux documents authentiques ;
  • Validation de données : toujours en se basant sur des modèles, ce genre de fonctionnalité peut être utile pour valider des données entrées dans des formulaires, en les comparant à d’autres sources d’information, pour détecter les incohérences et les potentielles fraudes ;
  • Vérification de signature : l’un des nœuds de la sécurisation des documents, les algorithmes de l’IA peuvent vérifier l’authenticité des signatures sur des documents, en les comparant à des signatures authentiques connues, gare à vous si votre main tremblait ce jour-là ;
  • Segmentation de document : utile pour former des modèles de segmentation de document en champs individuels et extraire des informations spécifiques telles que le numéro de compte, le nom et l’adresse. Ces informations peuvent ensuite être comparées au document original afin de détecter la falsification ou la fraude.

Peu importe les technologies sous-jacentes à la ou les solutions anti-fraude choisies, elles ne vaudront pas grand-chose, si elles ne peuvent être effectivement déployées et utilisées avec doigté au sein d’une organisation. Les hommes et les procédures ne doivent donc en aucun cas être lésés une fois embarqués dans un tel projet. D’ailleurs, beaucoup l’oublient souvent, dans la définition de la sécurité informatique, on indique bien que les moyens organisationnels font partie de la gibecière de mesures prises pour protéger un système. Il va donc aussi falloir adapter son organisation.

Adapter son organisation

1.      Sensibiliser et former le personnel

Sensibiliser et former doit être une routine en matière de sécurité. Tous les collaborateurs doivent être au parfum des nouveaux schémas et scénarii mis en œuvre par les fraudeurs. Avec une formation et une sensibilisation adéquates sur la cartographie des risques encourus et les solutions anti-fraude choisies, ils seront plus à même de détecter ou se mettre à l’abris d’opérations frauduleuses.

Un exemple parlant pourrait dans une dynamique de cartographie des risques, identifier au sein d’un service financier les phases les plus à risque de la chaîne de paiement, en détaillant les scenarii potentiels de fraude, les bons réflexes à adopter en amont, ainsi que les actions à entreprendre en cas de fraude avérée. Ainsi, en cas de demande de changement de RIB par un fournisseur par exemple, une mise à jour de la procédure pourrait demander qu’une vérification préalable soit effectuée avec le fournisseur en personne, en le contactant par téléphone.

La force du nombre, pourra d’avantage accentuer ce volet sécuritaire via l’application de certains principes organisationnels.

2.      Appliquer des principes de sécurité et adapter régulièrement les procédures

Plusieurs principes appliqués au sein d’équipes ou organisations, permettent d’avoir des traitements sensibles beaucoup plus sûrs. Nous pouvons citer :

  • Le principe de la séparation des tâches ou de fonctions (SOD pour Segregation Of Duties) encore appelé principe de la ségrégation des tâches : il s’agit de partager des responsabilités au niveau d’un processus clé, qui va scinder l’exécution des tâches critiques sur ce processus à plus d’une personne ou d’un service. Si l’on reprend l’exemple du processus de paiement, il pourrait être constitué de plusieurs étapes effectuées par des personnes distinctes, de l’édition de la facture à la mise en place du virement et à son autorisation avec pour chaque étape, des contrôles précis notamment sur les données exactes, l’identité et les coordonnées bancaires du bénéficiaire.
  • Le principe des quatre yeux ou « four-eyes principle » : consiste à impliquer plusieurs parties dans la prise d’une décision ou la validation d’une opération, afin d’éviter les erreurs ainsi que les fraudes. Il s’agira donc d’attribuer chacune des étapes de vérification à une personne différente.

En matière de fraude documentaire, l’association hommes-machines relève d’un impératif pour les organisation soucieuses et conscientes de l’impact de ce type d’acte malveillant. Rester informé des nouvelles techniques, savoir choisir les outils, les intégrer et au besoin les combiner au gré des avancées technologiques, garantira à coup sûr le plus haut niveau de sécurité des documents émis ou traités. Comme le prévoie la ligne éditoriale de ce blog, voir comment ces orientations peuvent réellement prendre corps avec des cas pratiques devra suivre dans les prochains jours.

N’ayez pas peur de partager avec votre famille et votre hiérarchie, cet article n’est pas réservé aux seuls initiés.

G.T. NLO, NLO Hacks

Références:

Vous aimerez aussi...