Carine Cartaud (LexisNexis Risk Solutions) : “Nous sommes capables de reconnaître 1,5 milliard d’identités numériques”

En quoi consiste la solution que vous proposez ? 

La solution ThreatMetrix est un produit d’estimation du risque utilisé par 6 000 clients en direct et en indirect. Il permet de déterminer si l’on se trouve bien face au consommateur qui dit se présenter au moment de l’identification ou du paiement, ou si au contraire on suspecte un cas de fraude. Dans cette seconde hypothèse, nos clients – des banques par exemple – ont mis en place des parcours définis, d’authentification forte par exemple, qui permettent de certifier l’identité de la personne. 

Pouvez-vous la décrire d’un point de vue technique ? 

Il s’agit d’une solution en mode SaaS, à l’intégration très légère. Lorsqu’il a besoin d’une vérification, le client réalise des appels API en temps réel, et nous retournons une réponse en quelques millisecondes dans laquelle on dira “voici les données que nous avons collectées, voici les vérifications que nous avons faites, et surtout voici le score obtenu”.

Comment ThreatMetrix a-t-il été intégré à LexisNexis Risk Solutions ?

ThreatMetrix a été racheté en 2018 par RELX, la maison mère de LexisNexis, et intégré aux produits déjà existants de LexisNexis Risk Solutions. Nos équipes commerciales sont donc en mesure de vendre cette solution, ainsi que tous les produits de conformité aux réglementations nationales, internationales, de lutte contre le financement du terrorisme, le blanchiment d’argent, etc. Il s’agit de vérifier que les personnes ne se trouvent pas sur des listes de sanctions ou ne sont pas politiquement exposées, etc. LexisNexis Risk Solutions disposait déjà de tous ces outils plutôt anglés sur la reconnaissance de la personne physique. Avec ThreatMetrix, l’entreprise peut y ajouter la reconnaissance de l’identité numérique. 

Comment estimez-vous le risque de fraude ? 

Nous utilisons deux familles de données. Les données techniques, d’une part, relèvent du profilage d’outils : quand un internaute est connecté, on identifie sa machine, on détecte le type de clavier qu’il utilise, la langue qu’il a choisie, s’il passe par un VPN ou par au autre type de proxy, la détection de certains malware, etc. Ensuite, si l’on parle d’une client d’une banque ou d’un e-commerçant, par exemple, ces professionnels peuvent nous transmettre des données complémentaires – noms, prénoms, adresse mails, etc. Au moment de l’identification ou de la transaction, la banque fera un appel sur notre API, ce qui permettra de réunir toutes ces données et de comparer le profil obtenu avec celui que la personne prétend présenter. C’est une forme de reconstitution de l’identité numérique de la personne. Ça nous permet de transmettre des informations comme : “Peut-être que vous, cher client, n’avez jamais rencontré cette machine, mais nous, nous sommes capables de vous dire que son utilisation correspond bien à un internat que nous connaissons, et dont les transactions n’ont jamais posé de problème.”

Qu’est-ce qui permet d’assurer l’anonymat des données que vous traitez ? 

Nous “hachons” absolument tout, avec nos propres clés. Cela donne une valeur unique à chaque type d’information, et c’est cela que nous étudions, pas la donnée brute. Même si un client nous transmettait un e-mail en clair, par exemple, il serait directement anonymisé. En réalité, le client qui nous a fourni l’information étudiée est le seul qui puisse revenir à l’identité réelle de l’internaute qui l’a créée. 

En réalité, ce qui nous intéresse n’est pas tant l’identité réelle de la personne que la possibilité de faire des analyses de vélocité, de déplacements géographiques, etc. Le client final, nous le connaissons potentiellement via une machine qui est associée à x adresses mails, mais le contenu des e-mails envoyés ne nous intéresse pas. Ce que nous cherchons, ce sont les écarts potentiels avec l’identité numérique qui se dessine habituellement, et c’est cela qui nous permettra d’alerter l’entreprise utilisatrice de notre solution d’un potentiel cas de fraude. 

Combien d’identités numériques avez-vous pu reconstituer ?

Pour bien comprendre comment nous les reconstituons, il faut comprendre qu’à partir des données collectées auprès de nos clients et récupérées via nos API, nous créons ensuite nos propres informations. Cela crée des modélisations de l’identité numérique précises, qui apportent une vraie valeur aux clients dans les questions d’identification, et ouvrent même d’autres cas d’usage que la simple lutte contre la fraude. Pour vous donner une idée, grâce au réseau d’identités numériques que nous avons constitué, nous connaissons quelque 4,5 milliards de machine uniques, plus de 800 millions d’adresses e-mails, et nous détenons une base d’environ 1,5 milliard d’identités numériques uniques. 

À quels autres cas d’usage permet de répondre la connaissance de ces identités numériques ? 

Par exemple lors de la création de profil, ou de l’onboarding, chez les banques en ligne. Ce sont des cas où, par définition, l’authentification forte est impossible. À partir des données dont nous disposons déjà, nous sommes capables de dire combien de fois nous avons vu telle identité, telle machine, à combien d’adresses e-mails ou de machines elle est associée, etc. On ne donnera pas de détails au client, mais on lui fera savoir si, devant telle nouvelle situation, nos voyants sont au vert ou au rouge. Et en fonction, il peut adapter le parcours de l’utilisateur final. Si le niveau de confiance est élevé, il pourra aller assez vite dans l’enregistrement du nouvel utilisateur, tandis que si des doutes subsistent, des vérifications supplémentaires peuvent être conduites. Nous sommes très sollicités à ce niveau par les organismes de crédit à la consommation, qui opèrent dans un environnement hautement concurrentiel mais aussi très attaqué. 

Plus largement, qui sont vos clients ? 

Ils sont divers : eBay, Tripadvisor ou encore Netflix à l’international. Du côté de l’octroi de crédit, et de dimension plus locale, je peux citer Banque Casino ou Cdiscount par exemple. Il y a un aspect communautaire à la solution ThreatMetrix. En réalité, chaque client apporte son lot de donnée, et la somme de tout cela nous permet de créer notre propre base, d’améliorer nos scores de risque, et donc d’apporter de la valeur ajoutée supplémentaire pour tout le monde. Cela nous permet aussi de repérer certains fraudeurs très spécialisés, qui peuvent cibler plusieurs entreprises d’une même industrie. C’est le cas du crédit à la consommation par exemple. Plus nous comptons d’acteurs, techniquement concurrents entre eux, parmi nos clients, mieux nous pouvons les aider à se protéger. 

En quoi aidez-vous à réduire la fraude, dans ce cas précis ? 

Dans le cas du crédit à la consommation, nous observons deux méthodes principales pour subtiliser des fonds. Certains fraudeurs décident de cibler une société en particulier en créant de nombreux profils d’un coup, de collecter les fonds détournés, puis disparaître. Mais d’autres choisiront une option un peu plus longue, qui consiste à créer des profils chez plusieurs entreprises. Ils rembourseront les mensualités du premier crédit avec le second, et ainsi de suite jusqu’à s’être bâti une excellente réputation, puis contracter un prêt conséquent et disparaître. Cette deuxième méthode montre bien l’importance de mettre les informations en commun, pour être ensuite capable de repérer, du côté de LexisNexis Risk Solutions, les schémas d’activité suspects. 

Quel est votre business model ? 

Les clients nous utilisent aussi bien pour détecter la fraude en temps réel que pour reconnaître leurs clients légitimes, et éviter de leur demander de se ré-identifier avant de payer, par exemple. Quel que soit l’usage envisagé, cela repose sur le volume d’appelS de notre outil. Le client estime combien de fois dans l’année il demandera un score de confiance via notre API, et nous tarifons en fonction de ce nombre, avec un prix unitaire dégressif à mesure que le volume d’appels grandit. À cela, on ajoute la phase d’accompagnement, d’intégration, de travail sur les objectifs spécifiques du client, etc. 

Quel sujet va vous occuper pendant l’année à venir ? 

L’un des gros sujets est celui de la biométrie comportementale, qui est en réalité un abus de langage. Cette technologie consiste à repérer ce que fait l’internaute, à quelle vitesse il frappe sur le clavier, détecter des copier-coller, des manières de tenir le smartphone, etc. On n’est plus sur des questions d’identité de l’internaute, mais plutôt sur de la détection de schémas de fraude : quelqu’un qui aura acheté un fichier de login et mots de passe va probablement robotiser et automatiser ses tests. La biométrie comportementale va nous permettre de détecter très facilement les attaques par bots, ceux qui testent en force des identifiants, ceux qui consultent longuement des pages sur lesquelles les internautes ne s’arrêtent pas habituellement, etc.