Pour contrer le vol d’identité, de l’inattendu et du machine learning

Des chercheurs ont travaillé sur une IA détectant les voleurs d’identité. L’outil mélange questions inattendues et déplacement de souris.

Le vol d’identité sur le web est un processus à plusieurs bandes. Une fois acquis le précieux sésame, les pirates essayent d’en savoir plus et surtout de récupérer plus de données. Aux Etats-Unis, des cybercriminels se sont servis d’informations personnelles volées de citoyens américains pour répondre à des questions de sécurité du site Web des impôts (IRS) pour accéder à leur déclaration de revenus. Les questions de sécurité concernaient des détails privés, comme « dans quelle rue avez-vous vécu ? » ou « quel est le montant de vos traites immobilières ? ».

Des chercheurs italiens ont réfléchi à la mise en place d’un système capable de détecter s’il s’agit de la véritable personne qui répond à ces questions. Le fruit de leurs travaux a été publié récemment dans PLoS One en demandant à 40 personnes de répondre à des questions personnelles. La moitié des répondants a été invitée à répondre normalement et l’autre moitié a dû apprendre des détails sur des fausses identités pour les utiliser dans le quizz.

Les questions inattendues dévoilent les usurpateurs

L’analyse des réponses a permis de suivre le mouvement de la souris de chaque répondant. Les chercheurs ont constaté un décalage dans les réponses en fonction des « vrais » répondants et des « faux ». Le quizz comprend 12 questions avec des interrogations prévisibles, comme « quel est votre nom ? » ou « dans quelle ville habitez-vous ? » et d’autres inattendues comme « quel est votre signe astrologique ? » ou « quelle est la ville principale de la région où vous résidez ? ». Ces dernières sont plus difficiles à trouver pour les usurpateurs qui dans le cas du signe astrologique va prendre plus de temps en analysant la date de naissance et en recherchant la correspondance avec un signe zodiacal.

Avec les données issues des mouvements des souris sur le quizz, les chercheurs ont élaboré un algorithme de machine learning pour automatiser le processus. Cette IA est capable de détecter les mauvaises réponses par rapport aux « légitimes » dans 95% des cas. Pour les spécialistes, « d’un point de vue cognitif, il est confirmé que les questions inattendues servent à découvrir la tromperie ». Ils admettent néanmoins quelques limites liées à l’atténuation de l’effet de surprise si les questions sont automatisées, ainsi que la prise en compte des phénomènes culturels.

A lire aussi :

Vol de données : le sulfureux LeakedSource disparaît de la toile

L’usurpation d’identité sur le web confirmée en Cassation

Photo credit: Gwenaël Piaser via Visual Hunt /  CC BY-NC-SA