Parce qu'elles fonctionnent à une échelle individuelle, les fraudes commises par téléphone ont tendance à passer sous les radars des solutions de détection industrielles. Au total, elles représentent pourtant un préjudice important pour leurs victimes. Aussi CommBank s'associe avec l'opérateur Telstra pour expérimenter une parade originale.
Un appel de la part d'un prétendu employé de la banque alertant sur une malversation en cours, une demande de transfert de fonds par un imposteur se faisant passer pour un fournisseur, une proposition spontanée d'élimination des virus du micro-ordinateur familial… qui se terminent à chaque fois par l'injonction urgente d'exécuter un virement sous toutes sortes de prétextes fallacieux. Le point commun de ces attaques ? Le malfaiteur maintient la pression sur sa cible jusqu'à exécution de l'opération.
Considérant que, à l'inverse, les transactions légitimes conclues pendant une conversation téléphonique sont plutôt rares (même dans le cas d'un enfant qui sollicite ses parents, par exemple, le paiement est souvent finalisé après avoir raccroché), cette simple caractéristique suffit à éveiller les soupçons de CommBank. Afin de transformer ces prémices en technique défensive, il ne lui restait qu'à trouver le moyen de repérer les événements déclencheurs et à mettre en place les mesures de protection ad hoc.
Sur le premier volet, la réponse est évidemment à chercher dans la collaboration avec Telstra. Ce dernier met ainsi à la disposition de l'institution une API destinée à indiquer si un utilisateur (qui est donc en train de préparer un transfert) est, au même moment, au téléphone. Les deux entreprises promettent qu'aucune autre information n'est partagée, de manière à rassurer sur le respect de la vie privée. Naturellement, la légitimité de cette intrusion – aussi minime soit-elle – en regard du but visé constitue un sujet sensible.
En ce qui concerne la riposte aux menaces présumées, elle se veut extrêmement pragmatique et transparente. D'une part, la priorité est à l'anticipation : il s'agit d'interrompre le parcours du client avant qu'il ne soit trop tard (et de devoir entrer dans une procédure de remédiation lourde et incertaine). D'autre part, il n'est pas question de blocage intempestif, seules des précautions supplémentaires sont introduites : messages d'alerte et demandes de confirmation spécifiques, voire prise de contact pour contrôle.
Le dispositif, baptisé « Scam Indicator », sera prochainement déployé en mode pilote, après une première preuve de concept. S'il remplit correctement son rôle, des simulations préliminaires évaluent son impact à quelques 15 à 20 millions de dollars de pertes évitées (et aujourd'hui difficilement récupérables). L'aspect le plus intéressant de ce test consistera cependant à observer la réaction des consommateurs vis-à-vis de cet usage croisé de données personnelles : l'accepteront-ils, au bénéfice de leur sécurité ?
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)