Identités synthétiques : la fraude invisible qui coûte des milliards

Qu’est-ce qu’une identité synthétique ?

À la différence d’une usurpation classique où le fraudeur vole l’intégralité d’une identité réelle, l’identité synthétique est un assemblage hybride.Elle combine des données authentiques (aux Etats-Unis d’Amérique, numéro de sécurité sociale, alors qu’ailleurs c’est plutôt le document d’identité national, date de naissance, adresse postale) et des informations inventées (classiquement : les données de contact). Cette combinaison crée un profil cohérent en apparence, notamment lorsque seules les données dites authentiques font l’objet de vérification / analyses (comme lors d’un KYC bancaire par exemple).

Résultat : les systèmes traditionnels, souvent calibrés pour valider une identité par la digitalisation d’usages traditionnels (« papiers s’il vous plait »), passent à côté.

Pourquoi les institutions sont vulnérables ?
Les fraudeurs exploitent la confiance accordée aux données partiellement véridiques. Aux États-Unis, avec un identifiant officiel valide ou une trace de crédit minimale, l’identité synthétique franchit les premières étapes de vérification. Le fraudeur peut ensuite “maturer” son identité :ouvrir un compte bancaire, souscrire à de petits crédits, payer régulièrement… jusqu’à obtenir une notation de crédit solide. Cette patience paie : une fois la crédibilité établie, le fraudeur contracte un prêt plus important, puis disparaît. On parle alors de “bust-out fraud”.

Le coût est considérable : outre Atlantique, la fraude à l’identité synthétique représente déjà plusieurs milliards de dollars de pertes chaque année, selon les estimations des grands cabinets. En Europe, les chiffres commencent à suivre la même tendance, notamment avec l’essor des parcours 100 % digitaux.

Les limites des approches classiques
Les contrôles traditionnels – vérification documentaire, scoring basé sur l’historique, analyse ponctuelle des évènements ou transactions – peinent à détecter ces profils hybrides. Les signaux faibles (username de l’email, attributs du numéro de téléphone, présence de « traces de pas digitales ») ne se révèlent qu’à travers un savoir-faire peu répandu. De plus, les réglementations actuelles se concentrent presque essentiellement sur la conformité KYC. Or, contrôle et lutte contre la fraude sont deux choses distinctes. La première englobe toutes les caractéristiques / étapes autorisant l’accès à un service… mais toute ceci étant exposé, elle permet en même temps de comprendre et donc contourner les mesures.

Vers une nouvelle approche de la détection
Face à cette menace, les entreprises doivent changer de paradigme. L’avenir réside dans des solutions capables de :

• - Allez au-delà de la donnée « déclarative », en étant capable d’y ajouter des informations supplémentaires.
• - Croiser les signaux dynamiques (comportements de navigation, empreinte machine, localisation) avec les attributs statiques de l’identité.
• - Détecter les incohérences relationnelles entre différentes identités : numéros de téléphone partagés, adresses recyclées, comptes reliés à un même appareil.
• - Exploiter l’intelligence artificielle pour analyser en temps réel des volumes massifs de données / informations et identifier des patterns invisibles à l’œil humain.

Ces approches permettent de transformer la détection : passer de la simple validation documentaire/contextuelle à une vision holistique et comportementale de l’utilisateur.

Un enjeu stratégique pour les acteurs digitaux
Les identités synthétiques ne sont pas un phénomène marginal : elles menacent directement la rentabilité, la conformité réglementaire et la relation de confiance avec les clients. Pour les banques, e-commerçants ou assureurs, investir dans des technologies avancées de prévention n’est plus une option : c’est une condition de survie dans l’économie numérique.