Qu’est-ce que la fraude par piratage de compte ?

Rien qu’aux États-Unis, les pertes liées à la fraude par prise de contrôle de compte (ATO) sont estimées à 11 milliards de dollars en 2021, soit une augmentation de 90 % par rapport à 2020. Du côté de l’hexagone, la Banque de France a dénombré 7,2 millions de transactions frauduleuses en 2022, pour un montant qui atteint 1,2 milliard d’euros, tous types de fraudes confondus.

Notre enquête mondiale 2023 sur la conformité révèle que 39 % des personnes interrogées ont déclaré que le type de fraude qui les préoccupait le plus était la fraude par carte de crédit/débit, suivie de près par l’usurpation d’identité (36 %), ces deux types de fraude étant très proches de la fraude par prise de contrôle de compte (ATO).

La fraude et les escroqueries ne cessant d’évoluer, il est essentiel que les équipes en charge de la conformité renforcent leurs connaissances concernant des types de fraude spécifiques pour que les efforts d’atténuation soient à la fois ciblés et efficaces.

Qu’est-ce que la fraude par piratage de compte ou Account Takeover Fraud (ATO) ?

On parle de fraude par piratage de compte (ATO) lorsqu’un criminel prend le contrôle d’un compte en ligne d’une victime pour lui subtiliser des fonds ou des informations sensibles. Cela peut se produire lorsque les données de connexion d’un client, notamment son nom d’utilisateur et son mot de passe, sont utilisées sans autorisation pour accéder à son compte bancaire, à sa carte de crédit, à son compte de téléphonie mobile ou à un quelconque compte en lien avec un site marchand. Le cybercriminel effectue ensuite des transactions frauduleuses depuis le compte du client en utilisant des techniques sophistiquées pour passer inaperçu et éviter ainsi d’éveiller les soupçons de la victime ou de sa banque.

En général, les identifiants d’un client sont volés ou achetés sur le Dark Web pour prendre ensuite le contrôle d’un compte. Ce type de cybercrime semble être de plus en plus facile à commettre, comme le confirment plusieurs violations de données très médiatisées qui ont touché de grandes entreprises. Récemment en France, ce sont plus de 33 millions de données de santé, et près de 43 millions d’inscrits à France Travail qui ont été volés. Une fois les informations d’identification volées, le criminel peut escroquer financièrement la victime ou vendre ses données à un tiers. Un cybercriminel peut par exemple payer plus de 1000 dollars pour obtenir des identifiants lui permettant d’accéder illégalement à un compte PayPal.

En quoi le piratage de compte diffère de l’usurpation d’identité ?

Même si la fraude par piratage de compte et l’usurpation d’identité sont similaires, les concepts ne sont pas pour autant interchangeables. En effet, dans le cas d’une ATO, les informations d’identification de la victime (nom d’utilisateur et/ou mot de passe) sont volées à des fins lucratives. Dans le cas d’une usurpation d’identité, le cybercriminel accède généralement à certaines données du client, mais pas à ses identifiants de connexion.

Les deux types de fraude sont cependant étroitement liés. En effet, le cabinet d’analystes Aite Novarica a constaté que 64 % des consommateurs américains ayant subi une usurpation d’identité en 2021 ont également été victimes d’une fraude par prise de contrôle de leur compte. Chaque année en France, plus de 400 000 Français sont victimes d’usurpation d’identité.

Quelles sont les méthodes utilisées lors d’une fraude par piratage de compte ?

Les méthodes classiques d’ATO sont notamment :

• Le bourrage d’identifiants : Dans ce cas, les fraudeurs utilisent des outils automatisés, ou bien des bots, pour parcourir des listes ou des bases de données afin de trouver une correspondance. Lorsque des personnes utilisent le même nom d’utilisateur et le même mot de passe chez plusieurs fournisseurs de services, il est plus facile pour les criminels d’accéder illégalement aux comptes d’un client. Ce type de cybercriminalité est également connu sous le nom de nettoyage de listes, attaque par rejeu ou pulvérisation de mots de passe. 
• Les attaques par force brute : Dans le cas d’une attaque par force brute, un cybercriminel utilise des robots pour tenter de pirater des comptes en essayant plusieurs mots de passe différents sur un même site. Cette méthode est similaire à celle du bourrage d’identifiants, mais avec plus d’approximation. Lorsque les bots utilisent des mots aléatoires pour tenter de deviner le mot de passe d’un client, on parle d’attaque par dictionnaire.
• L’échange de cartes SIM : Cet échange est une forme d’ingénierie sociale au cours de laquelle un criminel transfère le numéro de téléphone de la victime sur sa propre carte SIM. Il peut dès lors accéder notamment aux applications bancaires mobiles de la victime et intercepter les mesures de sécurité telles que les mots de passe à usage unique (OTP). Il peut en outre accéder à toutes les données de la carte SIM, ce qui lui permet de découvrir d’autres mots de passe ou des informations personnelles identifiables (IPI).
• Le hameçonnage et l’ingénierie sociale : On estime que 22 % des Américains ont été victimes d’une fraude par prise de contrôle de compte, les méthodes les plus courantes étant le hameçonnage et l’ingénierie sociale. Les fraudeurs utilisent des informations facilement accessibles en ligne pour inciter les victimes à révéler leurs informations personnelles. Ils utilisent ensuite ces informations pour commettre un vol d’identité et prendre ensuite le contrôle d’un compte. En outre, les criminels peuvent envoyer des emails à vos contacts pour tenter d’escroquer également ces derniers.
• Les attaques de type Man-in-the-Middle : Une attaque de type Man-in-the-Middle (MITM) ou « Attaque de l’homme du milieu » est généralement menée contre des personnes qui utilisent des points d’accès publics lorsqu’elles sont en déplacement. Des acteurs malveillants peuvent déguiser leur réseau en point d’accès public et voler ainsi les données de paiement de victimes qui ne se doutent de rien. C’est pourquoi de nombreux établissements financiers encouragent leurs clients à ne pas réaliser de transactions financières depuis des points d’accès Wi-Fi publics.
• Les logiciels malveillants : Les criminels adeptes de la fraude par prise de contrôle de compte sont de plus en plus experts, certains utilisant désormais des logiciels malveillants pour intercepter les mots de passe à usage unique (OTP).

Comment détecter une fraude par piratage de compte ?

Alors que les ventes en ligne au niveau mondial devraient atteindre 8100 milliards de dollars d’ici 2026, il n’a jamais été aussi important d’anticiper les tendances, les technologies et les comportements en matière de cybercriminalité.

Les professionnels de la conformité et de la lutte contre la fraude qui opèrent dans les établissements financiers doivent connaître les signaux d’alerte liés à cette pratique et être formés à la détection et au signalement des activités illégales. Les équipes chargées de lutter contre la fraude et le blanchiment doivent collaborer pour partager leurs informations afin de garantir un niveau de protection élevé contre les prise de contrôle de compte. Une approche associant la lutte contre la fraude et le blanchiment d’argent (FRAML) peut faciliter une détection précoce, améliorer les performances et aider les professionnels à garder une longueur d’avance sur les nouvelles typologies criminelles.

Exemples de signaux qui doivent alerter sur une prise de contrôle de compte :

• Des tentatives de connexion multiples
• De nombreuses demandes de changement de mot de passe
• Des modifications de l’équipement de secours ou de l’adresse électronique où sont envoyés les mots de passe à usage unique
• La désactivation des notifications
• La modification des coordonnées, y compris de l’adresse postale et du code postal
• La création d’un nouveau bénéficiaire ou d’un nouvel utilisateur autorisé
• La demande d’envoi de cartes de crédit ou de chéquiers à une nouvelle adresse

Même si aucun signal d’alerte ne permet de savoir si un compte a été compromis, les établissements doivent examiner les faits et circonstances propres à chaque transaction dans le cadre d’une approche de la conformité fondée sur le risque.

Comment les entreprises peuvent se protéger d’une fraude par piratage de leurs comptes ?

Les organismes financiers utilisent différentes méthodes pour protéger les comptes contre un piratage. Ainsi, nombreux sont établissements qui :

• Encouragent leurs clients à pratiquer une bonne hygiène en matière de mots de passe, à savoir changer les mots de passe régulièrement, utiliser un service de chiffrement du gestionnaire de mots de passe ou encore éviter d’utiliser le même mot de passe sur plusieurs sites
• Alertent les clients si leur nom d’utilisateur ou leur mot de passe a été compromis dans le cadre d’une violation de données
• Proposent de contacter les clients avant que leur limite de crédit ne soit augmentée
• Exigent de leurs clients qu’ils demandent une augmentation de leur limite de crédit en se rendant dans une agence ou par téléphone plutôt qu’en ligne
• Recommandent à leurs clients d’activer l’authentification multifactorielle (AMF) 
• Envoient un courriel et/ou un SMS suite à une modification
• Intègrent des alertes à la fraude à des moments pertinents du parcours du client
• Utilisent des méthodes telles que les CAPTCHA pour repérer et bloquer les robots

Les cybercriminels conçoivent et adaptent en continu de nouvelles méthodes ATO. Les établissements peuvent recourir à des outils de détection de la fraude pour rechercher des caractéristiques et identifier des risques en temps réel. Les solutions de filtrage des clients et de supervision des transactions qui s’appuient sur l’intelligence artificielle permettent de comparer le comportement classique d’un client avec son comportement à un moment précis pour identifier et bloquer toute activité suspecte. À l’avenir, la biométrie pourrait aussi jouer un rôle clé dans la protection contre la fraude par prise de contrôle de compte.