Selon un rapport publié jeudi par le fournisseur de services de vérification d'identité Socure, les pertes dues aux escroqueries par usurpation d'identité basées sur des identités synthétiques – résultant d’informations d'identification réelles volées pour créer une fausse identité – sont en train de bondir, passant de 1,2 milliard de dollars en 2020 à 2,48 milliards de dollars en 2024 aux États-Unis. Les identités synthétiques sont devenues une préoccupation commune pour les entreprises et les institutions financières au milieu des années 2010, selon le rapport de Socure. En général, une telle identité est basée sur une personne réelle, mais avec une légère modification d'un élément d'information personnelle identifiable, comme une date de naissance ou un numéro de sécurité sociale différent. Cette identité modifiée est souvent vérifiée par un simple contrôle de solvabilité, ce qui signifie qu'elle est rarement détectée. Un fraudeur peut alors utiliser cette identité à de nombreuses fins, notamment pour différents types de demandes de prêts et de cartes de crédit.

Dans son rapport, Socure révèle ainsi que les fraudeurs ont toujours été rusés et astucieux, et les données le confirment. « Il s'avère qu'en analysant les schémas pour les prénoms et les noms de famille, nous voyons des choix très communs, ce qui nous amène à penser que les mauvais acteurs créent stratégiquement des identités synthétiques fabriquées pour se fondre dans la population. En particulier, les quatre premiers prénoms utilisés dans les identités synthétiques correspondent aux quatre premiers prénoms de la liste de la SSA (Social Security Administration) des noms de naissance les plus populaires au cours des cent dernières années, mais pas dans l'ordre ». Le fournisseur est allé plus loin dans sa démarche et démontre qu'en combinant le prénom le plus populaire des identités synthétiques avec le nom de famille le plus populaire des identités synthétiques, on obtient le nom complet le plus courant des identités synthétiques : Michael Smith.

Michael Smith est l'identité synthétique la plus utilisée pour frauder. (Crédit : Socure / SSA)

La facilité à créer de fausses identités

Malgré des avancées telles que le service de vérification électronique basé sur le consentement (Electronic Consent-Based Verification Service, ou eCBSV) du gouvernement américain, qui permet à certaines entités de vérifier si une combinaison donnée de numéro de sécurité sociale, de nom et de date de naissance correspond à un dossier de sécurité sociale existant, le problème reste grave, en grande partie parce qu'il est encore facile de créer ce type d'identité manipulée, notamment parce que les institutions financières ne sont pas incitées à les combattre.

« Aujourd'hui, la valeur positive d'une bonne transaction bancaire est à peu près la même que le coût négatif d'un compte frauduleux (environ 250 à 400 dollars, selon la banque ou la fintech) », indique le rapport. « Si l'on considère le coût négatif d'une transaction bancaire frauduleuse, les montants sont généralement très faibles car les pertes financières telles que les escroqueries de type Peer to Peer, ou P2P, sont absorbées en grande partie par le consommateur, et les activités néfastes telles que le trafic d'êtres humains et de drogues, le terrorisme, les dépôts frauduleux de PPP [Programme de protection des chèques de paie] et de chômage et les faibles niveaux de blanchiment d'argent n'entraînent pas de perte financière pour la banque ».

Des techniques de vérification plus larges sont nécessaires

Akif Khan, vice-président et analyste de Gartner, a déclaré que des techniques de vérification plus larges sont nécessaires pour lutter contre les problèmes posés par la fraude basée sur l'identité synthétique. La simple vérification par rapport aux données de crédit est insuffisante. « Les fournisseurs de solutions de vérification d'identité ont intégré des fonctionnalités telles que l'identification des appareils », précise-t-il. « Vous avez donc saisi leur nom, leur adresse, leur numéro de sécurité sociale, mais vous prenez également les empreintes digitales de leur appareil ». Les capacités d'identification des appareils peuvent également être utilisées pour vérifier si un appareil est utilisé pour interagir avec plusieurs identités, fournissant ainsi une autre indication utile d'une fraude potentielle.

En général, cependant, Akif Khan indique que la clé de la lutte contre la fraude d'identité synthétique réside simplement dans le moyen de trouver des sources d'information supplémentaires. « Il existe des moyens d'y remédier », a-t-il déclaré. « De manière générale, la façon de faire est, lorsque vous avez quelqu'un qui présente une identité, de la vérifier par rapport à d'autres données que celles du bureau de crédit ».