Risques d’account takeover et mesures d’atténuation pour les entreprises

Les account takeovers (ATO) sont l’une des menaces les plus importantes pour la sécurité de votre entreprise en ligne. Ils se produisent lorsqu’un cybercriminel obtient un accès non autorisé à un compte d’entreprise, d’utilisateur ou d’employé. Cela se traduit souvent par une fraude liée à l’account takeover, qui est non seulement coûteuse, mais entraîne également la perte de la confiance des clients, des problèmes juridiques et des dommages à votre réputation.

Dans cet article, nous examinerons les risques liés aux account takeovers et les mesures que vous pouvez prendre pour atténuer ces risques.

Comprendre les account takeovers

Les cybercriminels peuvent prendre le contrôle d’un compte grâce à de nombreuses techniques, telles que le credential stuffing, le phishing, le social engineering, les attaques par force brute, et les attaques de malware. Les vulnérabilités des applications web, des systèmes d’exploitation et des protections de comptes d’utilisateurs sont des vecteurs d’attaque courants pour l’entrée dans un compte. Même si vos systèmes sont à jour et que vous pensez être sécurisé, les cybercriminels font constamment évoluer leurs techniques pour contourner votre configuration de cybersécurité existante.

La principale motivation derrière les ATO, comme pour la plupart des autres types de fraudes, est le gain financier. Par exemple, un cybercriminel qui accède à un compte d’utilisateur sur un site web de commerce électronique peut utiliser ce compte pour effectuer des achats non autorisés ou transférer des fonds. Cela entraînera inévitablement une rétrofacturation pour votre entreprise et peut causer des pertes financières importantes lorsque cela se produit à grande échelle. D’autres cybercriminels recherchent des données sensibles, des informations personnelles identifiables (IPI) ou des identifiants de connexion à vendre sur le dark web.

Les ATO se produisent dans un large éventail d’industries, notamment la finance, la santé, le commerce électronique et les réseaux sociaux. Bien qu’aucune industrie ne soit totalement à l’abri, les ATO sont généralement plus courants dans les industries comptant un grand nombre de comptes d’utilisateurs ou de clients, telles que les jeux, la vente au détail et les télécommunications. Dans l’ensemble, les cybercriminels ne sont pas particulièrement sélectifs dans leurs attaques d’ATO. N’importe qui peut être ciblé, bien que vous puissiez prévenir les attaques d’account takeover avec les bonnes mesures de sécurité.

Les conséquences des account takeovers

Tout propriétaire d’entreprise sait à quel point il est difficile de gagner la confiance des clients, et à quel point il est facile de la perdre. Il suffit d’une seule grande attaque ATO réussie pour perdre la confiance de vos clients. Ils peuvent hésiter à faire à nouveau des achats chez vous, ce qui peut entraîner une baisse soudaine et grave de vos revenus.

De plus, les cadres de protection des données, tels que le RGPD pour l’UE et le CCPA pour la Californie, imposent des amendes importantes aux entreprises qui ne parviennent pas à protéger adéquatement les informations personnelles de leurs utilisateurs. Si un cybercriminel accède aux détails d’un compte bancaire, aux numéros de Sécurité sociale ou aux données biométriques, vous êtes exposé à une amende. Avec le RGPD, vous pourriez être condamné à payer jusqu’à 4 % de votre chiffre d’affaires total de l’année fiscale précédente. Autant dire que les conséquences des ATO sont graves.

Ce qui met votre entreprise en danger d’account takeover

Plusieurs facteurs exposent votre entreprise à un risque d’ATO, mais voici les plus courants. La première étape pour réduire le risque de votre entreprise consiste à comprendre si l’un de ces facteurs s’applique :

• mots de passe faibles ou faciles à deviner ;
• pas de mises à jour régulières des mots de passe ;
• absence d’authentification multi-facteurs ;
• protocoles de chiffrement mal configurés.

Les techniques d’ATO utilisées par les attaquants

Attaques de phishing & tactiques de social engineering

Les cybercriminels utilisent souvent des tactiques de phishing ou de social engineering pour accéder aux comptes d’utilisateurs, d’employés ou d’entreprises, en utilisant des e-mails, des SMS ou des appels téléphoniques pour atteindre leurs victimes. Tous les e-mails suspects ne vont pas directement dans les spams, et ceux qui passent à travers les filtres antispam sont particulièrement dangereux.

Le phishing et le social engineering impliquent généralement de tromper les victimes pour qu’elles cliquent sur des liens vers des pages de connexion contrefaites, à partir desquelles les cybercriminels peuvent extraire les informations d’identification ou les informations personnelles saisies. Ils utilisent ensuite ces informations d’identification pour accéder au compte réel de la victime.

Credential stuffing & attaques par force brute

Les cybercriminels utilisent fréquemment des scripts automatisés ou des bots pour les attaques ATO contre les personnes qui utilisent le même mot de passe sur plusieurs comptes. Ils peuvent obtenir des informations d’identification provenant du dark web et les tester sur d’autres sites web (credential stuffing), ou laisser leurs bots parcourir un grand nombre de combinaisons de mots de passe couramment utilisées jusqu’à ce qu’ils trouvent le jackpot (attaque par force brute). Comme tout cela est automatisé, le cybercriminel peut prendre le contrôle de plusieurs comptes sans grand effort.

Techniques de malware & keylogging

Une attaque par malware, généralement effectuée via un cheval de Troie, un virus ou un ver, exploite les appareils qui fonctionnent avec des protocoles de sécurité obsolètes et des mises à jour de logiciels non effectuées. Un tel malware peut capturer les frappes au clavier, rediriger une victime vers des pages de connexion contrefaites ou obtenir des informations personnelles stockées localement sur l’ordinateur. Une fois installé, le malware peut être particulièrement difficile à détecter, car il est dans l’intérêt du criminel que son malware reste caché.

Mesures proactives de lutte contre les ATO

Outils de surveillance et de renseignement sur les menaces

Le bon outil de surveillance et de renseignement analysera les données d’activité de l’utilisateur pour détecter des modèles inhabituels, vous aidant ainsi à réduire sérieusement le risque d’un corporate account takeover. Souvent, grâce à l’utilisation de l’apprentissage automatique sophistiqué et de l’IA, le bon outil signalera immédiatement une activité suspecte et identifiera la fraude ATO. Les meilleurs outils empêcheront la fraude ATO avant même qu’un cybercriminel puisse pénétrer dans un compte.

Programmes de formation et de sensibilisation des employés

La formation des employés est essentielle pour réduire le risque d’ATO. En 2021, Microsoft a constaté une réduction de 50 % de la susceptibilité des employés au phishing après un entraînement par simulation. Une formation régulière et complète sensibilise les employés à la reconnaissance des attaques de phishing, des tactiques de social engineering et d’autres risques liés aux ATO. La formation des employés est cruciale, car les êtres humains sont généralement le maillon faible de la chaîne de sécurité.

Authentification multifacteurs (MFA)

La MFA rend beaucoup plus difficile pour quelqu’un de pénétrer dans un compte utilisateur, d’employé ou d’entreprise, car les utilisateurs doivent saisir un autre facteur d’authentification en plus de leurs identifiants. Les chances qu’un hacker ait accès aux deux sont faibles. La MFA est une couche de protection supplémentaire facile à mettre en œuvre et qui améliore considérablement la sécurité de vos comptes.

Exemples d’ATO

En 2019, le géant de l’automobile Toyota a perdu 37 millions de dollars à cause d’une compromission des courriels professionnels (Business E-mail Compromise, BEC). Les hackers se sont présentés comme un partenaire commercial d’une filiale de Toyota par le biais d’e-mails au service financier et comptable de Toyota, demandant un paiement de 37 millions de dollars. Étant donné que Toyota est une organisation aussi importante et que l’e-mail était convaincant, les employés ont envoyé l’argent. Ce n’est que lorsque des attaques BEC similaires ont commencé à se produire dans différentes filiales de Toyota que l’entreprise a réalisé qu’elle était sous attaque.

Dans un autre cas plus récent, des hackers ont attaqué la société pétrolière Suncor Energy en juin 2023 et ont bloqué l’utilisation des cartes de crédit ou de débit de leurs clients dans les stations-service Petro-Canada de l’entreprise. Les employés n’ont pas pu non plus se connecter à leurs propres comptes internes, ce qui suggère qu’une attaque ATO complète se déroulait dans toute l’entreprise.

Gardez vos comptes sécurisés avec la protection ATO DataDome

L’ATO présente un risque sérieux pour toute entreprise, mais il existe des moyens d’éviter de vous rendre vulnérable. Pour commencer, utilisez des mots de passe solides et régulièrement mis à jour avec une MFA pour vos comptes. Encouragez également vos utilisateurs ou clients à activer la MFA. Deuxièmement, formez régulièrement vos employés aux risques liés aux ATO, en particulier aux risques de phishing et aux tactiques de social engineering. Troisièmement, utilisez un outil de renseignement sur les menaces pour signaler une activité suspecte.

Mais il existe aussi un quatrième moyen de réduire le risque d’ATO. Étant donné que les cybercriminels comptent tellement sur les bots et les scripts automatisés pour accéder aux comptes, un logiciel de protection contre les account takeovers est extrêmement efficace. Un tel logiciel identifie et bloque ces bots pour les empêcher d’accéder à vos sites web, applications mobiles et API.

DataDome est une puissante solution de prévention de la fraude en ligne et des bots, qui bloque toutes les demandes provenant de bots malveillants en quelques millisecondes, sans affecter l’expérience de l’utilisateur. Les attaques ATO sont stoppées net par notre moteur alimenté par l’apprentissage automatique, empêchant même les cybercriminels de tenter de se connecter à un compte utilisateur volé. DataDome est facile à intégrer dans votre architecture technique existante et ne prend que quelques minutes à configurer. Essayez DataDome gratuitement avec un essai de 30 jours, ou réservez une démonstration du produit dès aujourd’hui.

Questions fréquemment posées sur les account takeovers

Quels sont les indicateurs courants d’un account takeover ?

Les indicateurs courants d’un ATO comprennent des modifications non autorisées des informations de compte, une activité de connexion inhabituelle à partir d’emplacements inconnus, des réinitialisations de mot de passe inattendues, des transactions ou achats non reconnus, ainsi que la réception de notifications ou d’e-mails concernant l’activité du compte que vous n’avez pas initiée. Restez vigilant et rapportez immédiatement toute activité suspecte pour protéger votre compte.

Quelle est la différence entre le vol d’identité et l’account takeover ?

Le vol d’identité implique le vol des informations personnelles de quelqu’un pour commettre une fraude, tandis que l’ATO se réfère à l’accès et au contrôle non autorisés d’un compte existant sur Internet. Le vol d’identité est plus large et peut conduire à divers crimes, tandis que l’ATO signifie spécifiquement l’utilisation non autorisée d’un compte en ligne en obtenant ses identifiants.

Quelle est la méthode typique des account takeovers ?

Les méthodes typiques de l’ATO incluent les attaques de phishing, où de faux e-mails ou sites web trompent les utilisateurs pour qu’ils révèlent leurs identifiants de connexion, ainsi que les attaques par force brute, qui essaient systématiquement différentes combinaisons de noms d’utilisateur et de mots de passe. D’autres méthodes incluent le social engineering, les infections par des malwares, le credential stuffing, et l’exploitation de mesures de sécurité faibles ou de la réutilisation de mots de passe par les utilisateurs.