DataDome

Statistiques mondiales sur la fraude par Account Takeover pour l’année 2023

Table des matières
Paige Tester, Director of Content Marketing
1 Apr, 2023
|
min

L’économie mondiale est confrontée à une forte inflation, à des taux de croissance faibles et à des événements géopolitiques comme la guerre entre la Russie et l’Ukraine, qui augmentent le risque d’une nouvelle instabilité financière et économique dans le monde. Dans ces conditions difficiles, la dernière chose dont votre entreprise a besoin est la fraude par account takeover.

Il ne s’agit pas d’un simple discours alarmiste. Plusieurs études et rapports menés au fil des ans ont montré à la fois la prévalence et le risque de la fraude par account takeover (ATO) pour les entreprises et les individus. Cet article aborde les conclusions de certaines de ces études et rapports. Il explique également quel impact la fraude ATO peut avoir sur votre entreprise, ce qui vous expose au risque de fraude ATO, et comment vous pouvez l’empêcher de se produire.

Les 5 meilleures façons d’éviter les account takeover :

  1. Utiliser un logiciel de détection et de prévention des account takeovers
  2. Utiliser des mots de passe forts et une authentification multi-facteurs
  3. Former vos employés
  4. Être prudents avec les contrôles d’accès
  5. Assurer la sécurité des applications tierces

Statistiques mondiales sur l’account takeover (ATO)

Un account takeover se produit lorsqu’un pirate informatique obtient un accès non autorisé au compte d’un individu ou d’une entreprise. Il utilise ensuite ce compte pour voler l’identité de quelqu’un, effectuer des transactions frauduleuses, vendre des données de compte sur le dark web, détruire la réputation d’une entreprise, etc.

En 2022, la Federal Trade Commission (FTC) a reçu plus de 725 000 signalements d’escroqueries par imposture, où un criminel se fait passer pour quelqu’un d’autre afin de voler de l’argent ou des informations. Bien que ce chiffre soit en baisse par rapport au pic de près d’un million de signalements en 2021, le montant total d’argent perdu dans des escroqueries par imposture était le plus élevé depuis le début des mesures en 2018 : les consommateurs ont perdu 2,67 millions de dollars en 2022, contre 2,4 millions en 2021.

Les escroqueries à l’imposteur ne sont possibles que parce qu’un pirate informatique a obtenu l’accès au compte d’une autre personne par le biais d’une fraude à l’ATO. Elles vont de pair avec le vol d’identité, où un attaquant se fait passer pour quelqu’un d’autre pour créer un nouveau compte. Avec les escroqueries à l’imposture, elles représentaient 35,62 % des 5,2 millions de rapports de fraude (p. 7 du PDF) reçus par la FTC en 2022.

Dans les cas d’escroqueries par imposture et de vol d’identité, c’est une entreprise qui a été escroquée à l’autre bout du fil. Les entreprises ne sont souvent pas aussi bien protégées légalement que les individus contre la fraude ATO et peuvent subir des dommages importants si elles ne sont pas protégées (nous reviendrons sur ce point plus loin dans l’article).

États américains ayant subi les pertes les plus importantes à cause de l’ATO

Les trois États américains qui ont enregistré le plus grand nombre de déclarations de vol d’identité en 2022 sont la Californie, le Texas et la Floride. Mais c’est surtout parce qu’un grand nombre d’Américains y vivent. Après ajustement en fonction de la population, les dix États qui ont été les plus touchés par le vol d’identité sont (p. 21 du PDF) :

      1. la Géorgie
      2. la Louisiane
      3. la Floride
      4. le Delaware
      5. le Nevada
      6. le Texas
      7. la Pennsylvanie
      8. l’Alabama
      9. la Caroline du Sud
      10. le Mississippi

Tous les pays sont confrontés à la fraude ATO

La fraude ATO est un problème mondial dont souffrent les entreprises de tous les pays. Ceux qui ont un PIB élevé connaissent davantage de fraudes par account takeover, car il y a plus d’argent à voler (ou parce que les données sont plus facilement disponibles). Par exemple, au premier semestre 2022, UK Finance a enregistré 34 114 cas d’usurpation d’identité de carte, pour une perte brute de 21,4 millions de livres sterling (25 millions d’euros). Il s’agit des chiffres les plus élevés depuis le second semestre 2018 (p. 13 du PDF).

L’Union européenne n’échappe pas non plus à la fraude ATO. Les données de Finanso montrent que l’usurpation d’identité est le deuxième type d’attaque frauduleuse le plus courant en Europe, après la fraude monétaire. Un Européen sur cinq a été victime de vol d’identité entre 2020 et 2022. Une fois de plus, pour chaque personne victime d’une usurpation d’identité, il y a une entreprise qui subira les conséquences décrites ci-dessous.

Impact et conséquences de la fraude par account takeover sur les entreprises

Parce que l’account takeover est un terme très général, différents types d’account takeovers portent des noms différents. C’est pourquoi il est parfois difficile de comprendre réellement à quel point l’ATO peut être dommageable : parfois, on l’appelle simplement autrement. Par exemple, le FBI a rapporté en 2022 que les entreprises et les individus ont perdu 43 milliards de dollars entre 2013 et 2021 à cause du Business Email Compromise/Email Account Compromise (BEC/EAC). Il s’agit d’un terme pour un sous-ensemble de la fraude ATO.

C’est également le cas pour le tristement célèbre piratage de Twitter en 2020, où les comptes de célébrités telles qu’Elon Musk, Bill Gates, Jeff Bezos et Barack Obama, ainsi que ceux d’entreprises comme Apple et Uber, ont été piratés. Les pirates ont envoyé un message d’arnaque depuis ces comptes réclamant des Bitcoins (BTC). Plus de 320 personnes ont répondu et envoyé environ douze BTC à l’adresse (soit près de 260 000 dollars au moment de la rédaction). Il s’agissait là aussi d’un type de fraude ATO.

La liste des exemples pourrait continuer. En général, que ce soit la prise de contrôle d’un compte d’utilisateur ou d’un compte d’entreprise, l’impact et les conséquences de la fraude par account takeover se répartissent dans les cinq catégories suivantes :

    • Pertes financières directes : lorsqu’un pirate informatique accède à un compte financier d’entreprise et déplace l’argent de votre entreprise avant que vous ne puissiez l’arrêter. Ou encore, lorsqu’un pirate accède à une carte de crédit d’entreprise et achète des biens ou services avec.
    • Frais de réglementation : il y a de fortes chances que vous soyez soumis à un cadre juridique qui protège la confidentialité et la sécurité des données de vos utilisateurs. Si vous perdez ces données à cause de la fraude ATO lors d’une violation de données, vous risquez de payer des amendes qui, dans le cas du RGPD, peuvent coûter jusqu’à 4 % du chiffre d’affaires annuel de votre entreprise.
    • Atteinte à la réputation : les dommages causés à la réputation par un account takeover peuvent coûter beaucoup plus cher que les pertes financières directes auxquelles vous êtes exposé. Lorsqu’un utilisateur de l’application de messagerie vidéo Loom a signalé en mars 2023 qu’il s’était connecté au compte de quelqu’un d’autre au lieu du sien, cela a déclenché une panique sur Twitter qui a immédiatement poussé les utilisateurs de Loom à chercher d’autres solutions.
    • Perturbations opérationnelles : pour continuer sur l’exemple de Loom, le service a été rapidement mis hors ligne pendant plusieurs heures alors que toute l’entreprise s’efforçait de comprendre ce qu’ils appelaient « un incident critique ». Toute entreprise victime de fraude ATO sous quelque forme que ce soit sera confrontée à des perturbations opérationnelles immédiates et graves.

Secteurs d’activité les plus exposés à la fraude ATO

En dressant la liste des secteurs les plus exposés à la fraude à l’ATO, les entreprises qui n’appartiennent pas à ces secteurs s’imaginent qu’elles sont tirées d’affaire. Ce n’est pas le cas. Toutes les entreprises ont des comptes d’entreprise, même si ce ne sont que des comptes bancaires. Cela signifie que toutes les entreprises sont à risque de fraude ATO et doivent se protéger contre celle-ci.

Cependant, certains secteurs sont plus exposés que d’autres. Les secteurs où les entreprises ont généralement de nombreux comptes utilisateurs, comme les médias sociaux, présentent un risque élevé. Les secteurs où les entreprises stockent des données sensibles numériquement, comme la santé ou la finance, sont également à haut risque. Les secteyrs où les entreprises s’appuient sur des biens et services numériques, comme le commerce électronique ou la vente au détail, sont aussi à haut risque.

Ce qui expose les entreprises aux risques d’attaques ATO

Les entreprises croient parfois que le risque d’attaques ATO est dû à une mauvaise configuration technique difficile à comprendre pour quiconque n’est pas un technicien. S’il est possible que les pirates trouvent une entrée de cette manière, la raison pour laquelle ces derniers accèdent aux comptes d’entreprise ou d’utilisateur est souvent beaucoup plus simple : des mots de passe faibles.

Par exemple, Chick-fil-A a subi une violation de données début 2023 où 71 000 comptes clients ont été piratés. À l’aide de bots automatisés, les pirates ont pu s’introduire dans les comptes qui avaient des mots de passe faibles et n’étaient pas protégés par une authentification multi-facteurs. Les pirates ont volé les noms d’utilisateur, les adresses e-mail et les numéros de carte de crédit.

Une autre façon pour les attaquants d’accéder aux comptes est l’hameçonnage, ou phishing, où ils incitent un employé ou un utilisateur à donner des informations confidentielles, se faisant souvent passer pour un cadre supérieur de l’entreprise qu’ils cherchent à infiltrer. Cela peut ne pas fonctionner pour la plupart des employés, mais il suffit d’une seule victime pour réussir.

D’autres menaces de sécurité liées aux account takeovers sont les infections par des logiciels malveillants que les pirates injectent dans chaque couche de votre architecture technique, les applications tierces non sécurisées qui sont souvent des portes d’entrée vers vos propres systèmes, et les employés mécontents qui deviennent des voyous et partagent des informations sensibles avec des pirates ou commettent eux-mêmes des fraudes ATO.

Comment les entreprises peuvent-elles prévenir la fraude par account takeover ?

Bien que la fraude ATO soit effrayante, la prévention de l’account takeover n’est pas excessivement compliquée ou technique. Quelques bonnes pratiques simples réduiront considérablement vos chances d’être ciblé. Après tout, il existe encore un grand nombre d’entreprises qui ne se protègent pas du tout contre la fraude ATO. Ce sont ces entreprises que les pirates préfèrent cibler. Protégez-vous correctement et ils ne vous cibleront pas.

Utiliser un logiciel de détection et de prévention d’account takeover

Le logiciel de prévention d’account takeover est de loin la meilleure façon d’arrêter net la fraude ATO. Les pirates ne devinent pas les détails de connexion manuellement. Ils dépendent fortement de l’automatisation pour identifier et attaquer leurs cibles, et le font souvent pour des dizaines de milliers de comptes en même temps. Cela n’est possible qu’avec des bots.

Le bon logiciel de prévention ATO bloque ces menaces ATO en temps réel pour tous vos points de terminaison, que ce soit votre site web, votre application mobile ou votre API. Cela présente l’avantage d’arrêter non seulement la fraude ATO, mais aussi tous les autres types de fraude qui reposent sur des moyens automatisés, tels que le scalping, les attaques DDoS, et le web scraping.

Utiliser des mots de passe forts et l’authentification à plusieurs facteurs

Les comptes avec des mots de passe faibles invitent au piratage. Tous vos comptes d’entreprise doivent avoir des mots de passe forts. Un mot de passe fort signifie un mot de passe complexe d’au moins quinze caractères. Tout ce qui est en dessous de huit caractères peut être brisé en quelques heures au plus, quelle que soit sa complexité.

Il en va de même pour l’authentification multifactorielle(MFA). Elle doit être activée partout où c’est possible. Même si un pirate devine votre mot de passe, la MFA ajoute une autre couche de sécurité impossible à franchir à moins que le pirate n’ait également accès à l’appareil que vous utilisez pour la MFA (ce qui est peu probable).

En ce qui concerne vos utilisateurs, vous pouvez les inciter à utiliser des mots de passe forts et la MFA avec des invites appropriées et à des notifications fréquentes par e-mail. Il est judicieux de le faire, car ils vous tiendront responsable même si c’est eux qui n’ont pas activé la MFA ou qui ont configuré un compte avec un mot de passe faible.

Former vos employés

Tous vos employés doivent avoir une bonne compréhension de ce qu’est la fraude ATO, de ce qu’ils doivent surveiller, et de ce qu’ils devraient faire lorsqu’ils accèdent à leurs comptes. Cela concerne particulièrement les employés en première ligne et ceux qui interagissent avec tout type de compte, qu’il soit d’utilisateur ou d’entreprise.

La formation des employés doit porter sur la manière de repérer les emails de phishing, les faux sites web et les URL suspectes. Elle devrait également parler de l’importance de mettre à jour le matériel de l’entreprise et de ce qu’il faut faire lorsqu’on travaille à distance (utiliser un gestionnaire de mots de passe, se connecter à un VPN). De telles formations doivent être organisées régulièrement, au moins une ou deux fois par an.

Attention aux contrôles d’accès

De nombreuses entreprises ne font pas attention aux personnes auxquelles elles donnent accès aux comptes de l’entreprise. Par exemple, il est courant pour les startups de partager un compte entre plusieurs employés, simplement parce que c’est souvent beaucoup moins cher. Il s’agit là d’un risque important pour la sécurité, car l’ensemble de l’entreprise dépend alors d’une seule porte d’accès à un compte d’entreprise. Si un pirate informatique y accède, le compte est pratiquement perdu.

En général, les entreprises doivent être prudentes avec leurs contrôles d’accès. Toutes les personnes qui demandent un accès n’en ont pas forcément besoin. Souvent, elles ne demandent qu’un élément d’information qui peut être obtenu par d’autres moyens. Veillez à ce que vos contrôles d’accès soient aussi stricts que possible sans qu’ils ne deviennent trop gênants.

Garantir la sécurité des applications tierces

Chaque entreprise dépend d’applications tierces pour certains de ses processus. C’est inévitable. Vous devez vous assurer que vous vérifiez la sécurité de chaque application tierce, surtout lorsque vous leur confiez des données sensibles. Après tout, selon la plupart des cadres réglementaires, vous êtes toujours responsable de ces données, même en cas de violation de la sécurité chez eux.

La plupart du temps, assurer la sécurité des applications tierces signifie les maintenir à jour avec les derniers correctifs et les surveiller pour détecter toute activité suspecte sur les comptes ou le réseau. Idéalement, vous disposez d’une solution de secours que vous pouvez activer pour déconnecter immédiatement l’application de vos systèmes.

Commencez à prévenir et détecter la fraude par account takeover avec DataDome

DataDome est un logiciel de prévention de la fraude qui détecte et prévient la fraude ATO. En particulier, il identifie et bloque toute activité malveillante de bots en temps réel, arrêtant non seulement la fraude ATO, mais aussi toute fraude basée sur l’automatisation. Il le fait pour tous vos points de terminaison, qu’il s’agisse de vos sites web, applications mobiles ou API.

DataDome est léger et facile à installer, quelle que soit la technologie que vous utilisez actuellement. C’est une solution clé en main avec une équipe de support dédiée disponible 24h/24 et 7j/7 pour vous aider et répondre à vos questions. Si vous êtes curieux de savoir comment fonctionne DataDome, planifiez une démo en direct dès aujourd’hui.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés