Pour créer un compte, un utilisateur doit fournir une combinaison d’adresse e-mail, de numéro de téléphone et de nom. Cependant, comme ces informations peuvent être forgées de toutes pièces en quelques secondes, elles ne fournissent que très peu d’indications utiles sur l’identité réelle de l’utilisateur. D’autres données sont bien plus pertinentes : l’appareil utilisé, le réseau d’origine, la façon dont l’utilisateur a navigué dans votre formulaire d’inscription, et bien plus encore.
L’évaluation du score de risque lié à l’identité est le processus de cybersécurité qui attribue un niveau de risque à une identité et transforme ces signaux secondaires en une décision concrète. Ci-dessous, nous expliquerons ce qu’est l’évaluation du score de risque lié à l’identité, pourquoi les règles statiques sont impuissantes face aux schémas d’abus modernes, et comment évaluer et piloter un système de scoring une fois déployé.
Points clés
L’évaluation du score de risque lié à l’identité analyse des dizaines de signaux simultanément plutôt que de s’appuyer sur un attribut unique. Il est donc beaucoup plus difficile pour les attaquants de la contourner que des ensembles de règles statiques.
L’activation de périodes d’essai, l’utilisation de codes promotionnels et les connexions aux comptes font partie des étapes clés où l’application d’un score de risque apporte la plus grande valeur.
Les équipes doivent systématiquement procéder à un ajustement continu des seuils et mettre en place des boucles de rétroaction lorsqu’elles déploient une plateforme de scoring.
Qu’est-ce que l’évaluation du score de risque lié à l’identité ?
L’évaluation du score de risque lié à l’identité attribue une valeur de risque numérique ou catégorielle à une tentative d’identification, en se basant sur le poids cumulé des signaux présents à ce moment précis. Plutôt que de se focaliser uniquement sur la validité de l’adresse e-mail de l’utilisateur, ce système analyse si l’ensemble de la tentative présente la cohérence propre à celle d’un utilisateur légitime.
Quels signaux alimentent généralement l’analyse d’identité ?
Aucun point de donnée ne suffit à lui seul pour déterminer la légitimité d’une inscription. Les plateformes d’analyse de l’identité et d’évaluation du score de risque agrègent des signaux répartis en cinq catégories distinctes :
Signaux liés à l’appareil
L’empreinte d’identification d’un appareil agrège la version du navigateur, les polices installées, la résolution de l’écran et les caractéristiques matérielles en un identifiant pseudonyme qui persiste d’une session à l’autre. Ainsi, un appareil associé à des cas passés de fraude ou d’abus est immédiatement signalé, même si les identifiants du compte changent. Les plateformes recherchent également des signes d’automatisation, tels que l’utilisation de navigateurs sans interface graphique, l’absence d’interfaces de programmation d’application (API) attendues, ou des combinaisons d’attributs qui n’apparaissent jamais sur les appareils grand public réels.
Signaux réseau
La réputation de l’adresse IP importe plus que l’adresse IP elle-même ; par exemple, il s’agit de savoir si elle est associée à un centre de données, à un fournisseur de réseau privé virtuel (VPN) connu, à des nœuds de sortie Tor ou à un réseau de proxys résidentiels que les cybercriminels utilisent pour imiter le trafic grand public ordinaire. La vélocité au niveau du réseau, comme 50 inscriptions provenant du même sous-réseau en une heure, constitue en soi un signal d’activité frauduleuse.
Biométrie comportementale
Le rythme de saisie au clavier, les mouvements de la souris, le temps passé sur chaque champ et le fait qu’un utilisateur copie-colle son adresse e-mail au lieu de la taper génèrent des schémas mesurables. Les bots et les outils automatisés produisent des signatures statistiquement distinctes de celles des humains, et la naturalisation de ces comportements reste un défi technique permanent pour les attaquants.
Signaux liés aux attributs d’identité
L’ancienneté de l’adresse e-mail, la réputation du domaine, sa correspondance avec les caractéristiques d’une adresse jetable, ainsi que le type de numéro de téléphone (par exemple, voix sur IP ou VoIP, ou fourni par un opérateur) sont des signaux faibles lorsqu’ils sont pris isolément, mais s’avèrent particulièrement significatifs lorsqu’ils sont combinés.
Lien entre comptes
Si cinq comptes partagent la même empreinte d’identification, ou si 20 comptes ont été créés à partir de la même plage d’adresses IP en une semaine, ces liens constituent des signaux en soi. Une plateforme bénéficiant d’une large couverture auprès de nombreuses entreprises peut détecter des schémas de fraude qu’un opérateur isolé ne pourrait jamais repérer de son côté.
Pourquoi les règles statiques échouent-elles là où l’évaluation du score de risque lié à l’identité réussit ?
Les règles statiques sont des cibles fixes. Les attaquants basculent vers des proxys résidentiels dès que les adresses IP de centres de données sont bloquées, passent à des domaines personnalisés lorsque les règles sur les e-mails jetables se déclenchent, et répartissent leur trafic sur plusieurs IP dès que les limites de fréquence entrent en vigueur.
Voici comment l’évaluation des risques remédie à ces modes de défaillance :
Décisions binaires sur des distributions continues
Le trafic réel s’inscrit sur un spectre allant du légitime au frauduleux, et la zone de chevauchement est vaste. Un utilisateur de VPN avec un historique propre et un comportement normal est bien différent d’un utilisateur de VPN naviguant via un proxy résidentiel signalé, affichant une vitesse de frappe semblable à celle d’un robot et utilisant une adresse e-mail créée il y a trois minutes. Une règle statique ne peut pas exprimer cette différence, alors qu’un score le peut.
Adaptation des attaquants
Lorsque les fraudeurs changent de tactique, un système basé sur des règles ne s’en aperçoit pas tant que quelqu’un n’a pas rédigé une nouvelle règle. En revanche, un système d’évaluation entraîné sur des schémas comportementaux peut détecter la nouvelle tactique comme une anomalie par rapport à sa référence de trafic légitime, et ce, souvent avant même qu’elle n’ait été explicitement identifiée.
La zone grise
De nombreux systèmes en production utilisent des règles strictes pour les signaux clairement éliminatoires, tels que les infrastructures de logiciels malveillants connues ou les correspondances avec des listes de sanctions, et s’appuient sur l’évaluation du score de risque pour tout le reste.
Dans quels cas l’évaluation du score de risque lié à l’identité est-elle importante ?
Les schémas d’abus suivent les utilisateurs tout au long de leur cycle de vie sur votre plateforme. L’évaluation du score de risque s’applique à chacun des moments suivants, là où l’identité est affirmée ou potentiellement exploitée.
Création de compte
Certaines cibles évidentes d’abus incluent l’exploitation abusive des offres gratuites, la création de fermes d’identifiants, les faux comptes d’avis et le pillage de codes promotionnels. L’attribution d’un score dès l’inscription constitue votre première, et parfois unique, opportunité de bloquer ces activités avant même que le compte ne devienne actif.
Activation d’essai gratuit
L’abus d’offres d’essai suit un schéma prévisible : créer un compte, activer un essai, l’épuiser, puis en créer un autre. L’évaluation du score de risque lors de l’activation de l’essai, en complément de celle effectuée à l’inscription, permet de repérer les utilisateurs qui ont réussi à passer entre les mailles du premier filet.
Utilisation des promotions et des parrainages
L’abus de codes promotionnels suit des schémas d’infrastructure bien précis. L’évaluation du score de risque au moment de l’utilisation du code permet de détecter les comptes qui ont passé l’étape de l’inscription avec succès, mais qui affichent désormais des comportements corrélés à des activités frauduleuses.
Connexion
La prise de contrôle de compte relève d’un modèle de menace différent de la fraude à la création de compte, mais les signaux se recoupent. Les tentatives de connexion anormales justifient l’application de leur propre couche d’évaluation des risques.
Certaines plateformes évaluent le risque en continu tout au long de la session. Un utilisateur qui passe avec succès l’étape de l’inscription, mais qui tente ensuite d’effectuer des appels à l’API à très haute fréquence, des exportations massives de données ou des paiements répétés en échec, verra son score réévalué en fonction de ce comportement. Stripe Radar attribue un score aux transactions en utilisant des signaux provenant de l’ensemble du réseau de Stripe, ce qui lui donne une visibilité sur des schémas de fraude que des entreprises individuelles ne pourraient pas détecter seules. Pour les entreprises qui conçoivent une protection à l’inscription connectée aux paiements Stripe, cette couche d’évaluation au moment du paiement fait office de dernier rempart contre la fraude ayant échappé aux contrôles précédents.
Comment évaluer une plateforme d’évaluation du score de risque lié à l’identité ?
Les différences entre les fournisseurs ne sont pas toujours évidentes à la lecture de leurs pages marketing. Pourtant, choisir la mauvaise plateforme peut soit bloquer des utilisateurs légitimes, soit laisser passer des abus.
Voici ce que vous devez rechercher dans une plateforme d’évaluation du score de risque :
Couverture et fraîcheur des signaux
Déterminez le nombre de types de signaux que la plateforme intègre et le niveau d’actualisation de ses données de réputation. Une plateforme s’appuyant sur des données de réputation IP obsolètes ou sur une couverture limitée en matière d’empreinte numérique des appareils générera des scores qui passeront à côté des schémas d’attaque modernes. Interrogez spécifiquement les fournisseurs sur leurs capacités de détection des proxys résidentiels et de biométrie comportementale ; ce sont des domaines dans lesquels les performances des plateformes varient considérablement.
Performance en temps réel
L’évaluation du score d’identité lors de l’inscription doit renvoyer un résultat avant même que l’utilisateur ne s’attende à une réponse. Une latence supérieure à quelques centaines de millisecondes commence à affecter le taux de conversion. Exigez des chiffres réels de latence au 99e percentile.
Précision et taux de faux positifs
Un système qui bloque 95 % de la fraude mais rejette à tort 3 % des utilisateurs légitimes peut présenter un bilan net négatif, selon la nature de votre activité. Les taux de faux positifs doivent être mesurés par rapport au profil spécifique de votre trafic. De plus, lorsque le système signale un compte, il doit être capable de vous indiquer quels signaux ont motivé sa décision.
Options d’intégration
Vérifiez si la plateforme propose des intégrations préconfigurées avec votre infrastructure actuelle et si elle fournit une API en temps réel compatible avec votre parcours d’inscription. Examinez également la manière dont elle gère la transmission des décisions vers vos systèmes d’authentification ou de paiement.
Outils d’exploitation
L’évaluation des risques nécessite des dashboards affichant la distribution des scores, des outils pour examiner les comptes signalés, la possibilité d’ajuster les seuils, ainsi que des mécanismes de rétroaction permettant aux décisions issues des examens humains d’améliorer le modèle. Les plateformes qui n’investissent pas dans cette infrastructure deviennent de moins en moins efficaces au fil du temps.
Comment piloter et ajuster un système d’évaluation du score de risque lié à l’identité au fil du temps ?
Le déploiement d’une plateforme d’analyse de l’identité et d’évaluation du score de risque n’est que le début d’un processus continu.
Voici ce qu’il faut savoir dès le départ :
Définir les seuils en fonction de la tolérance au risque
De nombreuses plateformes sont livrées avec des seuils de score par défaut qui déclenchent des blocages, des défis ou des validations. Ces valeurs par défaut étant calibrées pour un client moyen, elles nécessiteront probablement un réajustement. Exécutez le système en mode fantôme et analysez la distribution des scores par rapport à vos résultats connus. Cela vous indiquera où vos seuils doivent réellement se situer.
Surveiller les dérives
Le comportement des attaquants évolue, tout comme celui des utilisateurs légitimes, en particulier lorsque vous vous lancez sur de nouveaux marchés, modifiez votre produit ou lancez une campagne qui attire un trafic inhabituel. Des distributions de scores qui fluctuent sans changement correspondant du taux de fraude réel signalent que quelque chose a changé et nécessite une analyse.
Mettre en place des boucles de rétroaction
Le score n’est qu’une prédiction, tandis que les résultats réels constituent la réalité. Les plateformes capables d’intégrer ces retours d’expérience et d’ajuster leurs modèles deviennent nettement plus précises au fil du temps que celles qui en sont incapables.
Réévaluer régulièrement les seuils
Les équipes définissent souvent les seuils lors de la phase d’onboarding et ne les réévaluent pas pendant des mois. Pourtant, les taux de fraude évoluent, l’interface du produit change, et un seuil calibré pour le profil de trafic de l’année dernière peut s’avérer aujourd’hui trop agressif ou trop permissif. Mettez en place un cycle de révision régulier pour analyser la performance des scores par rapport aux résultats réels et d’ajuster les paramètres en conséquence.
Comment Stripe Radar peut vous aider ?
Stripe Radar s’appuie sur des modèles d’IA entraînés à partir des données issues du réseau mondial de Stripe pour détecter et prévenir la fraude. Ces modèles sont continuellement mis à jour pour tenir compte des nouvelles tendances, ce qui permet de protéger votre entreprise face à l’évolution des risques.
Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d’ajouter des règles personnalisées adaptées à des scénarios spécifiques et d’accéder à des analyses avancées sur la fraude.
Radar peut aider votre entreprise à :
Réduire les pertes liées à la fraude : Stripe traite plus de 1 000 milliards de dollars américains de paiements chaque année. Cette échelle unique permet à Radar d’identifier et de bloquer les tentatives de fraude avec précision, pour limiter les pertes financières.
Booster le chiffre d’affaires : les modèles d’IA de Radar sont entraînés à partir de données réelles de litiges, d’informations clients et de données de navigation. Ils permettent d’identifier les transactions à risque tout en réduisant les faux positifs, ce qui favorise l’augmentation des revenus.
Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez suivre vos performances en matière de fraude, définir des règles et accéder aux analyses depuis une plateforme unique, pour plus d’efficacité.
En savoir plus sur Stripe Radar, ou démarrer dès aujourd’hui.
Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.