L'adoption de la biométrie a explosé au Brésil ces dernières années : 82 % des Brésiliens utilisent déjà une forme ou une autre de technologie biométrique pour s'authentifier, motivés par la commodité et la recherche d'une sécurité accrue des services numériques. Qu'il s'agisse d'accéder aux services bancaires par reconnaissance faciale ou d'utiliser les empreintes digitales pour autoriser les paiements, la biométrie est devenue le nouveau CPF (numéro d'identification fiscale brésilien) en matière d'identification personnelle, rendant les processus plus rapides et plus intuitifs.
Cependant, la recrudescence des fraudes a mis en évidence les limites de cette solution : rien qu’en janvier 2025, 1,24 million de tentatives de fraude ont été recensées au Brésil, soit une augmentation de 41,6 % par rapport à l’année précédente – ce qui équivaut à une tentative d’escroquerie toutes les 2,2 secondes. Une grande partie de ces attaques ciblent spécifiquement les systèmes d’authentification numérique. Les données de Serasa Experian montrent qu’en 2024, les tentatives de fraude contre les banques et les cartes de crédit ont progressé de 10,4 % par rapport à 2023, représentant 53,4 % de l’ensemble des fraudes enregistrées cette année-là.
Si ces fraudes n'avaient pas été empêchées, elles auraient pu engendrer des pertes estimées à 51,6 milliards de reais. Cette augmentation témoigne d'une évolution du paysage numérique : les fraudeurs adaptent leurs tactiques plus rapidement que jamais. Selon une enquête de Serasa, la moitié des Brésiliens (50,7 %) ont été victimes de fraude numérique en 2024, soit une hausse de 9 points de pourcentage par rapport à l'année précédente, et 54,2 % de ces victimes ont subi des pertes financières directes.
Une autre analyse fait état d'une augmentation de 45 % des crimes numériques dans le pays en 2024, la moitié des victimes étant effectivement dupées par des escroqueries. Face à ces chiffres, la communauté de la sécurité s'interroge : si la biométrie promettait de protéger les utilisateurs et les institutions, pourquoi les fraudeurs semblent-ils toujours avoir une longueur d'avance ?
Les arnaques contournent la reconnaissance faciale et digitale.
Une partie de la réponse réside dans l'ingéniosité dont font preuve les cybercriminels pour contourner les systèmes biométriques. Ces derniers mois, des cas emblématiques ont émergé. À Santa Catarina, un groupe de fraudeurs a escroqué au moins 50 personnes en obtenant clandestinement des données biométriques faciales de ses clients : un employé d'une entreprise de télécommunications a simulé la vente de lignes téléphoniques afin de capturer des selfies et des documents, puis a utilisé ces données pour ouvrir des comptes bancaires et contracter des prêts au nom des victimes.
Au Minas Gerais, des criminels sont allés encore plus loin : ils se sont fait passer pour des facteurs afin de collecter les empreintes digitales et les photos des habitants, dans le but avoué de contourner la sécurité bancaire. Autrement dit, les escrocs ne se contentent pas d’attaquer la technologie elle-même, mais exploitent également l’ingénierie sociale, incitant les gens à divulguer leurs données biométriques à leur insu. Les experts préviennent que même les systèmes considérés comme robustes peuvent être trompés.
Le problème, c'est que la popularisation de la biométrie a créé un faux sentiment de sécurité : les utilisateurs supposent que, parce qu'elle est biométrique, l'authentification est infaillible.
Dans les établissements aux mesures de sécurité moins strictes, les fraudeurs parviennent à leurs fins grâce à des méthodes relativement simples, comme l'utilisation de photos ou de moules pour imiter les caractéristiques physiques d'un doigt. L'escroquerie dite du « doigt en silicone », par exemple, est devenue bien connue : des criminels collent des films transparents sur les lecteurs d'empreintes digitales des distributeurs automatiques de billets afin de voler l'empreinte du client, puis fabriquent un faux doigt en silicone à partir de cette empreinte, permettant ainsi des retraits et des virements non autorisés. Les banques affirment déjà utiliser des contre-mesures : des capteurs capables de détecter la chaleur, le pouls et d'autres caractéristiques d'un doigt vivant, rendant les moules artificiels inefficaces.
Néanmoins, des cas isolés de cette escroquerie démontrent qu'aucune barrière biométrique n'est totalement infaillible. Autre facteur inquiétant : le recours à des techniques d'ingénierie sociale pour obtenir des selfies ou des scans faciaux directement auprès des clients. La Fédération brésilienne des banques (Febraban) a tiré la sonnette d'alarme concernant une nouvelle forme de fraude : des escrocs demandent des « selfies de confirmation » à leurs victimes sous de faux prétextes. Se faisant passer pour des employés de banque ou de l'INSS (Institut brésilien de sécurité sociale), ils demandent par exemple une photo du visage « pour mettre à jour un dossier » ou débloquer une prestation inexistante. En réalité, ils utilisent ce selfie pour usurper l'identité du client dans les systèmes de vérification faciale.
Une simple négligence – comme prendre une photo à la demande d'un prétendu livreur ou d'un agent de santé – peut fournir aux criminels la « clé » biométrique leur permettant d'accéder aux comptes d'autrui.
Deepfakes et IA : la nouvelle frontière des escroqueries
Si la tromperie humaine est déjà une stratégie courante, des criminels plus sophistiqués s'attaquent désormais aussi aux machines. C'est là qu'interviennent les menaces liées aux deepfakes – manipulations avancées de la voix et de l'image par l'intelligence artificielle – et autres techniques de falsification numérique, des techniques qui ont connu un essor considérable entre 2023 et 2025.
En mai dernier, par exemple, la Police fédérale a lancé l'opération « Face Off » après avoir identifié un système de fraude ayant permis d'usurper l'identité d'environ 3 000 comptes sur le portail Gov.br grâce à de fausses données biométriques faciales. Le groupe criminel a utilisé des techniques très sophistiquées pour se faire passer pour des utilisateurs légitimes sur la gov.br , qui centralise l'accès à des milliers de services publics numériques.
Les enquêteurs ont révélé que les escrocs utilisaient une combinaison de vidéos manipulées, d'images modifiées par intelligence artificielle et même de masques 3D hyperréalistes pour tromper le système de reconnaissance faciale. Autrement dit, ils simulaient les traits du visage de tiers – y compris de personnes décédées – pour usurper leur identité et accéder aux avantages financiers liés à ces comptes. Grâce à des mouvements artificiels parfaitement synchronisés (clignements des yeux, sourires, mouvements de tête), ils sont même parvenus à contourner la fonction de détection de présence, conçue précisément pour vérifier la présence d'une personne réelle devant la caméra.
Il en a résulté un accès non autorisé à des fonds qui ne devaient être perçus que par leurs bénéficiaires légitimes, ainsi que l'approbation illicite de prêts sur salaire via l'application Meu INSS au moyen de ces fausses identités. Cette affaire a démontré de façon éloquente qu'il est possible de contourner la reconnaissance faciale, même au sein de systèmes vastes et théoriquement sécurisés, lorsque les outils adéquats sont disponibles.
Dans le secteur privé, la situation est identique. En octobre 2024, la police civile du District fédéral a mené l'opération « IA dégénérative », démantelant un réseau spécialisé dans le piratage de comptes bancaires numériques à l'aide d'applications d'intelligence artificielle. Les criminels ont tenté de pirater plus de 550 comptes bancaires, utilisant des données personnelles divulguées et des techniques de deepfake pour reproduire les images des titulaires de comptes et ainsi valider les procédures d'ouverture de nouveaux comptes à leurs noms et activer des appareils mobiles comme s'ils leur appartenaient.
On estime que le groupe a réussi à transférer environ 110 millions de reais via des comptes appartenant à des particuliers et des personnes morales, blanchissant ainsi de l'argent provenant de diverses sources, avant que la majeure partie de la fraude ne soit stoppée par des audits bancaires internes.
Au-delà de la biométrie
Pour le secteur bancaire brésilien, la recrudescence de ces escroqueries de haute technologie est alarmante. Ces dix dernières années, les banques ont investi massivement pour inciter leurs clients à utiliser des canaux numériques sécurisés, en adoptant la biométrie faciale et d'empreintes digitales comme barrières contre la fraude.
Cependant, la récente vague d'escroqueries suggère que le recours exclusif à la biométrie pourrait s'avérer insuffisant. Les escrocs exploitent les erreurs humaines et les failles technologiques pour usurper l'identité des consommateurs, ce qui exige une sécurité à plusieurs niveaux et facteurs d'authentification, en abandonnant l'idée d'un unique facteur « magique ».
Face à cette situation complexe, les experts s'accordent sur une recommandation : adopter l'authentification multifacteurs et une approche de sécurité multicouche. Cela implique de combiner différentes technologies et méthodes de vérification afin que, si un facteur est défaillant ou compromis, les autres préviennent la fraude. La biométrie demeure un élément essentiel : bien mise en œuvre avec la vérification de présence et le chiffrement, elle entrave considérablement les attaques opportunistes.
Toutefois, il doit fonctionner conjointement avec d'autres contrôles : mots de passe à usage unique ou codes PIN envoyés sur le téléphone mobile, analyse du comportement de l'utilisateur – la biométrie comportementale, qui identifie les habitudes de frappe, l'utilisation de l'appareil et peut déclencher une alarme lorsqu'elle remarque qu'un client « se comporte différemment de la normale » – et surveillance intelligente des transactions.
Les outils d'IA sont également utilisés pour aider les banques, en identifiant des signes subtils de deepfake dans les vidéos ou les voix – par exemple, en analysant les fréquences audio pour détecter les voix synthétiques ou en recherchant des distorsions visuelles dans les selfies.
En définitive, le message aux dirigeants de banque et aux professionnels de la sécurité informatique est clair : il n’existe pas de solution miracle. La biométrie offre un niveau de sécurité supérieur aux mots de passe traditionnels, à tel point que les escroqueries consistent désormais principalement à tromper les individus plutôt qu’à contourner les algorithmes.
Cependant, les fraudeurs exploitent la moindre faille, humaine ou technologique, pour contourner les systèmes biométriques. La réponse appropriée repose sur une technologie de pointe constamment mise à jour et une surveillance proactive. Seuls ceux qui parviennent à adapter leurs défenses au même rythme que l'émergence de nouvelles escroqueries pourront pleinement protéger leurs clients à l'ère de l'intelligence artificielle malveillante.
Par Sylvio Sobreira Vieira, PDG et responsable du conseil chez SVX Consultoria.
