Quelle est la différence entre l’identification, la vérification de l’identité et l’authentification ?

L’identification, la vérification et l’authentification ont toutes un rôle à jouer dans la gestion et la sécurité des identités. Pour empêcher les acteurs malveillants d’utiliser des identités et des identifiants volés, les entreprises doivent être proactives. Selon le FBI, les les délits sur Internet ont coûté 4,2 milliards de dollars aux Américains en 2020.

Le choix du niveau de sécurité approprié dépend de l’application concernée. Par exemple, une entreprise de services financiers avec des ressources et des transactions mobilisant des sommes très élevées a typiquement besoin de plus de preuves d’identité qu’un opérateur de réseaux sociaux. Bien sûr, cela ne veut pas dire que les opérateurs de réseaux sociaux peuvent renoncer à appliquer de strictes mesures de sécurité en matière d’identité. En 2016, des hackers ont usurpé le compte Twitter de Katy Perry, qui à ce moment là était le compte le plus suivi.

Parlons de la manière dont l’identification, la vérification et l’authentification sont utilisées pour la gestion et la sécurité des identités en ligne.

L’identification pose la question : « Qui êtes-vous ? » Lorsqu’un nouvel utilisateur termine la procédure d’enregistrement, il s’identifie pour vous. Certaines entreprises limitent leur procédure de gestion des identités à la seule identification, en se fiant aux informations fournies par l’utilisateur. Cela peut être très risqué.

Sans étape supplémentaire pour s’assurer que l’utilisateur est bien celui qu’il prétend être, les entreprises n’ont souvent aucun moyen de savoir si cette personne utilise sa vraie identité ou si un fraudeur utilise un faux nom ou une identité volée. Par exemple, les acteurs malveillants peuvent facilement créer des comptes sur des réseaux sociaux avec de faux noms et personnages pour divers objectifs machiavéliques, notamment le trafic humain.

La vérification passe de « Qui êtes-vous ? » à « Prouvez-le ». Pour vérifier que la personne utilise son vrai nom, sa vraie adresse, son vrai numéro de téléphone et ainsi de suite, les entreprises ont recours à la vérification. La vérification peut prendre la forme d’un permis de conduire ou d’une pièce d’identité délivrée par le gouvernement, ou bien des données biométriques, comme des empreintes digitales ou encore des photos vérifiées à utiliser pour la reconnaissance faciale.

La vérification est typiquement utilisée une fois, lors de la procédure d’enregistrement. La vérification des identités peut être intégrée directement aux applis mobiles pour aider à s’assurer que les clients sont bien ceux qu’ils prétendent être.

Si une procédure de vérification n’a pas été mise en place, les fraudeurs ayant des identités ou des identifiants volés peuvent réussir à les utiliser. Au début de la pandémie, les réseaux de crime organisé ont utilisé des identités volées pour faire de fausses demandes de chômage et récolter des millions de dollars d’allocations. Lorsque la portée de cette fraude a été dévoilée, les états ont commencé à utiliser des services pour prouver les identités qui comparaient les selfies aux photographies officielles afin de s’assurer de la légitimité des demandeurs. Étant donné que les fraudeurs ne pouvaient pas fournir les selfies demandés, ils ont été interrompus avant de réaliser des fraudes supplémentaires. Malheureusement, les vrais demandeurs qui n’étaient pas équipés d’appareils pouvant prendre des selfies n’ont pas pu obtenir les allocations auxquelles ils avaient droit. 

Regardez cette courte vidéo pour découvrir le processus de vérification du client en action.

L’authentification est également utilisée pour que les utilisateurs prouvent qu’ils sont bien qui ils prétendent être. L’authentification a typiquement lieu à chaque fois qu’un utilisateur se connecte, mais elle peut aussi être appliquée lorsqu’un utilisateur essaye de réaliser une transaction de valeur élevée ou qu’il tente d’accéder à des données sensibles depuis un emplacement à haut risque, comme un aéroport.

Les types d’authentification tombent dans trois principales catégories, également appelées facteurs d’authentification :

• Connaissance - Quelque chose que vous connaissez. Les informations ou les secrets que vous seul connaissez, notamment les mots de passe, les codes PIN et les réponses aux questions de sécurité.

• Possession - Quelque chose que vous possédez. La possession inclut les smartphones, les portes-clés ou autres jetons physiques pouvant générer ou recevoir des codes ou des mots de passe à usage unique.

• Biométrie - Une chose qui vous est propre : Il s’agit des traits physiques uniques, confirmés par le scan des empreintes digitales, la reconnaissance vocale, faciale et autres techniques de reconnaissance nécessitant un certain type d’appareil.

L’authentification à double facteurs (2FA) et l’authentification multifacteur (MFA) demandent aux utilisateurs de prouver leur identité à partir de plus d’une catégorie, ce qui empêche les acteurs malveillants d’accéder aux comptes avec des mots de passe compromis ou autres identifiants.

Regardez cette courte vidéo pour en savoir plus sur l’authentification multifacteur (MFA) moderne.

L’identification est la première étape de la procédure, au cours de laquelle un utilisateur donne des informations à son sujet lorsqu’il crée un compte. Si un utilisateur légitime fournira des informations exactes, un fraudeur pourra fournir des informations erronées ou volées.

La vérification oblige l’utilisateur à prouver que les informations qu’il a fournies sont vraies. Étant donné que des identités volées peuvent être utilisées pour créer des comptes, cette étape interrompt les fraudeurs qui sont incapables de fournir la preuve d’identité demandée et les empêche de créer de faux comptes. Il peut être demandé aux utilisateurs de fournir une empreinte digitale, un scan facial, une copie de leur permis de conduire ou une autre forme de vérification.

L’Authentification demande également aux utilisateurs de prouver leur identité et cela peut être le cas à chaque fois qu’un utilisateur se connecte. Les méthodes de vérification sont également utilisées pour l’authentification, notamment le scan des empreintes digitales et la reconnaissance faciale. L’authentification adaptative reposant sur le niveau de risque intègre des données contextuelles au processus de prise de décision, ce qui renforce le besoin d’avoir des preuves supplémentaires sur le caractère inhabituel de l’horaire, de l’emplacement ou autre facteur, de connexion de l’utilisateur.

Pour en savoir plus sur l’importance de s’assurer que les utilisateurs sont bien qui ils prétendent être, lire notre article Tout ce que vous devez savoir sur la fraude en ligne.