La révolution du “Mobile Money” (MoMo) en Côte d’Ivoire a transformé l’économie, bancarisant des millions de personnes via leur téléphone. Mais cette révolution a un talon d’Achille, une menace “low-tech” qui exploite non pas les failles logicielles, mais la psychologie humaine : la fraude par échange de SIM (SIM Swap).
Dans ce scénario, un fraudeur, armé de quelques informations personnelles, convainc un opérateur de télécommunications de transférer le numéro de téléphone d’une victime sur une nouvelle carte SIM contrôlée par l’attaquant. En quelques minutes, le fraudeur prend le contrôle des comptes MoMo, des applications bancaires et de la vie numérique de la victime.
À Aevena Pavilon College, nous pensons que si l’attaque est humaine, la défense doit l’être aussi. C’est pourquoi une équipe “sprint” de notre AI Garage et de notre laboratoire de Cybersécurité, dirigée par le Dr. Éléonore Vasseur, a passé les deux derniers mois à développer une solution radicalement nouvelle.
Ce projet, baptisé “Gardien”, ne se contente pas de renforcer les mots de passe. Il vise à créer une “empreinte digitale comportementale” pour chaque utilisateur. L’équipe, illustrant parfaitement notre modèle intégré, est composée de Kader Diop, étudiant en troisième année de Licence Sciences Informatiques, et de Cynthia Brou, une élève de Terminale S (spécialité NSI) de notre cycle Lycée, déjà lauréate de plusieurs compétitions de “Capture The Flag” (CTF).
Le Dr. Vasseur, ancienne architecte en sécurité, expose le problème : “Les opérateurs renforcent leurs procédures, mais les fraudeurs s’adaptent. Ils utilisent l’ingénierie sociale pour obtenir les informations nécessaires. La victime ne sait même pas qu’elle est attaquée avant de perdre son service réseau. À ce moment-là, il est trop tard. Le mot de passe seul est devenu insuffisant.”
Le projet “Gardien” est une couche de sécurité logicielle qui s’exécute en arrière-plan des applications FinTech. C’est là que le travail de Kader Diop intervient. Il n’a pas utilisé des modèles d’IA lourds et gourmands en énergie, inadaptés aux smartphones d’entrée de gamme. Il a plutôt développé un modèle “d’Isolation Forest” (forêt d’isolement), un algorithme léger de détection d’anomalies.
“Le modèle ‘Gardien’ n’apprend pas ce qu’est une attaque, il apprend qui vous êtes”, explique Kader. “Il analyse des micro-comportements : à quelle vitesse tapez-vous habituellement votre code PIN ? Tenez-vous votre téléphone de la main droite ou gauche, et avec quelle inclinaison (grâce à l’accéléromètre) ? Effectuez-vous souvent des transferts à 3 heures du matin ? Envoyez-vous soudainement de l’argent à un nouveau numéro avec une rapidité inhabituelle ?”
Tandis que Kader construisait le modèle de défense, Cynthia Brou s’est concentrée sur l’attaque. Sous la supervision éthique stricte du Dr. Vasseur, elle a mené une campagne de recherche sur les vecteurs d’ingénierie sociale ciblant les étudiants.
“Le plus effrayant n’est pas la technologie, c’est la facilité”, rapporte Cynthia. “En simulant des quiz ou des offres promotionnelles, j’ai pu déterminer (de manière anonymisée pour la recherche) que je pouvais obtenir le nom complet, la date de naissance et le nom de l’opérateur préféré de dizaines de sujets en quelques heures. Ces données sont tout ce dont un fraudeur a besoin pour initier un SIM Swap.”
Les données de Cynthia ont ensuite été utilisées pour tester le prototype. L’équipe a simulé des scénarios où un “attaquant” (possédant le bon mot de passe) tentait d’accéder au compte MoMo. Dans 92% des cas, le modèle “Gardien” a détecté l’anomalie comportementale (l’attaquant ne tenait pas le téléphone de la même manière, ne tapait pas au même rythme) et a déclenché une alerte de sécurité secondaire, bloquant la transaction.
Le Dr. Vasseur reste cependant pragmatique, fidèle à l’esprit d’Aevena Pavilon. “C’est un succès académique, mais ce n’est pas encore une solution de marché. Notre principal défi est le ‘faux positif’. Si un utilisateur légitime se casse le bras droit et doit utiliser sa main gauche, le modèle pourrait le bloquer. L’algorithme est prometteur, mais il est exigeant et nécessite un calibrage.”
Le projet “Gardien” a été présenté la semaine dernière lors d’un atelier privé à Abidjan, réunissant des responsables de la sécurité de plusieurs grands opérateurs télécoms et banques FinTech. L’intérêt fut immédiat.
Cet échange démontre que la recherche au sein d’Aevena Pavilon College n’est pas une simple simulation. C’est une réponse directe, développée conjointement par nos lycéens et nos étudiants universitaires, à une menace qui pèse sur notre communauté, ici et maintenant.
Leave a Reply