Issue d'une collaboration entre FICO, principalement connue pour ses activités autour du score de crédit, et Jersey Telecom, opérateur devenu fournisseur de technologies, la solution proposée aux banques du Royaume-Uni, d'Espagne et de Jersey, en attendant une prochaine extension à d'autres pays, repose sur une analyse combinée, en quasi temps réel, des signaux de télécommunications et des données du client et de ses paiements afin de détecter et, si possible, intercepter les tentatives d'escroquerie.
En soi, le principe relève d'une certaine évidence, au moins pour des experts de la fraude. Les manœuvres de manipulation psychologique auxquelles recourent les cybercriminels se reflètent directement dans les interactions de leur victime avec leur application web ou mobile. Les outils informatiques modernes (et, pour une fois, il n'est même pas question d'IA) permettent de modéliser ces corrélations sans grande difficulté et, partant, d'identifier leur reproduction dans les événements du quotidien.
En cas de suspicion, FICO suggère d'intégrer des alertes dans le parcours du client, qui peuvent aller de simples messages de prudence à une temporisation du paiement demandé, en passant par une invitation à contacter un représentant de l'établissement. Le produit serait en phase de déploiement dans plusieurs grandes enseignes britanniques et les premières expérimentations afficheraient des résultats flatteurs entre une baisse de plus de 40% des incidents et un taux de faux positifs divisé par 2.
Les deux partenaires promettent naturellement que leur système respecte scrupuleusement la vie privée des individus et, après tout, il devra se conformer aux exigences du RGPD pour sa commercialisation en Espagne. Pourtant la démarche employée soulève des questions insondables. En effet, elle requiert l'ouverture d'un accès aux données les plus sensibles des opérateurs de télécommunication – il n'est toutefois pas précisé si les conversations elles-mêmes sont concernées – dont l'histoire de la cybersécurité démontre qu'elle constitue une faille de sécurité en puissance.
Que les criminels parviennent à s'introduire dans les infrastructures téléphoniques par ces portes dérobées ou qu'ils se « contentent » de capturer les données exploitées par FICO et Jersey Telecom, ce qui se produira inévitablement un jour, la parade se transformera directement en arme offensive, d'une puissance incomparable.
Dans cette optique, il n'est pas seulement question de choisir entre le risque de la fraude et le danger de perte de contrôle de chaque personne sur ses données – dont il conviendrait en outre de s'interroger en profondeur : à qui appartient la décision ? – mais également d'appréhender le phénomène de fuite en avant que représente l'extension du périmètre de vulnérabilité associée à la solution, sous prétexte de protection.