.wpb_animate_when_almost_visible { opacity: 1; }

Orange Developer and Fraud prevention

Published: June 18, 2020

Version française

In previous articles, we talked about the interest, from a security standpoint, to use the Orange Developer platform, and we also broached security issues of services accessed by APIs in the IoT industry.

Now, let’s see how the Orange Developer platform can help prevent fraud.

How can we define fraud?

Fraud is a vast subject which includes various aspects like:

  • Identity theft to access a service using another person’s user ID;
  • Using a service without paying;
  • Using a service beyond what is authorized (scope, contractual perimeter, quotas);
  • Manipulating data to lead users to a fraudulent service;
  • And much more…

Even though the Orange Developer platform cannot prevent fraud issues caused by weaknesses inherent to the services accessed by the APIs it offers, it can contributes on many levels to fight against fraud.

There are two aspects – different yet complementary – to this contribution:

  • First, there are mechanisms set up on the Orange Developer platform to reduce the risks of fraud when accessing your API
  • Second, several APIs available on the Orange Developer platform can be used to prevent other types of fraud – like usurpation, embezzlement of data, …

Resources available on the Orange Developer platform to reduce the risks of fraud when accessing your API

Protection against access fraud

The Orange Developer platform, acting as an intermediary between the consumer of a service and the service itself, naturally offers protection against API access fraud.

The access to an API is strictly monitored, and the access right is granted to an application by the API provider after a process designed by the provider and during which some additional elements might be asked to make the decision. The Orange Developer platform also uses the international industrial norm OAuth (supported by the Internet Engineering Task Force or IETF), which enables it to verify, for each API access attempt, the authorization of the caller and limit the access to the data it can use (scope). This is called protection against access fraud.

Protection against application fraud

Beyond access control, once the application is linked to the service, through an API, fraud can come from the application. For example, it can concern fraud caused by the abuse of a service that can lead to overconsumption or even data suction.

This type of breach falls under the jurisdiction of the service’s control systems, and not the Orange Developer platform. However, this risk can be limited by the implementation, on the Orange Developer platform, of access quotas restricting the number of consecutive accesses of an API by an application over a period of time. This is called protection against application fraud.

Finally, each API can get every new user to approve the terms and conditions of the service, during the API subscription.

APIs available on the Orange Developer portal that can be used to prevent other types of fraud

Some APIs’ explicit purpose is to fight against (several types of) fraud.

First and foremost, fraud prevention starts by identifying or even authenticating the end-user.

The Orange Developer platform offers several identification and/or authentication methods – Mobile Connect, SIU, Guardian, etc. – and a mechanism linking each API call to a preliminary end-user identification and/or authentication phase, depending on the chosen method.

Second, you can ensure end-users’ data reliability thanks to a secure source. The Orange Developer platform offers a group of APIs enabling this:

  • Form ID to fill in a form using Orange users’ contract information (name, surname, address, phone number, …).
  • Match ID to check that the personal data that a company has are the same as the ones in the Orange contract.
  • SIM verify to qualify a risk of fraud with the substitution of SIM card in the case, for example, of an identity confirmation by sending a code by SMS.
  • And much more…

Orange France also offers some of these APIs as part of the Mobile ID multi-operator offer.

In accordance with the rules governing the provision of personal data, the use of one of these APIs requires the prior consent of the end-user.

To conclude

To properly fight against fraud, you need a set of tools or measures specific to this risk. As we saw, the Orange Developer platform contributes to it in different ways.

New APIs and the arrival of new techniques to analyze large volumes of data – including API call logs – will soon strengthen the arsenal of the Orange Developer platform with new forms of fraud detection.

To help you know, better understand and use these tools and devices according to your needs, the API Factory support teams are at your disposal.

English version

Nous nous sommes intéressés aux avantages, du point de vue de la sécurité, à passer par la plateforme Orange Developer et nous avons abordé les enjeux de sécurité des services dans le domaine de l’IoT accédés via les API.

Voyons maintenant en quoi la plateforme Orange Developer peut contribuer à la lutte contre la fraude.

Quels sont les types de fraude ?

Le spectre de la fraude est vaste et inclut des aspects aussi variés que :

  • L’usurpation d’identité pour utiliser un service avec les identifiants d’un autre,
  • L’utilisation d’un service sans payer,
  • L’utilisation d’un service au-delà de ce qui est autorisé (scope, périmètre contractuel, quotas),
  • La manipulation de données pour orienter un utilisateur vers un service frauduleux
  • Et bien d’autres encore…

Si la plateforme Orange Developer ne peut aider à des problématiques de fraude exploitant des faiblesses inhérentes aux services accédés via des APIS qu’elle expose, elle contribue à plusieurs titres à la lutte contre la fraude.

Cette contribution peut être vue sous deux angles différents et complémentaires:

  • Le premier angle, ce sont les mécanismes mis en place sur la plate-forme Orange Developer pour réduire les possibilités de fraude lors de l’accès à votre API.
  • Le second angle, c’est un ensemble d’APIs exposées sur le portail de la plateforme Orange Developer qui peuvent être utilisées pour lutter contre d’autres types de fraudes – usurpation, détournements de données….

Les éléments mis en place par Orange Developer pour limiter les fraudes lors de l’accès aux APIs

Protection contre la fraude à l’accès

La plateforme Orange Developer, agissant comme un intermédiaire entre le consommateur d’un service et le service lui-même, propose ainsi naturellement une fonction de protection à la fraude à l’accès aux APIs.

L’accès à une API est strictement contrôlé et le droit d’accès est accordé à une application par le fournisseur de l’API selon un parcours qu’il définit lui-même et au cours duquel il peut demander les éléments nécessaires à sa prise de décision. Le standard industriel international OAuth porté par l’IETF (Internet Engineering Task Force) permet à la plate-forme Orange Developer de vérifier à chaque tentative d’accès à une API que l’application appelante y a été autorisée, et limite cet accès aux données auxquelles elle a droit (scope). C’est la protection contre la fraude à l’accès.

Protection contre la fraude applicative

Au-delà du contrôle d’accès, une fois l’application en lien avec le service, via l’API,  la fraude peut alors être de nature applicative. Il s’agit par exemple d’une utilisation abusive d’un service qui peut conduire à une fraude par surconsommation voire aspiration de données.

Ce type de faille relève d’un défaut de contrôle au niveau du service et n’est pas sous la responsabilité de la plateforme Orange Developer. Néanmoins ce risque peut être limité grâce aux quotas applicatifs proposés par la plateforme Orange Developer qui permettent de limiter le nombre d’accès consécutifs à une API par une même application sur une période de temps. C’est une protection contre la fraude applicative.

Chaque API peut enfin faire approuver à tout nouvel utilisateur, lors de la souscription, les conditions et les limites d’usage du service accédé.

Les APIs Orange Developer de lutte contre la fraude

Certaines API ont pour finalité explicite la lutte contre la fraude (de plusieurs types).

En tout premier lieu, la lutte contre la fraude commence par l’identification voire l’authentification de l’utilisateur final.

La plate-forme Orange Developer propose ainsi différentes méthodes d’identification/authentification – Mobile Connect, SIU, Guardian, … – et même une mécanique pour coupler chaque appel à votre API avec une phase préalable d’identification/authentification de l’utilisateur final selon votre propre méthode d’authentification.

En second lieu, il peut s’agir de fiabiliser les données correspondant à un utilisateur final grâce à une source sure. La plateforme Orange Developer propose une famille d’API de ce type.

Cette famille propose des APIs variées telles que :

  • Form ID pour remplir un formulaire à partir des données du contrat Orange de l’utilisateurs (Nom, Prénom, adresse, numéro de téléphone, …).
  • Match ID qui permet de vérifier que les données personnelles dont dispose une entreprise à propos d’un utilisateur sont les mêmes que celles de son contrat Orange.
  • SIM verify qui permet de qualifier un risque de fraude à la substitution de carte SIM dans le cas, par exemple, d’une confirmation d’identité par envoi d’un code par SMS.
  • Et bien d’autres…

Orange France propose d’ailleurs une partie de ces APIs au sein de l’offre multi-opérateurs Mobile ID.

Conformément aux règles régissant la mise à disposition de données personnelles, l’usage d’une de ces API passe par le consentement préalable de l’utilisateur.

En conclusion,

Lutter contre la fraude signifie disposer d’un ensemble d’outils ou de dispositifs propres à limiter ce risque. Nous avons vu que la plateforme Orange Developer y apporte une contribution de différentes façons.

Des nouvelles APIs ainsi que l’avènement des techniques d’analyse de grands volumes de données – dont les logs d’appels aux API – viendront bientôt renforcer l’arsenal de la plateforme Orange Developer avec de nouvelles formes de détection de fraude.

Pour vous aider à connaître, mieux comprendre et utiliser ces outils et dispositifs en fonction de vos besoins, les équipes d’accompagnement de l’API Factory sont à votre disposition.

Recommended APIs

Form ID

Pre-fill your forms with Orange users’ data, for simpler, more reliable interactions.

Try this API

Match ID

Cross check your customer info with ours, to mitigate fraud while improving user experience.

Try this API

SIM verify

Protect your business against identity theft and fraud by cross-checking users’ SIM device, contract and network details.

Try this API