Si vous avez créé un compte en ligne pour gérer vos dossiers fiscaux avec le Service du revenu interne des États-Unis (IRS), ces identifiants de connexion cesseront de fonctionner plus tard cette année. L’agence affirme que d’ici l’été 2022, le seul moyen de se connecter à irs.gov sera via ID.moiun service de vérification d’identité en ligne qui oblige les candidats à soumettre des copies de factures et de documents d’identité, ainsi qu’un flux vidéo en direct de leurs visages via un appareil mobile.
L’IRS dit qu’il faudra ID.me pour toutes les connexions plus tard cet été.
ID.me, basé à McLean, en Virginie, a été initialement lancé en 2010 dans le but d’aider les sites de commerce électronique à valider l’identité des clients qui pourraient être éligible aux réductions dans divers établissements de vente au détail, tels que les anciens combattants, les enseignants, les étudiants, les infirmières et les premiers intervenants.
De nos jours, ID.me est peut-être mieux connu comme le service de vérification d’identité en ligne que de nombreux États utilisent désormais pour aider à enrayer la perte de milliards de dollars d’assurance-chômage et d’assistance en cas de pandémie volés chaque année par des voleurs d’identité. La société privée affirme avoir environ 64 millions d’utilisateurs et gagner environ 145 000 nouveaux utilisateurs chaque jour.
Quelque 27 États utilisent déjà ID.me pour filtrer les voleurs d’identité qui demandent des prestations au nom de quelqu’un d’autre, et maintenant l’IRS les rejoint. Le service exige que les candidats fournissent beaucoup plus d’informations que celles généralement demandées pour les programmes de vérification en ligne, telles que des scans de leur permis de conduire ou d’une autre pièce d’identité émise par le gouvernement, des copies de factures de services publics ou d’assurance et des détails sur leur service de téléphonie mobile.
Lorsqu’un demandeur n’a pas un ou plusieurs des éléments ci-dessus – ou si quelque chose dans sa demande déclenche des signaux de fraude potentiels – ID.me peut exiger une conversation vidéo en direct enregistrée avec la personne qui demande des prestations.
Étant donné que mes informations d’identification à l’IRS ne fonctionneront bientôt plus, j’ai choisi de créer un compte ID.me et de partager l’expérience ici. Une préface importante à cette procédure pas à pas est que la vérification de soi avec Id.me nécessite de pouvoir prendre un selfie vidéo en direct – soit avec la caméra sur un appareil mobile ou une webcam connectée à un ordinateur (votre webcam doit pouvoir s’ouvrir sur l’appareil que vous utilisez pour demander le compte ID.me).
Mise à jour, 7 février 2022, 22 h 21 HE : L’IRS a déclaré aujourd’hui qu’il abandonnait l’exigence de données biométriques faciales pour identifier les contribuables. En savoir plus ici: IRS To Ditch Biometric Requirement for Online Access.
Histoire originale : De plus, la vérification réussie de votre identité avec ID.me peut nécessiter un investissement de temps important et un peu de patience. Par exemple, s’éloigner d’une partie du processus de candidature en plusieurs étapes pendant un peu plus de cinq minutes a nécessité une autre connexion, puis la nouvelle soumission des documents que j’avais précédemment téléchargés.
Après avoir entré une adresse e-mail et choisi un mot de passe, vous êtes invité à confirmer votre adresse e-mail en cliquant sur un lien envoyé à cette adresse. Après confirmation, ID.me invite les utilisateurs à choisir une option d’authentification multi-facteurs (MFA).
Les options MFA vont d’un code à six chiffres envoyé par SMS ou appel téléphonique aux applications de génération de code et aux clés de sécurité FIDO. ID.me suggère même d’utiliser sa propre application de génération de code unique de marque, qui peut « envoyer » une invite à votre appareil mobile pour que vous l’approuviez chaque fois que vous vous connectez. J’ai suivi et j’encouragerais les autres à utiliser l’option MFA la plus puissante – une clé de sécurité physique. Pour en savoir plus sur les avantages de l’utilisation d’une clé de sécurité pour MFA, consultez cet article.
Lorsque l’option MFA est vérifiée, le système produit un code de sauvegarde unique et vous suggère de l’enregistrer dans un endroit sûr au cas où l’option MFA choisie ne serait pas disponible la prochaine fois que vous essaierez d’utiliser un service qui nécessite ID.me.
Ensuite, les candidats sont invités à télécharger des images de leur permis de conduire, de leur carte d’identité délivrée par l’État ou de leur passeport, soit via un fichier enregistré, soit en les numérisant avec une webcam ou un appareil mobile.
Si vos documents sont acceptés, ID.me vous invitera alors à prendre un selfie en direct avec votre appareil mobile ou votre webcam. Cela a pris plusieurs tentatives. Lorsque l’appareil photo de mon ordinateur a produit un résultat acceptable, ID.me a déclaré qu’il comparait la sortie aux images sur les scans de mon permis de conduire.
Après cela, ID.me exige la vérification de votre numéro de téléphone, ce qui signifie qu’il demandera à votre opérateur de téléphonie mobile ou fixe de confirmer que vous êtes bien un client payant existant qui peut être joint à ce numéro. ID.me indique qu’il n’accepte actuellement pas les numéros de téléphone liés aux services de voix sur IP tels que Google Voice et Skype.
Mon application est restée bloquée interminablement à l’étape « Confirmation de votre téléphone », qui se situe quelque part vers le milieu de l’ensemble du processus de vérification.
Un e-mail adressé au personnel d’assistance d’ID.me a généré un message avec un lien pour terminer le processus de vérification via un chat vidéo en direct. Malheureusement, cliquer sur ce lien a fait apparaître des invites pour télécharger à nouveau toutes les informations que j’avais déjà fournies, puis certaines.
Certains des documents primaires et secondaires demandés par ID.me.
Par exemple, pour terminer le processus, il faut soumettre au moins deux documents d’identification secondaires, tels qu’une carte de sécurité sociale, un certificat de naissance, une carte d’assurance maladie, un formulaire W-2, une facture d’électricité ou un relevé d’institution financière.
Après avoir téléchargé à nouveau toutes ces informations, le système d’ID.me m’a invité à « Veuillez rester sur cet écran pour rejoindre l’appel vidéo ». Cependant, le temps d’attente estimé lorsque ce message est apparu pour la première fois était de « 3 heures et 27 minutes ».
J’apprécie que le système d’ID.me repose sur de vrais êtres humains cherchant à interroger les candidats en temps réel, et que l’on ne peut pas s’attendre à ce que tous ces représentants traitent tout cela immédiatement. Et je comprends que ralentir les choses est un élément important pour vaincre les fraudeurs d’identité qui cherchent à exploiter des systèmes automatisés de vérification d’identité qui reposent en grande partie sur des données statiques sur les consommateurs.
Cela dit, j’ai commencé ce processus « Rencontrer un agent » vers 21h30 du soir, et je n’avais pas particulièrement hâte de rester jusqu’à minuit pour le terminer. Mais peu de temps après que le message concernant l’attente de 3 heures soit apparu, j’ai reçu un appel téléphonique d’un technicien ID.me qui a été mis en copie sur mon e-mail d’origine au fondateur d’ID.me. Contre mes protestations répétées selon lesquelles je voulais attendre mon tour comme tout le monde, il a dit qu’il gérerait le processus lui-même.
Effectivement, une minute plus tard, j’ai été mis en contact avec la personne de soutien ID.me, qui a terminé la vérification lors d’un appel téléphonique vidéo. Cela a pris environ une minute. Mais pour toute personne qui échoue à l’inscription automatisée, comptez passer plusieurs heures à se faire vérifier.
Lorsque ma demande a finalement été approuvée, je suis retourné sur irs.gov et j’ai procédé à la connexion avec mon nouveau compte ID.me. Après avoir accordé à l’IRS l’accès aux données personnelles que j’avais partagées avec ID.me, je consultais mes données fiscales les plus récentes sur le site Web de l’IRS.
Je craignais quelque peu que ma vérification d’identité échoue parce que j’ai un gel de sécurité sur mon dossier de crédit auprès des trois principaux bureaux de crédit à la consommation. Mais à aucun moment au cours de mon processus de candidature, ID.me n’a même mentionné la nécessité de lever ou de dégeler ce gel de sécurité pour terminer le processus d’authentification.
L’IRS s’appuyait auparavant sur Équifax pour son processus de vérification d’identité, et même alors, toute personne ayant des dossiers de crédit gelés devait lever le gel pour passer par le système d’authentification hérité de l’IRS. Pendant plusieurs années, le résultat de cette dépendance a été que les voleurs d’identité ont massivement abusé du propre site Web de l’IRS pour se faire passer pour des contribuables, consulter leurs dossiers fiscaux confidentiels et, finalement, obtenir des remboursements d’impôt frauduleux en leur nom.
L’IRS a annulé son contrat «d’identité du contribuable» avec Equifax en octobre 2017, après que le bureau de crédit a révélé que l’échec de la correction d’une faille de sécurité zero-day vieille de quatre mois avait conduit au vol de numéros de sécurité sociale et d’informations personnelles et financières sur 148 millions d’Américains.
Peut-être qu’à la lumière de cette mégabrèche de 2017, de nombreux lecteurs s’inquiéteront à juste titre d’être contraints de fournir autant d’informations sensibles à une entreprise privée relativement inconnue. BreachTrace s’est entretenu avec le fondateur d’ID.me et PDG Blake Hall dans l’histoire de l’année dernière, Comment 100 millions de dollars en demandes d’assurance-chômage sont allés aux détenus. J’ai demandé à Hall ce que fait ID.me pour sécuriser toutes ces informations sensibles qu’il collecte, ce qui servirait sans aucun doute de cible attrayante pour les pirates et les voleurs d’identité.
Hall a déclaré que ID.me est certifié selon les directives d’identité numérique NIST 800-63-3, utilise plusieurs couches de sécurité et sépare entièrement les données statiques des consommateurs liées à une identité validée d’un jeton utilisé pour représenter cette identité.
« Nous adoptons une approche de défense en profondeur, avec des réseaux partitionnés, et utilisons un schéma de cryptage très sophistiqué de sorte que quand et s’il y a une brèche, ce matériel est protégé par un pare-feu », a déclaré Hall. « Il faudrait compromettre les jetons à grande échelle et pas seulement la base de données. Nous chiffrons tout cela jusqu’au niveau du fichier avec des clés qui tournent et expirent toutes les 24 heures. Et une fois que nous vous aurons vérifié, nous n’aurons plus besoin de ces données vous concernant de manière continue.
La politique de confidentialité d’ID.me stipule que si vous vous inscrivez à ID.me « dans le cadre d’une vérification d’identité légale ou d’une agence gouvernementale, nous n’utiliserons pas vos informations de vérification à des fins de marketing ou de promotion ».
L’inscription à ID.me nécessite que les utilisateurs approuvent une politique de données biométriques qui stipule que la société ne vendra, ne louera ni n’échangera vos données biométriques à des tiers ou ne cherchera à tirer aucun profit de ces informations. ID.me indique que les utilisateurs peuvent supprimer leurs données biométriques à tout moment, mais il n’y avait apparemment aucune option pour le faire lorsque je me suis connecté directement à mon nouveau compte sur ID.me.
Lorsque j’ai demandé au technicien de support qui a mené l’entretien vidéo de supprimer mes données biométriques, il m’a envoyé un lien à une procédure de suppression de son compte ID.me. Il semble donc que supprimer ses données d’ID.me après la vérification équivaut à supprimer son compte et à devoir éventuellement se réinscrire à un moment donné dans le futur.
Au fil des ans, j’ai essayé de souligner l’importance de créer des comptes en ligne liés à vos divers services d’identité, financiers et de communication avant que les voleurs d’identité ne le fassent pour vous. Mais tous ces endroits où vous devriez « planter votre drapeau » effectuent une vérification d’identité de manière automatisée, en utilisant des points de données entièrement statiques sur les consommateurs qui ont été violés à plusieurs reprises (SSN, DoBs, etc.).
Aimez-le ou détestez-le, ID.me est susceptible de devenir l’un de ces endroits où les Américains ont besoin de planter leur drapeau et de marquer leur territoire, si ce n’est pour aucune autre raison que cela sera probablement nécessaire à un moment donné pour gérer votre relation avec le gouvernement fédéral. gouvernement et/ou votre état. Et compte tenu de l’investissement potentiel en temps nécessaire pour créer avec succès un compte ID.me, il peut être judicieux de le faire avant d’être obligé de le faire à la dernière minute (comme attendre jusqu’à la onzième heure pour payer votre trimestre ou taxes annuelles estimées).
Si vous avez visité la page de connexion au Administration de la sécurité sociale des États-Unis (SSA) ces derniers temps, vous remarquerez que le ou vers le 18 septembre 2021, l’agence a cessé d’autoriser la création de nouveaux comptes avec uniquement un nom d’utilisateur et un mot de passe. Toute personne souhaitant créer un compte auprès de la SSA est désormais dirigée vers ID.me ou Login.govune solution d’authentification unique pour les sites Web du gouvernement américain.
