Le nombre de créations de comptes en ligne devrait augmenter de plus de 13 % par an jusqu’en 2028, ce qui va accroître les possibilités de fraude liée aux nouveaux comptes. La création de faux comptes consiste à créer des comptes en utilisant des données d’identité falsifiées ou volées. Cela peut sembler être un problème lié à votre système d’inscription, mais il s’agit en réalité d’un problème économique. Les pirates créent des comptes en masse, car le coût est faible, et le gain potentiel est élevé. Pour que les mesures de prévention soient efficaces, il faut accroître ce coût pour les pirates jusqu’à ce que l’opération ne soit plus rentable pour eux.
Ci-après, nous allons voir comment détecter les faux comptes, pourquoi l’inscription est un point d’entrée privilégié et comment la détection au moment de l’inscription s’inscrit dans une stratégie plus large de lutte contre la fraude.
Points clés
Les faux comptes constituent souvent une infrastructure servant de point d’entrée pour des abus en aval, tels que l’exploitation abusive des essais gratuits, le moissonnage par interface de programmation d’application (API) et la fraude liée aux paiements.
La détection des faux comptes repose en grande partie sur la mise en corrélation des signaux liés à l’appareil, au réseau, au comportement et à l’identité lors des différentes tentatives d’inscription.
Les systèmes qui détectent la création de faux comptes peuvent compliquer la tâche des pirates qui tentent de s’inscrire. Ils peuvent être combinés avec une surveillance après l’inscription pour détecter les fraudes qui auraient pu passer à travers les mailles du filet ou se concrétiser ultérieurement.
Qu’est-ce que la création de faux comptes?
La création de faux comptes est une forme de fraude qui consiste à créer des comptes à l’aide d’informations fausses ou volées. Il peut s’agir d’adresses de courriel générées, de numéros de téléphone voix par protocole Internet (VoIP) – lesquels permettent de passer des appels téléphoniques par le biais de numéros virtuels plutôt que de lignes fixes – ou encore de noms inventés ou de combinaisons de données authentiques qui n’appartiennent pas réellement à la même personne.
La principale différence entre un faux compte et un compte normal réside dans le but poursuivi par son créateur. Un utilisateur légitime s’inscrit pour utiliser votre produit. Un faux compte est créé dans le but de tirer profit de la plateforme ou de commettre une forme d’abus.
Qu’est-ce qui motive la création de faux comptes?
La création de faux comptes est rarement l’objectif final. Ils constituent généralement l’infrastructure qui permet d’autres formes d’abus.
Voici pourquoi les pirates créent de faux comptes.
Abus des essais gratuits et des promotions
Toute offre d’incitation à l’inscription est une cible : essais gratuits, crédits, primes de parrainage ou récompenses à l’inscription. Les pirates créent des comptes en masse pour profiter à plusieurs reprises de ces avantages. Une campagne coordonnée peut épuiser un budget promotionnel en quelques heures.
Pourriel et manipulation des plateformes
Sur les marchés, les plateformes de réseaux sociaux et les sites d’avis, les faux comptes constituent la matière première de la manipulation. Ils permettent la publication de faux avis, le gonflement du nombre d’abonnés, l’engagement coordonné et d’autres formes d’activité simulée.
Moissonnage de données par des API
Des API de moissonnage du Web sont utilisées pour extraire des données de sites Web. Les utilisateurs authentifiés bénéficient souvent de limites de débit d’API plus élevées que le trafic anonyme. Les faux comptes permettent aux pirates de répartir leur activité de moissonnage sur plusieurs sessions authentifiées et de contourner les restrictions imposées à chaque compte.
Infrastructure de bourrage d’identifiants
Les pirates qui mènent des campagnes de bourrage d’identifiants ont besoin d’une infrastructure pour le faire. Les procédures d’inscription peuvent être utilisées pour vérifier le format des adresses de courriel, tester quels domaines acceptent le courrier ou créer des comptes qui seront utilisés ultérieurement pour tester des identifiants volés. Dans certains cas, les comptes récemment créés sont également vendus ou réutilisés dans le cadre d’opérations de fraude à plus grande échelle.
Préparation à la fraude liée aux paiements
Dans les environnements financiers ou marchands, les faux comptes peuvent être utilisés pour tester des numéros de cartes volées, effectuer de petites tentatives de fraude à la carte bancaire ou créer une identité d’entreprise temporaire qui semble légitime suffisamment longtemps pour permettre le traitement de transactions frauduleuses.
Quels sont les signaux d’alarme indiquant la création d’un faux compte lors de l’inscription?
Il n’existe pas de signal unique qui indique de façon fiable la création d’un faux compte. La détection repose sur la combinaison de plusieurs indices qui, pris ensemble, sont difficiles à expliquer par un comportement normal d’utilisateur.
Voici quelques signaux d’alarme pouvant indiquer une mauvaise intention.
Signaux liés aux courriels
Domaines de courriel jetables : les services de boîte de réception temporaire font souvent l’objet d’abus, car ils permettent de créer facilement des comptes sans avoir à en conserver l’accès à long terme. Certains fournisseurs bien connus sont faciles à bloquer, mais les services plus modestes changent constamment de domaine pour éviter les listes de blocage.
Modèles d’alias générés : la création de comptes en masse produit souvent des modèles prévisibles et utilise des variations séquentielles, telles que « user1@ », « user2@ », etc., ou de longues chaînes de caractères aléatoires.
Domaines très récents : les utilisateurs légitimes s’inscrivent rarement en utilisant des domaines enregistrés quelques jours auparavant. Les comptes utilisant des domaines très récents méritent un examen plus approfondi.
Signaux liés aux appareils et aux réseaux
Réutilisation des empreintes des appareils : la configuration du navigateur, la résolution d’écran, les polices installées et les empreintes graphiques se répètent souvent sur les comptes créés par le même système d’automatisation, même lorsque les adresses de protocole Internet (IP) et les informations d’identité changent.
Adresses IP de centres de données ou de mandataires : le trafic provenant de fournisseurs de services infonuagiques, de réseaux privés virtuels (VPN) ou de nœuds de sortie Tor présente un risque plus élevé que celui provenant de fournisseurs de services Internet (ISP) résidentiels.
Vélocité d’inscription : une vague de nouveaux comptes provenant d’une même plage d’adresses IP, d’un même numéro de système autonome (ASN) ou d’une même empreinte d’appareil peut constituer un indicateur précoce d’une campagne coordonnée.
Signaux comportementaux
Vitesse irréaliste de remplissage de formulaire : une vraie personne a besoin de temps pour lire et remplir les champs. Lorsqu’un formulaire d’inscription est rempli en quelques fractions de seconde, l’automatisation est l’explication la plus probable.
Modèles de saisie parfaits : les humains hésitent, font des fautes de frappe et se corrigent. Une saisie propre et linéaire, sans pause ni retour en arrière, évoque souvent un remplissage automatisé du formulaire.
Mouvements mécaniques de la souris : les robots ne produisent soit aucun mouvement du curseur, soit des schémas de mouvement qui suivent des trajectoires droites et uniformes, contrairement aux mouvements irréguliers caractéristiques de l’interaction humaine.
Signaux de cohérence concernant l’identité
Numéros de téléphone VoIP : les numéros fournis par des services VoIP sont moins coûteux et plus faciles à obtenir en grande quantité que ceux fournis par des opérateurs de téléphonie mobile, ce qui explique leur utilisation courante dans les campagnes de création de faux comptes.
Incohérences liées aux paramètres régionaux : les paramètres linguistiques, les formats d’adresse, les préférences en matière de devises et l’emplacement géographique déclaré devraient globalement concorder. Lorsque ce n’est pas le cas, la crédibilité de l’identité associée au compte s’en trouve amoindrie.
Comment détecter la création de faux comptes grâce à la corrélation des signaux?
En ce qui concerne la détection de la fraude par création de plusieurs comptes lors de l’inscription, les signaux individuels sont utiles, mais la détection la plus efficace repose sur la corrélation entre les comptes. Même lorsque les pirates varient les noms, les adresses de courriel et les adresses IP, d’autres schémas persistent. Au lieu d’évaluer les inscriptions une par une, de nombreux systèmes regroupent les comptes en grappes selon des attributs communs et se demandent si cette grappe présente un comportement normal.
Les signaux couramment utilisés pour le regroupement comprennent ce qui suit :
Similarité des empreintes numériques d’appareils : configurations de navigateur partagées, tailles d’écran ou empreintes graphiques communes.
Schémas en matière de réseaux : proximité des adresses IP, propriété des ASN et origine du trafic (réseaux résidentiels ou infrastructure en nuage).
Séquences comportementales : l’ordre des actions et le moment auquel elles ont été effectuées lors de l’inscription, ce qui permet de détecter les outils d’automatisation.
Chevauchements d’identité : racines d’adresses de courriel similaires, numéros de téléphone réutilisés ou adresses partiellement identiques.
Vélocité et accélération : pics soudains d’activité provenant d’une infrastructure qui n’avait auparavant généré aucun trafic.
Quelles stratégies permettent de prévenir la création de faux comptes sans bloquer les vrais utilisateurs?
Les mesures de protection efficaces contre la création de faux comptes reposent sur une approche à plusieurs niveaux. Elles doivent également être proportionnées au signal de risque que vous observez réellement.
Prenez en compte les éléments suivants :
Limitation du débit et contrôles de vélocité : le fait de limiter les inscriptions par adresse IP, empreinte d’appareil ou domaine de courriel constitue une première mesure simple qui empêche l’automatisation sans avoir aucune répercussion sur les vrais utilisateurs.
Détection comportementale des robots : une analyse comportementale invisible, telle que les mouvements de souris, les habitudes de saisie et le choix du moment des interactions, peut filtrer les robots sans présenter aucun défi visible aux humains. Les tests de Turing entièrement automatisés et publics permettant de distinguer les ordinateurs des humains (CAPTCHA) sont à réserver de préférence aux cas ambigus plutôt que d’être appliqués de manière universelle.
Vérification progressive : au lieu d’imposer à chaque utilisateur la même procédure de vérification, renforcez les contrôles uniquement lorsque le risque augmente. Un utilisateur qui s’inscrit depuis un réseau résidentiel et qui présente des habitudes d’utilisation normales pourrait réussir sans difficulté, tandis qu’une adresse IP provenant d’un centre de données, combinée à une adresse de courriel jetable, pourrait déclencher une vérification par téléphone.
Traiter la vérification comme un signal de risque : la vérification par courriel et par téléphone ne doit pas considérée uniquement comme un obstacle. Si elle est effectuée à l’aide d’un numéro de téléphone cellulaire légitime, elle réduit le risque et accroît le coût de la création de faux comptes à grande échelle.
Restrictions se fondant sur le risque : lorsque les signaux sont ambigus, les comptes peuvent être créés dans une version limitée, avec un accès restreint à l’API, sans crédit d’essai ou avec des fonctionnalités réduites. Les restrictions pourront être levées une fois que le compte aura fait preuve d’un comportement légitime au fil du temps.
Logiciels de détection : il existe des outils intelligents pour réduire la fraude lors de la procédure d’inscription, tels que des logiciels capables de détecter la création de faux comptes. Vous pouvez également envisager des outils qui signalent les comportements suspects à la suite de la création de faux comptes, comme Stripe Radar, lequel utilise une intelligence artificielle (IA) entraînée sur les données de millions d’entreprises à travers le monde pour détecter la fraude avec plus de précision.
Est-il suffisant d’empêcher la création de faux comptes lors de l’inscription?
Les contrôles lors de l’inscription sont nécessaires, mais ils ne suffisent pas à eux seuls. Les techniques d’attaque évoluent constamment. La détection du VoIP perd de son efficacité lorsque les pirates migrent vers les fermes de modules d’identité d’abonné (SIM). La prise d’empreinte des appareils s’affaiblit à mesure que les outils d’automatisation s’améliorent. Toute approche de détection statique finira par être contournée.
L’avantage de la détection lors de l’inscription, c’est d’accroître le coût d’entrée. Une campagne qui ne demandait avant qu’un effort minime peut désormais nécessiter davantage d’infrastructure, de temps et d’argent par compte. Si les abus à faible marge, tels que l’exploitation abusive des essais gratuits, venaient à se multiplier, ils pourraient rendre les campagnes non rentables.
Les fraudeurs déterminés s’adapteront probablement, et c’est pourquoi un système efficace considère les mesures de protection lors de l’inscription comme un élément parmi d’autres dans une stratégie plus globale.
Voici à quoi ressemble un modèle approfondi pratique :
Contrôles lors de l’inscription : la corrélation des signaux, les limites de vélocité et la vérification progressive permettent de réduire le nombre de faux comptes avant même qu’ils ne soient créés.
Surveillance après l’inscription : des comportements inhabituels, des schémas de paiement anormaux, une utilisation suspecte de l’API et des actions coordonnées peuvent révéler des abus qui auraient pu passer entre les mailles du filet.
Réputation du compte sur la durée : les comptes qui se comportent normalement pendant des mois avant de devenir malveillants nécessitent des modèles de détection axés sur la dérive comportementale plutôt que sur les signaux liés à l’inscription.
Il n’est pas réaliste d’espérer éliminer complètement les faux comptes. L’objectif doit être de rendre les abus à grande échelle coûteux, détectables et non viables.
Comment Stripe Radar peut vous aider
Stripe Radar utilise des modèles d’IA pour détecter et prévenir la fraude, lesquels ont été entraînés à partir des données du réseau mondial de Stripe. Il met continuellement à jour ces modèles en fonction des dernières tendances en matière de fraude, protégeant ainsi votre entreprise à mesure que la fraude évolue.
Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d’ajouter des règles personnalisées pour traiter des scénarios de fraude propre à leur entreprise et d’accéder à des informations avancées sur la fraude.
Radar peut aider votre entreprise à accomplir ce qui suit :
Prévenir les pertes dues à la fraude : Stripe traite plus de 1 000 milliards de dollars de paiements chaque année. Cette envergure permet à Radar de détecter et de prévenir la fraude avec une précision inégalée, vous permettant ainsi de réaliser des économies.
Augmenter les revenus : les modèles d’IA de Radar sont entraînés sur des données réelles de litiges, des informations relatives aux clients, des données de navigation, et bien plus encore. Cela permet à Radar de détecter les transactions à risque et de réduire les faux positifs, augmentant ainsi vos revenus.
Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez également surveiller vos performances en matière de fraude, définir des règles, etc., depuis une seule et même plateforme, augmentant ainsi l’efficacité de vos équipes.
Apprenez-en plus sur Stripe Radar ou faites vos premiers pas dès aujourd’hui.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.