DataDome

Détection des ATO : 5 stratégies pour la protection de votre entreprise

Table des matières
Kira Lempereur, Sr. Technical Writer
10 Apr, 2023
|
min

Imaginez que vous recevez un e-mail indiquant que vos informations de connexion à LinkedIn ont changé. Lorsque vous essayez de vous connecter à votre compte LinkedIn, vous apprenez que vous en avez été exclu. Puis, vous recevez un e-mail d’un inconnu qui demande une rançon si vous voulez récupérer votre compte. Si vous ne payez pas, votre compte sera supprimé. Cela s’appelle la fraude d’account takeover, et ce n’est pas un scénario imaginaire – cela est arrivé à de nombreux utilisateurs de LinkedIn en 2023.

Les account takeovers (ATO) font partie des formes les plus courantes de fraude en ligne. Elles affectent à la fois les entreprises et les particuliers, et reconnaître les premiers signes d’une attaque ATO peut faire la différence entre un désagrément mineur et des dommages financiers et réputationnels permanents pour votre entreprise. Dans cet article, nous plongeons dans les méthodes de détection et prévention des account takeovers que vous pouvez utiliser pour empêcher les ATO de menacer votre entreprise.

5 méthodes de détection des ATO :

  1. Biométrie comportementale
  2. Logiciel de détection des account takeovers
  3. Authentification multi-facteurs (MFA)
  4. Empreinte digitale de l’appareil
  5. Surveillance du Darknet

Les indicateurs d’une attaque par account takeover

Bien que les attaques de account takeover puissent être subtiles, elles ne se produisent pas sans signes annonciateurs. Voici les principaux indicateurs qu’une attaque d’account takeover est en cours :

  • Une activité inhabituelle du compte. Un changement significatif dans les modèles d’activité et des transactions provenant de lieux inconnus peuvent être un signe d’accès non autorisé à un compte. De grands volumes de téléchargements de données, des connexions depuis des pays étrangers, des achats massifs ou des actions soudaines qui s’écartent du modèle régulier sont des signaux d’alerte. Reconnaître ces changements est une première étape critique pour identifier une éventuelle violation et prendre les mesures appropriées.
  • Des échecs de tentatives de connexion. Plusieurs tentatives infructueuses de connexion peuvent suggérer qu’une personne non autorisée essaie d’accéder à un compte. Des tentatives répétées de connexion échouée sur une courte période, surtout depuis divers lieux ou lieux inhabituels, peuvent signaler une attaque ATO. Votre équipe de sécurité devrait envisager de prendre des mesures de protection.
  • Un changement dans le comportement de l’utilisateur. Des exemples incluent la connexion à des heures inhabituelles qui ne correspondent pas aux heures de connexion typiques de l’utilisateur ou l’accès à des parties du système/application que l’utilisateur n’utilise généralement pas. Ces changements peuvent suggérer que quelqu’un d’autre que l’utilisateur autorisé accède au compte.
  • Des modifications du compte. Des changements non autorisés aux détails critiques du compte sont souvent des signes évidents d’une possible account takeover. Des changements d’adresses e-mail, de mots de passe, de questions de sécurité ou de nouveaux liens vers des appareils inconnus doivent être traités avec une extrême prudence pour tout compte. Des changements comme ceux-ci précèdent souvent ou accompagnent les ATO et peuvent conduire à un accès non autorisé supplémentaire ou à un vol d’identité.
  • Des e-mails inattendus. Recevoir des e-mails pour des réinitialisations de mot de passe ou des confirmations d’actions que l’utilisateur n’a pas initiées est un autre signe clair d’attaques ATO. Quelqu’un essaie de modifier ou a déjà accédé au compte, et une action immédiate peut être nécessaire pour protéger votre entreprise contre les account takeovers.

5 méthodes pour détecter les account takeovers

1. Biométrie comportementale

Un bon logiciel de détection des account takeovers utilise la biométrie comportementale qui évalue les manières uniques dont un utilisateur interagit sur vos sites web et applications mobiles, de la dynamique de frappe au mouvement de la souris, en passant par les interactions sur écran tactile. Ces scans biométriques comportementaux fonctionnent généralement en continu et en temps réel, ce qui signifie que vous pouvez recevoir des alertes immédiates pour des comportements suspects d’ATO. Cette solution est simple à utiliser et vos utilisateurs ne remarqueront jamais sa présence.

Cependant, la biométrie comportementale a aussi des limites notables. D’une part, ce n’est pas parce qu’un utilisateur agit différemment qu’il est immédiatement suspect. Il peut avoir une affection physique, être fatigué ou simplement utiliser un appareil différent, tout cela pouvant entraîner des faux positifs. La surveillance constante impliquée dans la biométrie comportementale pourrait également soulever des préoccupations en matière de confidentialité des données ou aller à l’encontre de cadres de confidentialité des données comme le RGPD si vous n’informez pas vos utilisateurs. Équilibrer les avantages de cette mesure de sécurité avec ces limitations est une considération cruciale pour quiconque cherche à implémenter cette technologie.

2. Logiciel de détection des account takeovers

Le logiciel de détection des account takeovers est un moyen efficace d’arrêter les attaques ATO, car il est conçu pour reconnaître divers indicateurs d’une violation de compte en surveillant et en analysant en continu l’activité des utilisateurs pour détecter des anomalies. Comme il peut surveiller de nombreux comptes simultanément, c’est une solution évolutive qui fonctionne bien pour les petites et grandes entreprises.

Cela dit, un tel logiciel peut représenter un investissement important pour les petites entreprises. En fonction du logiciel, il peut également être difficile à mettre en œuvre et à maintenir. Enfin, tout comme avec la biométrie comportementale, il y a le risque de signaler des utilisateurs légitimes comme des acteurs malveillants.

3. Authentification multi-facteurs (MFA)

La MFA est une étape de sécurité supplémentaire qui demande aux utilisateurs de fournir une autre forme d’identification avant d’accéder à leur compte. Cela pourrait être quelque chose qu’ils connaissent, comme un mot de passe, ou quelque chose qu’ils possèdent, comme un smartphone ou une empreinte digitale. La MFA améliore considérablement la sécurité de tout compte et est indispensable pour tout compte d’entreprise.

Mais de nombreux utilisateurs considèrent la MFA comme un inconvénient et ne l’activent pas. Elle complique également le processus de connexion, car un utilisateur peut perdre son appareil MFA ou oublier son mot de passe MFA. Et la MFA n’est pas infaillible, en particulier lorsqu’elle est basée sur des SMS, que les pirates peuvent intercepter s’ils en font l’effort.Une menace croissante dans ce domaine est le SMS pumping, où des attaquants exploitent les systèmes de MFA en déclenchant un volume massif de demandes de codes à usage unique afin de générer des revenus via l’acheminement de SMS surtaxés.

4. Empreinte digitale de l’appareil

L’empreinte digitale de l’appareil est une technique de sécurité qui identifie les caractéristiques uniques de l’appareil d’un utilisateur – telles que le type de navigateur, la résolution d’écran et le système d’exploitation – pour détecter des appareils inconnus tentant d’accéder à un compte. C’est une option simple à utiliser, car elle fonctionne en arrière-plan et peut réduire considérablement la fraude en empêchant l’accès depuis des appareils non reconnus.

Cependant, des attaques ATO sophistiquées peuvent contourner la protection en usurpant les empreintes digitales des appareils. Cela soulève également des préoccupations en matière de confidentialité si vous n’informez pas correctement les utilisateurs, et peut augmenter les coûts généraux, car l’empreinte digitale de l’appareil nécessite le stockage et l’analyse de grandes quantités de données.

5. Surveillance du Darknet

La surveillance du Darknet implique de scanner le web profond pour détecter les identifiants divulgués et fournir aux entreprises des alertes si leurs données utilisateur apparaissent dans des lieux non autorisés. C’est une approche proactive de la sécurité qui permet aux entreprises d’agir avant même qu’une attaque ATO ne soit initiée. Elle peut également améliorer la confiance des utilisateurs, car cela démontre un engagement fort envers la sécurité et la protection de leurs données.

Mais les identifiants doivent d’abord être divulgués avant de pouvoir être détectés – donc ce n’est pas préventif. Cela nécessite également des ressources et une attention significatives, car le darknet est fluide et en constante évolution. Ne vous fiez pas exclusivement à la surveillance du darknet pour la détection et la prévention des ATO.

Commencez la détection des ATO avec DataDome

Voici le problème avec les attaques ATO : Elles ne sont pas effectuées manuellement. C’est trop de travail et trop difficile à faire manuellement. Les hackers créent et déploient des bots et des scripts de plus en plus avancés pour cibler les entreprises de leur choix. Bloquez les bots et vous bloquerez les attaques ATO.

DataDome se trouve à l’avant-garde de la détection et de la prévention des ATO car il se spécialise dans l’arrêt de tous les bots et scripts malveillants qui souhaitent demander l’accès à vos sites Web, applications mobiles et API. Il le fait en temps réel pour les bots simples et sophistiqués.

Cela fait de DataDome non seulement un excellent logiciel de prévention des account takeovers, mais également un logiciel de prévention de la fraude. Après tout, les attaques ATO ne sont pas les seules à être automatisées – les attaques DDoS, les attaques de credential stuffing, les attaques de scraping et presque toutes les autres menaces en ligne le sont également.

DataDome utilise l’IA pour surveiller en permanence les menaces entrantes, mettant à jour sa base de données mondiale de menaces immédiatement à chaque fois qu’elle rencontre une nouvelle menace. Le logiciel s’intègre facilement dans votre architecture technologique existante et ne prend que quelques minutes à installer. Notre Vulnerability Scan peut vous donner un aperçu des bots basiques atteignant vos sites Web, applications et/ou API. Pour détecter des menaces plus sophistiquées, commencez un essai gratuit de 30 jours.

FAQ

Quelle est la cause principale d’un account takeover?

Il existe de nombreuses façons pour un hacker de prendre le contrôle d’un compte, mais les causes courantes sont les informations volées lors de violations de données, les malwares installés sur un appareil, ou les attaques par force brute qui réussissent à cause d’un mot de passe faible ou couramment utilisé.

Comment puis-je prévenir les account takeover dans mon entreprise ?

Adoptez une approche multicouche. Utilisez un logiciel de détection d’account takeover, activez l’authentification multi-facteurs (MFA) pour tous les comptes d’entreprise, essayez de convaincre les utilisateurs d’activer la MFA, éduquez vos employés sur les indicateurs et les risques des attaques de account takeover, et révisez et mettez à jour régulièrement vos mesures de sécurité.

La MFA est-elle suffisante pour prévenir les account takeover ?

La MFA ajoute une couche de sécurité significative, mais elle n’est pas infaillible. Les hackers peuvent accéder à votre dispositif MFA, connaître votre mot de passe MFA ou intercepter un SMS MFA. Il est préférable d’utiliser la MFA en conjonction avec d’autres méthodes de prévention de account takeover pour prévenir efficacement les attaques de account takeover.

DataDome
Kira Lempereur
Sr. Technical Writer
Kira Lempereur est rédactrice technique senior chez DataDome et responsable du pôle LGBTQ+ de l'entreprise. Elle collabore avec les équipes chargées de la recherche sur les menaces, du marketing et des produits afin de créer du contenu visant à renforcer un leadership éclairé en matière de lutte contre les bots et la fraude en ligne. Kira possède plus de 6 ans d'expérience dans le secteur de la cybersécurité, allant des logiciels antivirus d'entreprise à la lutte contre les bots.

Articles liés