Création de faux comptes : stratégies de détection qui ne bloquent pas les utilisateurs réels

Radar
Radar

Luttez contre la fraude grâce à la puissance du réseau Stripe.

En savoir plus 
  1. Introduction
  2. Qu’est-ce que la création de faux comptes ?
  3. Qu’est-ce qui motive la création de faux comptes ?
    1. Abus des essais gratuits et des promotions
    2. Spam et manipulation de plateforme
    3. Extraction de données via API et extraction de données
    4. Infrastructure de bourrage d’identifiants
    5. Préparation de fraude au paiement
  4. Quels sont les signaux d’alerte de la création de faux comptes lors de l’inscription ?
    1. Signaux liés à l’e-mail
    2. Signaux liés aux appareils et aux réseaux
    3. Signaux comportementaux
    4. Signaux de cohérence d’identité
  5. Comment détecter la création de faux comptes grâce à la corrélation de signaux ?
  6. Quelles stratégies permettent de prévenir la création de faux comptes sans bloquer les utilisateurs réels ?
  7. Est-il suffisant de bloquer la création de faux comptes au moment de l’inscription ?
  8. Comment Stripe Radar peut vous aider ?

Les ouvertures de comptes en ligne devraient progresser de plus de 13 % par an jusqu’en 2028, ce qui augmente les opportunités de fraude aux nouveaux comptes. La création de faux comptes consiste à ouvrir des comptes en utilisant des éléments d’identité fabriqués ou volés. Cela peut ressembler à un problème du système d’inscription, mais il s’agit en réalité d’un problème économique. Les attaquants créent des comptes à grande échelle parce que le coût est faible et les gains potentiels élevés. Les stratégies de prévention efficaces doivent augmenter ce coût pour les attaquants jusqu’à ce que l’opération ne soit plus rentable pour eux.

Ci-dessous, nous verrons comment détecter les faux comptes, pourquoi l’inscription est un point d’entrée privilégié et comment la détection au niveau de l’inscription s’intègre dans une stratégie plus large de défense contre la fraude.

Points clés

  • Les faux comptes constituent souvent une infrastructure d’entrée pour des abus en aval, tels que l’exploitation d’essais gratuits, l’extraction de données via des interfaces de programmation d’application (API) et la fraude au paiement.

  • La détection des faux comptes repose en grande partie sur la corrélation des signaux d’appareil, de réseau, de comportement et d’identité lors des tentatives d’inscription.

  • Les systèmes qui détectent la création de faux comptes peuvent augmenter l’effort nécessaire pour réaliser des inscriptions malveillantes. Ils peuvent être associés à une surveillance après l’inscription pour détecter la fraude qui parvient à passer ou qui se matérialise ultérieurement.

Qu’est-ce que la création de faux comptes ?

La création de faux comptes est une forme de fraude qui consiste à ouvrir des comptes en utilisant des informations fausses ou volées. Cela peut inclure des adresses e-mail générées, des numéros de téléphone VoIP (Voice over Internet Protocol), qui permettent de passer des appels via des numéros virtuels plutôt que des lignes fixes, ou encore des noms inventés ou des combinaisons de données réelles qui n’appartiennent pas à une seule et même personne.

La principale différence entre un faux compte et un compte normal réside dans l’intention. Un utilisateur légitime s’inscrit pour utiliser votre produit. Un faux compte est créé pour extraire de la valeur de la plateforme ou permettre une forme d’abus.

Qu’est-ce qui motive la création de faux comptes ?

La création de faux comptes est rarement une fin en soi. Il s’agit généralement d’une infrastructure qui permet d’autres formes d’abus.

Voici pourquoi les attaquants créent de faux comptes.

Abus des essais gratuits et des promotions

Toute incitation à l’inscription constitue une cible : essais gratuits, crédits, bonus de parrainage ou récompenses d’inscription. Les attaquants créent des comptes à grande échelle pour réclamer de manière répétée ces avantages. Une campagne coordonnée peut épuiser un budget promotionnel en quelques heures.

Spam et manipulation de plateforme

Sur les marketplaces, les plateformes sociales et les sites d’avis, les faux comptes alimentent les mécanismes de manipulation. Ils permettent de créer de faux avis, de gonfler artificiellement le nombre d’abonnés, de coordonner l’engagement et d’autres formes d’activité authentique.

Extraction de données via API et extraction de données

Les API d’extraction de données web sont utilisées pour extraire des données depuis des sites web. Les utilisateurs authentifiés bénéficient souvent de limites d’appels à l’API plus élevées que le trafic anonyme. Les faux comptes permettent aux attaquants de répartir l’activité d’extraction sur plusieurs sessions authentifiées et de contourner les limitations par compte.

Infrastructure de bourrage d’identifiants

Les attaquants qui mènent des campagnes de bourrage d’identifiants ont besoin d’une infrastructure pour les déployer. Les parcours d’inscription peuvent être utilisés pour valider des formats d’e-mail, tester les domaines qui acceptent les messages ou créer des comptes destinés ensuite à tester des identifiants volés. Dans certains cas, les comptes nouvellement créés sont aussi vendus ou réutilisés dans le cadre d’opérations de fraude plus larges.

Préparation de fraude au paiement

Dans les environnements financiers ou de marketplace, les faux comptes peuvent être utilisés pour tester des numéros de carte volés, mener de petites tentatives de test de cartes bancaires ou établir une identité commerciale temporaire qui paraît légitime suffisamment longtemps pour permettre le traitement de transactions frauduleuses.

Quels sont les signaux d’alerte de la création de faux comptes lors de l’inscription ?

Aucun signal unique ne permet d’identifier de manière fiable un faux compte. La détection repose sur la combinaison de signaux qui, pris ensemble, sont difficiles à expliquer par un comportement normal d’utilisateur.

Voici quelques signaux d’alerte qui peuvent indiquer une intention malveillante.

Signaux liés à l’e-mail

  • Domaines d’e-mail jetables : les services de boîtes de réception temporaires sont souvent détournés, car ils facilitent la création de comptes sans nécessiter un accès durable. Certains fournisseurs bien connus sont faciles à bloquer, mais des services plus petits renouvellent en permanence leurs domaines pour contourner les listes de blocage.

  • Schémas d’alias générés : la création de comptes en masse produit souvent des schémas prévisibles et utilise des variations séquentielles telles que « user1@ », « user2@ », etc., ou des chaînes longues de caractères aléatoires.

  • Domaines très récents : les utilisateurs légitimes s’inscrivent rarement avec des domaines enregistrés quelques jours auparavant. Les comptes utilisant des domaines récemment enregistrés méritent une vigilance accrue.

Signaux liés aux appareils et aux réseaux

  • Réutilisation d’empreinte d’identification de l’appareil : la configuration du navigateur, la résolution d’écran, les polices installées et les empreintes graphiques se répètent souvent entre des comptes créés par le même système d’automatisation, même lorsque les adresses IP et les informations d’identité évoluent.

  • Adresses IP de centres de données ou de proxy : le trafic provenant de fournisseurs de cloud, de réseaux privés virtuels (VPN) ou de nœuds de sortie Tor présente un niveau de risque plus élevé que le trafic issu d’adresses IP de fournisseurs d’accès à Internet résidentiels (ISP).

  • Vélocité d’inscription : une augmentation soudaine de nouveaux comptes depuis une même plage d’adresses IP, un même numéro de système autonome (ASN) ou une même empreinte d’identification d’appareil peut être un indicateur précoce d’une campagne coordonnée.

Signaux comportementaux

  • Vitesse de remplissage de formulaire irréaliste : une personne réelle a besoin de temps pour lire et compléter les champs. Lorsqu’un formulaire d’inscription est rempli en une fraction de seconde, l’automatisation est l’explication la plus probable.

  • Schémas de saisie parfaits : les humains hésitent, font des fautes de frappe et se corrigent. Une saisie propre et linéaire, sans pauses ni retours arrière, indique souvent un remplissage de formulaire automatisé.

  • Mouvements de souris mécaniques : les bots ne produisent soit aucun mouvement de curseur, soit des trajectoires qui suivent des lignes droites et uniformes, plutôt que les schémas irréguliers propres à l’interaction humaine.

Signaux de cohérence d’identité

  • Numéros de téléphone VoIP : les numéros fournis via des services VoIP sont moins chers et plus faciles à obtenir en masse que les numéros d’opérateurs mobiles, ce qui les rend courants dans les campagnes de faux comptes.

  • Incohérences des paramètres régionaux : les paramètres de langue, les formats d’adresse, les préférences de devise et la localisation géographique déclarée doivent globalement être cohérents. Lorsqu’ils ne le sont pas, l’identité associée au compte devient moins crédible.

Comment détecter la création de faux comptes grâce à la corrélation de signaux ?

Lorsqu’il s’agit de détecter la fraude multi-comptes lors de l’inscription, les signaux individuels sont utiles, mais la détection la plus efficace repose sur la corrélation entre les comptes. Même lorsque les attaquants modifient les noms, les e-mails et les adresses IP, d’autres schémas restent visibles. Plutôt que d’analyser les inscriptions une par une, de nombreux systèmes regroupent les comptes en clusters à partir d’attributs communs et évaluent si ce cluster correspond à un comportement normal.

Les signaux couramment utilisés pour le regroupement incluent :

  • Similarité des empreintes d’identification d’appareil : configurations de navigateur partagées, tailles d’écran ou empreintes graphiques

  • Schémas réseau : proximité des adresses IP, propriété du numéro de système autonome (ASN) et origine du trafic, qu’il provienne de réseaux résidentiels ou d’infrastructures cloud

  • Séquences comportementales : l’ordre et le timing des actions lors de l’inscription, qui peuvent permettre d’identifier des outils d’automatisation

  • Chevauchements d’identité : racines d’e-mails similaires, numéros de téléphone réutilisés ou adresses partiellement correspondantes

  • Vélocité et accélération : des pics soudains d’activité provenant d’une infrastructure qui ne générait auparavant aucun trafic.

Quelles stratégies permettent de prévenir la création de faux comptes sans bloquer les utilisateurs réels ?

Les défenses efficaces contre la création de faux comptes sont multicouches. Elles doivent également être proportionnées au signal de risque réellement observé.

Prenez en compte les éléments suivants :

  • La limitation de débit et les contrôles de vélocité : limiter le nombre d’inscriptions par adresse IP, empreinte d’identification d’appareil ou domaine de messagerie constitue une première couche simple qui bloque l’automatisation sans impacter les utilisateurs réels.

  • La détection comportementale des bots : l’analyse comportementale invisible, comme les mouvements de souris, les habitudes de frappe et le timing des interactions, permet de filtrer les bots sans imposer de défi visible aux utilisateurs humains. Les CAPTCHA difficiles (tests de Turing publics complètement automatisés pour distinguer les ordinateurs et les humains) sont à privilégier uniquement dans les cas ambigus plutôt que d’être appliqués systématiquement.

  • La vérification progressive : plutôt que d’imposer le même parcours de vérification à tous les utilisateurs, les contrôles sont renforcés uniquement lorsque le niveau de risque augmente. Un utilisateur qui s’inscrit depuis un réseau résidentiel avec des comportements d’interaction normaux peut passer sans friction, tandis qu’une adresse IP issue d’un centre de données associée à une adresse e-mail temporaire peut déclencher une vérification par téléphone.

  • Considérer la vérification comme un signal de risque : la vérification de l’e-mail et du numéro de téléphone ne doit pas être perçue uniquement comme une étape contraignante. La validation via un numéro de téléphone mobile légitime auprès d’un opérateur réduit le niveau de risque et augmente le coût de création de faux comptes à grande échelle.

  • Les mesures de restriction basées sur le risque : lorsque les signaux sont ambigus, les comptes peuvent être créés dans un état restreint, avec un accès limité aux API, aucun crédit d’essai ou des fonctionnalités réduites. Les fonctionnalités s’étendent progressivement lorsque le compte démontre un comportement légitime dans le temps.

  • Les logiciels de détection : il existe des outils intelligents pour limiter la fraude lors du processus d’inscription, comme des logiciels capables de détecter la création de faux comptes. Vous pouvez aussi utiliser des outils qui signalent les comportements suspects après la création de faux comptes, comme Stripe Radar, qui s’appuie sur l’intelligence artificielle (IA) entraînée sur des données provenant de millions d’entreprises dans le monde pour identifier la fraude de manière plus précise.

Est-il suffisant de bloquer la création de faux comptes au moment de l’inscription ?

Les contrôles d’inscription sont nécessaires, mais ils ne suffisent pas à eux seuls. Les techniques d’attaque évoluent en permanence. La détection des numéros VoIP perd en efficacité lorsque les attaquants migrent vers des fermes de cartes SIM (subscriber identity module). La prise d’empreinte d’appareil devient moins robuste à mesure que les outils d’automatisation progressent. Toute approche de détection statique finit par être contournée.

Ce que la détection des inscriptions fait bien, c’est augmenter le coût d’entrée. Une campagne qui demandait autrefois peu d’effort peut désormais nécessiter davantage d’infrastructure, plus de temps et plus d’argent par compte. Les abus à faible marge, comme le détournement d’essais gratuits, lorsqu’ils augmentent, peuvent rendre les campagnes non rentables.

Des acteurs frauduleux déterminés s’adapteront probablement, c’est pourquoi un système efficace considère les défenses à l’inscription comme une couche dans une stratégie plus large.

Voici à quoi ressemble un modèle pratique et détaillé :

  • Contrôles à l’inscription : la corrélation des signaux, les limitations de débit et la vérification progressive réduisent la création de faux comptes en amont.

  • Surveillance après l’inscription : des comportements inhabituels, des schémas de paiement anormaux, une utilisation suspecte des API et des actions coordonnées peuvent révéler des abus qui passent entre les mailles du filet.

  • Réputation du compte dans le temps : les comptes qui se comportent normalement pendant des mois avant de devenir abusifs nécessitent des modèles de détection centrés sur la dérive comportementale plutôt que sur les signaux d’inscription.

Il n’est pas réaliste d’éliminer complètement les faux comptes. L’objectif doit être de rendre les abus à grande échelle coûteux, détectables et non viables.

Comment Stripe Radar peut vous aider ?

Stripe Radar s’appuie sur des modèles d’IA entraînés à partir des données issues du réseau mondial de Stripe pour détecter et prévenir la fraude. Ces modèles sont continuellement mis à jour pour tenir compte des nouvelles tendances, ce qui permet de protéger votre entreprise face à l’évolution des risques.

Stripe propose également Radar for Fraud Teams, qui permet d’ajouter des règles personnalisées adaptées à des scénarios spécifiques et d’accéder à des analyses avancées sur la fraude.

Radar peut aider votre entreprise à :

  • Réduire les pertes liées à la fraude : Stripe traite plus de 1 000 milliards de dollars américains de paiements chaque année. Cette échelle unique permet à Radar d’identifier et de bloquer les tentatives de fraude avec précision, pour limiter les pertes financières.

  • Booster le chiffre d’affaires : les modèles d’IA de Radar sont entraînés à partir de données réelles de litiges, d’informations clients et de données de navigation. Ils permettent d’identifier les transactions à risque tout en réduisant les faux positifs, ce qui favorise l’augmentation des revenus.

  • Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez suivre vos performances en matière de fraude, définir des règles et accéder aux analyses depuis une plateforme unique, pour plus d’efficacité.

En savoir plus sur Stripe Radar, ou démarrer dès aujourd’hui.

Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service de support.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Radar

Radar

Luttez contre la fraude grâce à la puissance du réseau Stripe.

Documentation Radar

Utilisez Stripe Radar pour protéger votre entreprise contre la fraude.