Prévention des Account Takeovers : Comment prévenir les ATO et limiter la fraude

Principaux enseignements

• Les attaques d’account takeover ont augmenté de 24 % en glissement annuel en 2024, avec 29 % des adultes américains (77 millions de personnes) ayant été victimes de fraude ATO
• La prévention des account takeovers nécessite une défense multicouche : surveillance des credentials, limitation du taux, MFA et logiciel de détection basé sur l’IA
• Le credential stuffing et les attaques par force brute menées par des bots sont les méthodes d’ATO les plus courantes, favorisées par la réutilisation des mots de passe et les credentials divulgués
• Impact financier : la fraude par account takeover a coûté 38 milliards de dollars aux commerçants en 2023, un chiffre qui devrait atteindre 91 milliards de dollars d’ici 2028
• DataDome Account Protect utilise une détection basée sur l’intention pour bloquer les tentatives d’account takeover en moins de 2 millisecondes, avec une réduction de 99 % des ATO
• Les agents IA réduiront de 50 % le temps nécessaire pour exploiter les expositions de comptes d’ici 2027, rendant indispensable une protection contre la cyberfraude plus sophistiquée
• Meilleure prévention : utiliser un logiciel de détection alimenté par l’IA qui analyse les comportements, le device fingerprinting et les bases de données de credentials compromis

Pourquoi la prévention des account takeovers est-elle cruciale pour les entreprises ?

L’account takeover (ATO) est une forme de vol d’identité en ligne dans laquelle des attaquants volent les identifiants de compte ou des informations personnelles identifiables (PII), telles que les numéros de sécurité sociale, adresses et coordonnées bancaires, et les utilisent à des fins frauduleuses. En 2024, les attaques d’account takeover ont bondi de 24 % par rapport à l’année précédente, affectant 29 % des adultes américains, soit environ 77 millions de personnes. Avec un coût de 38 milliards de dollars pour les commerçants en 2023 et une projection à 91 milliards d’ici 2028, la prévention des ATO est devenue une priorité stratégique pour les entreprises du e-commerce, les services financiers et toute organisation gérant des comptes clients.

Lors d’une attaque d’account takeover, l’auteur utilise souvent des bad bots pour accéder au compte en ligne d’une vraie personne, souvent un compte e-commerce contenant des informations financières. Gartner prévoit qu’en 2027, les agents IA réduiront de 50 % le temps nécessaire pour exploiter les expositions de comptes, rendant la protection contre la cyberfraude sophistiquée plus essentielle que jamais.

Les conséquences : Que se passe-t-il pour votre entreprise lors d’un account takeover ?

Les attaquants détournent les comptes utilisateurs via un account takeover pour mener toutes sortes d’activités frauduleuses, changeant généralement le mot de passe du compte (ce qui le rend inaccessible à son propriétaire), ainsi que l’adresse de livraison pour effectuer des achats frauduleux et/ou retirer de l’argent du compte si possible.

Pour un site e-commerce, les account takeovers (en particulier lorsqu’ils sont répétés) peuvent avoir plusieurs conséquences négatives, telles que :

• Augmentation des litiges transactionnels
• Hausse des rétrofacturations
• Taux élevé d’attrition client
• Perte de confiance envers votre entreprise
• Atteinte à la réputation de votre marque

Impact réel : comment les ATO affectent les entreprises

« Le nombre de commandes frauduleuses et de cyberattaques a explosé depuis la pandémie, et il est impossible d’ignorer les menaces liées aux bots. DataDome nous soulage énormément, et je dors mieux la nuit », déclare Andrei Rebrov, CTO et cofondateur de Scentbird, confronté à une recrudescence des tentatives d’ATO ciblant leur plateforme e-commerce.

Un autre Directeur Marketing et Technologie d’une grande entreprise e-commerce rapporte : « Grâce à DataDome, le trafic bot a chuté à un niveau négligeable pour nous. Désormais, les attaques sont stoppées net avant de devenir un vrai problème. »

L’un des pires aspects des attaques ATO est que le propriétaire du site web est généralement incapable de détecter la présence d’une attaque sans une réclamation client (ou sans solution adaptée de protection contre les bots et la fraude en ligne).

Les rétrofacturations représentent un coût important pour les sites e-commerce, notamment ceux utilisant une passerelle de paiement tierce. Lorsque votre taux de rétrofacturation est élevé (c’est-à-dire que vous traitez de nombreuses rétrofacturations par rapport à votre volume total de ventes), votre prestataire de paiement peut augmenter vos frais de transaction, ce qui peut entraîner des pertes très importantes. C’est pourquoi la prévention des rétrofacturations sur carte bancaire est essentielle.

En fin de compte, les attaques d’account takeover peuvent être très préjudiciables — non seulement pour l’image de votre marque et la confiance de vos clients à long terme, mais aussi, plus directement, pour vos résultats financiers.

Techniques d’attaque : comment se produit un account takeover ?

Les attaquants peuvent utiliser différentes techniques pour tenter un account takeover. En voici quelques-unes des plus courantes :

Phishing

L’attaquant pousse ses victimes potentielles à divulguer volontairement leurs informations, en utilisant par exemple une fausse page de connexion ou des e-mails prétendant provenir d’un contact connu. Les attaques de phishing peuvent être très trompeuses et spécifiquement ciblées (spear phishing).

Les attaques de phishing continuent d’évoluer grâce à la technologie IA. Depuis le lancement de ChatGPT, les attaques de phishing ont augmenté de 4 151 %, avec la société de cybersécurité Barracuda ayant enregistré plus d’un million d’attaques rien que durant les deux premiers mois de 2025. L’IA générative rend le phishing encore plus convaincant en générant du texte, de la voix et même de la vidéo au ton naturel, imitant le comportement humain.

Credential Stuffing

L’utilisation d’identifiants volés ou divulgués provenant d’un site ou d’une plateforme pour tenter d’accéder à d’autres comptes, dans l’espoir que la victime ait réutilisé les mêmes identifiants, correspond au credential stuffing, l’un des moyens les plus courants de déclencher un ATO.

Attaque par force brute via des bots

L’attaquant déploie des bad bots pour lancer une attaque par force brute rapide et à grande échelle sur votre site ou application. Des bots sophistiqués peuvent prendre le contrôle d’un grand nombre de comptes avant d’être détectés, en faisant tourner des milliers voire des millions d’adresses IP. Il est essentiel de prévenir les attaques par force brute autant que possible.

Quelles sont les méthodes les plus efficaces pour prévenir les account takeovers ?

1. Vérifiez la compromission des credentials

Une étape clé dans la prévention des account takeovers et la prévention de la fraude e-commerce consiste à comparer les nouveaux identifiants utilisateurs avec une base de données de credentials compromis, afin de savoir si un utilisateur s’inscrit avec des identifiants déjà exposés. Nous recommandons également de vérifier régulièrement votre base utilisateurs pour détecter si des informations de comptes existants ont été compromises et alerter immédiatement les utilisateurs concernés. Soyez proactif, et avertissez les utilisateurs et les nouveaux inscrits dès que leurs credentials ont été compromis.

2. Définissez des limites de tentative de connexion

Vous pouvez fixer des limites de tentative de connexion basées sur le nom d’utilisateur, le device et l’adresse IP, en fonction du comportement habituel de vos utilisateurs, afin de prévenir les account takeovers. Vous pouvez également inclure des restrictions concernant l’utilisation de proxies, VPN et d’autres facteurs.

3. Envoyez des notifications en cas de modification de compte

Envoyez systématiquement à vos utilisateurs une notification pour tout changement effectué sur leur compte. Ainsi, ils peuvent détecter immédiatement si leur compte a été compromis. Cela permet de minimiser les risques, voire d’éviter des dommages supplémentaires, même si un attaquant parvient à contourner vos systèmes d’authentification.

4. Prévenez les account takeovers avec un logiciel dédié

Les attaques d’ATO laissent souvent des indices subtils (tentatives de connexion depuis différents devices, échecs de connexion répétés, etc.). Le moyen le plus simple de les empêcher est d’utiliser un logiciel spécialisé dans la protection contre la fraude sur les comptes. Recherchez une solution de cybersécurité capable d’analyser automatiquement tous les signaux contenus dans chaque requête adressée à votre site, application ou API, pour détecter les comportements suspects. Account Protect de DataDome s’appuie sur plusieurs couches d’apprentissage automatique pour analyser les requêtes et détecter les comportements malveillants en quelques millisecondes.

Comment détecter les attaques d’account takeover en temps réel ?

Voici quelques signes clés à surveiller pour détecter les tentatives d’ATO sur votre site web :

Adresses IP provenant de pays inhabituels

Une hausse soudaine du nombre d’adresses IP provenant d’un ou plusieurs pays inhabituels peut indiquer une tentative d’account takeover. L’attaquant ne connaît pas nécessairement l’emplacement d’origine du propriétaire du compte et ne pourra donc pas toujours usurper la bonne adresse IP. Soyez particulièrement attentif lorsqu’un compte change de localisation d’accès avant ou après une modification des credentials.

Plusieurs comptes modifiés avec les mêmes informations

Lorsqu’un attaquant prend le contrôle d’un compte, il modifie généralement des informations comme l’adresse e-mail ou le mot de passe, pour empêcher le propriétaire légitime d’y accéder. Si plusieurs comptes subissent des modifications similaires avec des données partagées (par exemple une même adresse e-mail), cela constitue un signal fort indiquant une attaque ATO sur votre site.

Modèles d’appareils inconnus

Les cybercriminels utilisent souvent le device spoofing pour masquer l’appareil utilisé, afin d’éviter que vous puissiez détecter qu’un même appareil tente d’accéder à plusieurs comptes. Votre système détectera ces appareils usurpés comme « inconnus ». Si vous observez un taux d’appareils inconnus plus élevé que d’habitude, c’est un signe courant d’attaque ATO en cours.

Plusieurs comptes accédés depuis un même appareil

Il arrive que les attaquants n’usurpent pas leur appareil lorsqu’ils se connectent à différents comptes. Ainsi, s’ils accèdent à plusieurs comptes volés, tous seront liés à un seul et même appareil. Attention cependant, certains appareils peuvent être légitimement partagés entre utilisateurs authentiques, comme des amis ou membres d’une même famille. Il est donc essentiel de croiser ce signal avec d’autres facteurs pour confirmer une attaque ATO.

Quelles sont les bonnes pratiques pour réduire les risques d’account takeover ?

Améliorez votre protection contre les ATO en incitant vos utilisateurs (clients comme employés) à utiliser des mots de passe forts et sécurisés — et à ne pas utiliser de credentials compromis. En matière de mot de passe, plus c’est long, plus c’est fort (mais aussi plus difficile à retenir). Demandez aux utilisateurs d’inclure un mélange de lettres minuscules et majuscules, de caractères spéciaux, de chiffres et de symboles, et rappellez-leur de ne pas utiliser d’informations personnelles telles que leur nom ou leur date de naissance.

Voici quelques mesures solides de prévention des account takeovers en entreprise à envisager :

1. Authentification à deux facteurs (2FA) ou multi-facteurs (MFA)

Vous pouvez intégrer la 2FA ou la MFA sur votre site web pour renforcer la protection contre les account takeovers, en demandant aux utilisateurs de fournir un second facteur d’authentification, en plus de leur mot de passe. Les bonnes pratiques consistent à utiliser un ou plusieurs des éléments suivants :

1. Une information qu’ils connaissent (et qui n’est pas publique), comme la réponse à une question de sécurité.
2. Un objet physique qu’ils possèdent, tel qu’un dongle, un token ou une carte que vous leur avez fournie et reconnue par votre système.
3. Une caractéristique physique unique, comme une empreinte digitale, une reconnaissance faciale ou un scan de l’iris.

Il n’est pas nécessaire de demander une 2FA à chaque connexion. Vous pouvez la rendre adaptative selon le niveau de risque perçu (authentification basée sur le risque). Par exemple, ne l’exiger que si un utilisateur tente d’accéder à son compte depuis un nouvel appareil ou une localisation inhabituelle.

2. Système de suivi

Lorsqu’un compte a été compromis, vous devez disposer de mesures permettant d’éviter d’autres attaques. En isolant efficacement un compte suspect (sandboxing), vous pouvez suivre toutes ses activités et le bloquer si nécessaire.

3. Web Application Firewall (WAF)

Bien qu’ils ne soient pas spécifiquement conçus pour détecter les account takeovers, les WAF peuvent être configurés pour aider à les bloquer via des règles ciblées. Ils peuvent détecter certains signes d’attaques par force brute (souvent utilisées dans les ATO) et d’autres activités de bots malveillants.

4. Détection basée sur l’IA avec supervision par des experts

Un logiciel de détection et de protection des account takeovers basé sur l’IA est la solution la plus efficace pour détecter et stopper en temps réel les tentatives sophistiquées d’ATO, qu’elles soient menées par des fraudeurs humains ou des bots. Des technologies avancées d’intelligence artificielle et d’apprentissage automatique sont nécessaires pour analyser les comportements, identifier les ATO complexes et surveiller efficacement votre site web, application mobile et/ou API.

Comment DataDome Account Protect prévient les account takeovers

DataDome Account Protect va au-delà de la vérification d’identité traditionnelle en se concentrant sur l’intention — car il ne s’agit pas seulement de savoir qui est réel, mais de comprendre ce que l’utilisateur cherche à faire. Notre moteur d’intelligence artificielle multicouche analyse des milliers de signaux pour détecter et bloquer les tentatives d’account takeover en moins de 2 millisecondes, sans aucun impact sur l’expérience des utilisateurs légitimes.

Résultats prouvés en matière de protection contre la cyberfraude

• Réduction de 99 % des account takeovers chez nos clients
• 95 % de temps économisé sur la gestion des litiges de fraude en ligne, permettant aux équipes sécurité de se concentrer sur des priorités stratégiques
• Des millions économisés en frais liés aux fraudes, aux rétrofacturations et aux litiges

« Quel gain de temps de ne plus passer des heures en réunion à vérifier chaque événement un par un dès qu’un doute survient ! » – Ingénieur sécurité senior dans une entreprise leader des services aux salariés ayant mis en œuvre DataDome pour lutter contre les account takeovers.

Conclusion

Détecter et prévenir efficacement les tentatives d’account takeover est essentiel pour tout site web ou entreprise proposant des comptes protégés par des identifiants. Lorsqu’un site est compromis, cela peut entraîner une perte de confiance des consommateurs et des dommages durables pour la réputation de la marque.

Des grandes entreprises aux PME, aucune organisation en ligne n’est à l’abri d’être ciblée par des attaques ATO. Il est donc crucial pour votre activité de sécuriser dès aujourd’hui vos dispositifs de prévention, de détection et de protection contre les account takeovers. Pour découvrir comment DataDome peut vous aider, réservez une démo de Account Protect dès maintenant.