Des contrôles au RGPD – Comment Trusona veut protéger votre identité

Comment prouver que vous êtes celui que vous prétendez être? Cela peut sembler une question facile à répondre, mais dans un monde où vos informations privées les plus personnelles peuvent être récolté auprès de votre agence de crédit ou compte de réseau social, cette facilité est un problème. Les fraudeurs et les criminels peuvent également prouver qu’ils sont vous, en utilisant étonnamment peu d’informations.

C’est le casse-tête qu’Ori Eisen espère résoudre avec le Authentification sans mot de passe Trusona système. Elle propose des services de validation intermédiaire aux entreprises du monde entier, dans l’espoir d’améliorer la protection des données numériques de chacun. Il utilise l’expertise de 20^ème des fraudeurs du siècle comme Frank Abagnale, célèbrement représenté dans le film Attrape-moi si tu peux, pour renforcer nos défenses numériques modernes contre les tactiques classiques d’ingénierie sociale.

Tendances numériques: Frank Abagnale est probablement connu par la plupart comme le sujet du film de 2002

Ori Eisen : La version courte est que lorsque je travaillais pour l'une des plus grandes sociétés de cartes de crédit, on m'a demandé en plus à mes responsabilités internet, pour tout savoir sur la contrefaçon de cartes, dont je ne connaissais rien à propos de. Il n’existe pas de livre ni de diplôme universitaire sur ce sujet, alors j’ai demandé: qui peut m’enseigner? Le nom de Frank Abagnale revient sans cesse, c’est juste qu’il n’accepte pas de nouveaux étudiants.

Les « Money Men » en visite @FairFX -avec le seul et unique Frank Abagnale. Laisse le #Pas de mots de passe La révolution commence. @trusona_incpic.twitter.com/soAYZ3Vn7u

– Ori Eisen (@orieisen) 7 décembre 2017

Je l'ai supplié pendant des mois et des mois de me rencontrer et de m'aider parce qu'à travers moi, il pourrait aider à lutter contre la criminalité parce que j'utiliserais ses connaissances et j'irais battre les méchants. Finalement, il a accepté la réunion et nous travaillons ensemble depuis.

Même si aujourd'hui Abagnale exploite un cabinet de conseil, son expertise vient d'une époque où les ordinateurs étaient incroyablement rares et incomparables au monde numériquement amélioré dont nous profitons aujourd'hui. En quoi sa contribution est-elle utile à l’ère moderne ?

Le mot « Trusona » est une fusion de True et Persona et afin de savoir qui est le vrai personnage, vous devez passer par un processus appelé vérification d'identité. Déterminons d’abord qui vous êtes en tant que personne [car…] il n’y a pas d’authentification sans preuve d’identité. Comment puis-je authentifier qu’il s’agit bien de vous si je ne prouve pas que c’est vous dès le départ ?

Frank est vraiment doué pour nous aider à réfléchir, au moment où vous effectuez une vérification d'identité, à la manière de repérer un faux document. Comment un méchant remplacerait une photo de Frank par une photo de Steven Spielberg. Comment battre le certificat ou comment battre l'encre noire sur le document ou toutes les fines micro-impressions. Il en sait vraiment beaucoup sur ces documents parce que les gouvernements les utilisent dans ce processus.

Dans le but de trouver un moyen de découvrir qui est le véritable personnage, dans de nombreux cas où nous aurions trouvé une solution, il nous a essentiellement montré comment il était possible de le battre très facilement. C'était donc comme jouer aux échecs jusqu'à ce que vous arriviez au point où il ne pouvait plus battre ce que nous faisions.

Quel type de systèmes avez-vous développés pour vous protéger contre le type d'attaques d'ingénierie sociale que Frank Abagnale sait mettre en œuvre avec tant d'efficacité ?

Lorsque Trusona a fait ses débuts, nous avons lancé une courbe indiquant ce que vous essayez de protéger, à savoir le niveau de service que nous fournissons. Dans chacun d’eux, il n’y aura aucun type de mot de passe.

Différents niveaux de service nécessitent différents niveaux de révélation. Notre niveau de base, appelé « Essential », vous demande uniquement de fournir une adresse e-mail à laquelle nous envoyons un e-mail pour vérifier que vous y avez effectivement accès. Il n’y a aucun document impliqué, pas de photos, rien de tout ça. Cela peut vous lier à un compte, pour le streaming multimédia ou similaire. Parce que c'est assez bien. Il utilise toujours notre technologie anti-replay, de sorte que même si des méchants l’écoutaient, ils ne pourraient pas le réutiliser.

Notre prochain niveau est « Exécutif ». Ce niveau dit: « ok, vous pouvez toujours être chez vous, mais en plus de votre courrier électronique, je veux que vous scanniez à distance, soit un passeport, soit un permis de conduire. » Ce n’est pas Trusona qui vous dit de le faire, nous ne faisons que compléter la demande de notre les partenaires. Donc, vous essayez de faire quelque chose avec votre banque ou avec vos soins de santé, et nous le faisons en leur nom. Trusona ne stocke aucune de ces données, car nous ne voulons pas devenir la prochaine patate chaude pour un méchant.

Le troisième niveau s'appelle « Élite » et il vous demande un e-mail, de scanner votre document à distance et de vous présenter en personne. Nous ne vous demandons de le faire qu'une seule fois, pour vous connecter à un identifiant très solide. Ce n’est pas à chaque fois que vous devez prendre un selfie ou une vidéo, car c’est le seul niveau qu’un assureur assurera. Ce n’est pas destiné au marché de masse, c’est à des situations uniques, mais c’est la seule façon de connaître la véritable personnalité, ce qui est la raison d’être de notre activité.

Qu’en est-il de la croissance deepfakes et logiciels de manipulation vidéo basés sur l'IA qui permet de créer des vidéos et des images réalistes de personnes à la volée? Est-ce que cela constitue une menace pour votre niveau « Élite » ?

Des sociétés comme Adobe ont publié l'équivalent de Photoshop pour la vidéo en direct. Il peut imiter la voix et le visage […] Pour aller au-delà, il faudrait commencer par l'identité en personne récolement, c'est-à-dire que j'ai besoin de vous rencontrer en vrai, et avec vos documents, pour établir que c'est bien toi. Vous ne pouvez pas le faire à distance. Mais tous les cas d’utilisation ne l’exigent pas. Cela dépend vraiment de ce que vous essayez de protéger. Si HBO souhaite vous permettre de regarder un film, ils n’ont pas besoin de ce niveau de sécurité. Mais si Goldman Sachs veut transférer 50 millions de dollars pour Steven Spielberg, ils pourraient avoir besoin de ce niveau de sécurité.

Avez-vous déjà demandé à Frank Abagnale d'essayer de manipuler les employés de Trusona ?

Afin de devenir la première entreprise authentifiée au monde – personne d’autre n’a pris ces mesures, car ce n’est pas simple – nous devons d’abord protéger nos propres données auprès de nos propres employés. Et si vous kidnappiez l’un d’eux et nous disiez: « Je ne le libérerai que si vous me donnez accès aux clés? »

Dès le départ, nous avons passé un an en mode furtif et avons conçu un système qui, même si vous me mettez un pistolet sur la tempe, ne peut pas vous aider. Cela inclut notre responsable de l'ingénierie et tous ceux qui ont construit le système, car je leur ai expliqué: Afin de protéger le monde des méchants, nous ne pouvons pas être le maillon le plus faible de la chaîne et ils comprendre. C’est pourquoi nous devons recruter des personnes très spéciales pour s’inscrire à cette mission.

Nous ne stockons pas non plus de pommes de terre chaudes. Si vous nous avez piratés aujourd’hui et que nous avons effectué de nombreux tests d’intrusion avec différentes entreprises, vous n’obtiendrez qu’un hachage de données à sens unique. Si j’ai pris votre email, c’est du hash à sens unique. Si j’ai pris quoi que ce soit à propos d’une transaction, c’est haché dans un sens, vous ne pouvez donc jamais revenir aux données car nous ne savons pas quelle est la valeur brute.

Si nous étions piratés par un État-nation, ce qui devrait arriver d’un jour à l’autre, ils découvriraient quelque chose qui ne servirait à rien. Nous avons annoncé notre assurance le 6 mai 2016, il y a deux ans. Depuis, 13 pour cent de nos visites sur Internet proviennent de Russie. Et nous n’avons pas un seul client là-bas, nous n’avons pas un seul vendeur là-bas. C’est beaucoup pour des gens avec qui nous ne faisons pas affaire !

Le troisième est la formation. Je peux vous dire que même chez notre supporteur, qui prend les appels d'assistance […] nous les formons à répondre aux appels de personnes comme « Donald » Trump.' Nous sommes très habiles à simuler des appels téléphoniques et à donner l'impression que cela est vraiment légitime, pour donner l'impression que le président appelle. toi. Nous savons comment faire cela parce que nous sommes des hackers. Ce sont les étapes, les questions, et pas seulement le fait de dire oui à tout, qui nous rendent aussi forts que possible. Parce que nous réalisons que plus nous devenons omniprésents, nous devenons nous-mêmes une cible.

Qu’en est-il des demandes légitimes des agences gouvernementales? Les données de Trusona sont-elles protégées du vrai Donald Trump ?

Nous avons eu de nombreuses relations avec des agences à trois lettres, mais la conception est telle que je ne peux pas le faire, même si vous le vouliez. Je ne sais pas quelles sont les données. Vous pouvez m'assigner à comparaître aujourd'hui et me dire de vous donner toutes les données sur [un client]. Ok, je vais recevoir l'assignation à comparaître et je vous répondrai si vous pouvez me dire lesquels de nos dossiers leur appartiennent, alors vous pourrez l'avoir, mais je ne sais pas.

L'un des systèmes numériques dont on a le plus parlé ces dernières années a été technologie blockchain. Aujourd’hui, il est utilisé par les gouvernements et les organisations pour protéger la véracité des données. Est-ce également un outil efficace pour améliorer la confidentialité et la protection des données ?

La technologie Blockchain est l’une des inventions les plus étonnantes de notre époque, point dur. Cependant, beaucoup de gens font le lien que si c’est mathématiquement correct, ils sont immuables dans la vraie vie et c’est là que Frank Abagnale se moquera de vous.

Si je crée un faux document de Jon Martindale et que je vais dans une banque et que je postule avec et qu'ils le mettent dans une blockchain, en le moment où vous découvrirez que ce n’était pas vous et que vous essaierez de l’annuler, comment allez-vous l’effacer du la blockchain? C’est le principe « GIGO », garbage in garbage out.

Créer une technologie mathématiquement parfaite est merveilleux. En fait, je pense que tous ceux qui achètent une maison devraient l'avoir sur une blockchain afin que vous ne puissiez jamais perdre votre maison. Il existe de nombreuses bonnes applications pour cela, mais affirmer que cela résoudra le principal problème d’identité est un mensonge. Le problème n’a jamais été de savoir comment stocker les données, mais plutôt: comment savoir qui est qui dans le zoo ?

Avec autant de piratages et de vols de données majeurs, il est facile pour les gens de se sentir impuissants face à la protection de leurs données. Avez-vous des recommandations de sécurité à l'intention de nos lecteurs qu'ils pourraient utiliser pour se protéger ?

Il y a un conseil très simple que je vais leur donner. Jusqu'à ce que nous vivions dans un monde sans mots de passe, mon seul conseil est de changer vos mots de passe. Cela ne vous coûte rien. Même si les mots de passe ont été volés hier, les changer équivaut à changer la serrure de votre porte. Pour les choses les plus importantes de votre vie, mettez en banque vos soins de santé, inscrivez une entrée dans votre calendrier et chaque mois, chaque trimestre, au minimum une fois par an, changez vos mots de passe. Le fait que nous soyons des créatures d’habitudes joue contre nous.