DataDome

Fraude par Account Takeover (ATO) : Comment elle se produit et comment la prévenir

Table des matières
Account fraud
22 Apr, 2024
|
min

Qu’est-ce qu’un Account Takeover ?

Un account takeover (ATO) se produit lorsque des criminels obtiennent l’accès au compte en ligne d’une personne (par des attaques comme le credential stuffing). Généralement, l’attaquant modifie les identifiants de connexion pour empêcher le propriétaire original d’accéder à son propre compte. Cette attaque a souvent un impact plus important sur toute entreprise disposant de comptes utilisateurs ou de détails stockés en ligne (par exemple, les comptes sur les réseaux sociaux), et est difficile à détecter.

Le 15 juillet 2020, Barack Obama a décidé de promouvoir la monnaie Bitcoin. Dans un tweet, il a promis que si vous lui envoyiez n’importe quel montant en bitcoins, il vous en renverrait le double. Il ne fut cependant pas le seul à se montrer aussi généreux : le même jour, Kanye West, Bill Gates, Warren Buffett, Joe Biden, Uber, Apple, Wendy’s et les propriétaires de plus d’une centaine d’autres comptes Twitter très en vue ont également publié des tweets similaires.

Or, ces messages ont en réalité été publiés par l’entremise d’une puissante attaque par account takeover visant le réseau Twitter, lequel s’est véritablement retrouvé dans la panade. Jamais, par le passé, l’entreprise n’avait fait l’objet d’un piratage d’une telle ampleur. À titre de solution temporaire, elle a dû bloquer tous ses comptes vérifiés, y compris ceux de quelques-uns de ses influenceurs les plus notables, les empêchant ainsi d’envoyer des tweets. Résultat : pendant plusieurs jours, cette affaire d’abus de confiance à grande échelle a fait la une des médias.

Le PDG de Twitter s’excusant publiquement après l’attaque

Les entreprises de réseaux sociaux telles que Twitter sont pourtant loin d’être les seules à subir des attaques par account takeover, ou ATO. Toute société qui exploite une application ou un site Web permettant à ses utilisateurs de créer des comptes est exposée à ce type de menace, notamment si des données relatives à cartes de crédit ou de débit y sont enregistrées. Qui plus est, une attaque ATO n’est généralement pas aussi facilement repérable que celle qui a été commise sur Twitter. Les attaquants ont en effet tendance à rester sous le radar jusqu’à ce qu’il soit trop tard, après quoi ils sont susceptibles de vous nuire beaucoup plus que cela n’a été le cas de ce réseau particulier.

Comment fonctionne une attaque par account takeover ?

Nous savons déjà que les hackers achètent des identifiants volés sur des marchés criminels en ligne. Mais que font-ils de ces informations ? Comment trouvent-ils les bons sites à attaquer ? Comment utilisent-ils ces identifiants pour s’emparer des comptes d’autres personnes ? Bien que leurs méthodes varient grandement, presque tous les hackers ont un point commun : ils utilisent des bots malveillants pour automatiser une grande partie de leur travail.

Comment les attaquants ATO accèdent-ils aux comptes ?

  1. Les hackers achètent des centaines de milliers d’identifiants de connexion volés sur le dark web.
  2. Ils programment des bots pour attaquer les points d’entrée de connexion des sites web ayant des comptes utilisateurs de valeur.
  3. Les bots testent très rapidement toutes les combinaisons identifiant-mot de passe volées (« credential stuffing »).
  4. Les hackers accèdent aux comptes créés avec des identifiants réutilisés.
  5. Les hackers collectent des données personnelles et/ou exploitent des moyens de paiement, points de fidélité, cartes-cadeaux, etc., associés aux comptes piratés.

Les bots malveillants cibleront des points de contact spécifiques lorsqu’ils souhaitent s’infiltrer dans des comptes utilisateurs. Tous les points de contact listés ci-dessous sont particulièrement vulnérables sur vos sites web, applications mobiles et APIs :

  • Login
  • Panier
  • Paiement

Tout ce qui vous semble inhabituel autour de ces points de contact pourrait être un indice de fraude par account takeover. Les types d’attaques que nous listons ci-dessous passeront par la plupart, sinon tous ces points d’entrée.

Types de fraude par account takeover

Le credential stuffing (OAT-008) et le credential cracking (OAT-007) sont deux types de menaces automatisées où les hackers utilisent des bots malveillants pour saturer les pages de connexion en ligne avec des noms d’utilisateur et mots de passe volés. Ce sont les deux méthodes principales utilisées par les hackers pour s’emparer frauduleusement de comptes.

Le credential stuffing et le credential cracking ne sont pas des tâches qui peuvent être effectuées manuellement à une échelle rentable. Mais en utilisant des bots, les hackers peuvent passer en revue des volumes presque illimités d’identifiants — surchargeant souvent le site web ou l’application de la victime de trafic dans le processus.

Lors d’une attaque de credential stuffing sur un des clients de DataDome, les hackers ont envoyé 5.7 millions de requêtes en l’espace de deux jours. De plus, ils l’ont fait depuis 250,000 adresses IP différentes à travers 8,000 systèmes autonomes et 215 pays.

Le pic des requêtes sur un seul domaine bloquées par la solution DataDome.

Si ce client n’avait pas installé DataDome, il est très probable qu’au moins quelques milliers de ces requêtes de bots auraient permis aux hackers d’accéder aux comptes utilisateurs. À partir de là, ils auraient pu voler plus de données, passer des commandes illégitimes, changer les mots de passe des utilisateurs, supprimer des comptes, et plus encore.

La leçon clé ici est que les hackers deviennent de plus en plus sophistiqués. Leurs bots ont peu de points communs avec les simples robots d’autrefois : ils utilisent des logiciels très complexes qui peuvent changer d’IPs, se cacher dans les sessions utilisateurs, ressembler à des navigateurs, et imiter le comportement humain. Un bon 30 % des bots malveillants changent constamment d’IP pour essayer de rester indétectés. Les solutions de cybersécurité qui ne se spécialisent pas dans la détection des bots ont peu de chances de rivaliser avec les bots les plus avancés d’aujourd’hui.

Impact des attaques ATO sur les entreprises et les individus

Avec l’account takeover, des acteurs malveillants compromettent des comptes en ligne, souvent par des attaques automatisées. Les auteurs d’ATO obtiennent généralement l’accès aux comptes existants via des techniques d’attaque automatisées, telles que le credential stuffing et le credential cracking. Les compromissions ATO mettent en danger les données personnelles des utilisateurs et peuvent conduire à des fuites de données.

Entre l’élaboration d’une architecture de sécurité, l’établissement de bonnes pratiques de gestion des données, la création de pratiques de continuité d’activité et bien plus encore, les CISO, CTO et ingénieurs DevSecOps sont extrêmement sollicités. Vous vous demandez peut-être pourquoi vous devriez consacrer du temps et des ressources à la prévention de la fraude par account takeover. Quelle menace cela peut-il vraiment représenter ? Voici les raisons les plus importantes pour lesquelles ATO devrait être un composant essentiel de votre stratégie de cybersécurité :

  1. Le taux d’ATO est en forte hausse. Le rapport entre les tentatives de connexion frauduleuses et le total des connexions augmente à mesure que de plus en plus de criminels utilisent l’ATO comme leur méthode d’attaque privilégiée. Ce taux a augmenté de 378 % depuis le début de la pandémie de COVID-19 en raison de l’augmentation des ventes en ligne et du nombre croissant de données d’identification volées disponibles en ligne.
  2. Les clients attendent de la sécurité, mais veulent de la commodité. La plupart du fardeau de la cybersécurité repose sur l’entreprise. Le client s’attend à ce que vous protégiez ses détails, même s’il n’applique pas lui-même des pratiques de cybersécurité appropriées. Par exemple, 52 % des personnes réutilisent encore des mots de passe pour plusieurs comptes. De plus, la plupart des mesures de sécurité destinées à arrêter les ATO ajoutent des frictions à l’expérience utilisateur, ce qui peut entraîner l’abandon de panier, des faux positifs (où vous bloquez un utilisateur authentique) et de la frustration.

Beaucoup de personnes n’utilisent pas différents mots de passe pour leurs comptes.

  1. La fraude au paiement coûte cher. Les citoyens américains ont déposé 1,4 million de plaintes pour vol d’identité auprès de la Federal Trade Commission en 2020, dont près de 30 % concernaient des fraudes par carte de crédit. Plus que jamais, les gens constatent des transactions sur leurs relevés de carte de crédit qu’ils n’ont jamais effectuées, entraînant une augmentation des rétrofacturations. Les règles des réseaux de cartes stipulent que le coût de la rétrofacturation incombe à l’entreprise qui a accepté le paiement frauduleux, vous pourriez donc payer pour des biens ou services perdus, des frais de rétrofacturation et des frais de traitement de carte.
  2. Les cadres de protection des données comportent des amendes coûteuses. Au deuxième trimestre 2019, les hôtels Marriott ont rapporté 22 millions de dollars en récupérations d’assurance liées à la violation de données de Starwood de 2018. Puis, l’Office du Commissaire à l’information du Royaume-Uni (ICO) a également infligé une amende de 18,4 millions de livres à Marriott Hotels pour ne pas avoir mis en place les mesures de protection adéquates pour protéger les données des clients, conformément au Règlement général sur la protection des données (RGPD) de l’UE. Peu importe où vous êtes basé, il existe probablement un cadre de protection des données qui vous infligera une amende si vous subissez des violations de données ou des ATOs.
  3. Les account takeovers accaparent du temps et des ressources. L’impact d’un ATO résonne dans tous les domaines de votre entreprise, de votre équipe de support qui répond aux plaintes des clients à votre équipe de vente qui devra expliquer pourquoi les prospects devraient encore acheter chez vous. Les répercussions d’une attaque ATO peuvent durer des mois, pendant lesquels elles consommeront toujours un certain pourcentage du temps de vos employés. Cela représente une perte nette de productivité pour votre entreprise, car c’est tout le temps que vos employés auraient pu passer à faire leur travail réel.
  4. Le client est au centre de tout. Les ATO sont particulièrement dangereux pour votre réputation car c’est souvent le client qui remarque l’attaque en premier ; généralement en découvrant que quelqu’un a passé une commande en utilisant leur compte, ou en les bloquant totalement. Et tous les utilisateurs ne signaleront pas de tels problèmes. Ils pourraient simplement supprimer leur compte et décider de ne jamais acheter de produits de votre entreprise à nouveau.

C’est pourquoi il est si important de prévenir les attaques de type ATO avant qu’elles ne réussissent.

Comment prévenir les attaques de type account takeover ?

La fraude par account takeover n’est presque jamais aussi immédiatement visible que l’exemple de Twitter que nous avons donné au début de ce guide. En fait, il est dans l’intérêt des pirates de rester inaperçus aussi longtemps que possible. Plus leurs escroqueries peuvent continuer, plus ils peuvent gagner d’argent ou récolter de données. C’est pourquoi les pirates préfèrent de plus en plus les méthodes d’account takeovers discrètes, telles que la fraude aux cartes de fidélité ou la création de faux comptes.
Il n’y a pas un seul signal qui trahit une attaque d’account takeover. Les ATO se révèlent à travers une collection de petits indices. Par exemple :

  • Tentatives de connexion depuis différents appareils.
  • Navigateurs et systèmes d’exploitation anciens.
  • Comportement d’achat inhabituel.
  • Adresses de livraison différentes.
  • Plusieurs tentatives de connexion échouées.
  • Configurations d’appareils suspectes.
  • Augmentation des comptes clôturés.

Alors, comment combattre les ATO ?

1. Utiliser des pratiques de mots de passe forts et l’authentification multi-facteurs

Plus le mot de passe d’un utilisateur est facile à deviner, plus une attaque comme le credential cracking est susceptible de réussir. Encouragez vos utilisateurs à utiliser des phrases de passe complexes avec des caractères spéciaux — et un mot de passe différent pour chaque site web. En plus des mots de passe forts, les utilisateurs devraient activer l’authentification multi-facteurs. Cette seconde couche de protection aide à arrêter les attaquants qui ont récupéré le mot de passe de l’utilisateur sur le dark web pour effectuer du credential stuffing.

Cependant, gardez à l’esprit que les utilisateurs peuvent ne pas vouloir utiliser l’AMF ou des mots de passe complexes en raison de la friction ajoutée au processus de connexion.

2. Réviser régulièrement les comptes et notifier les utilisateurs de tout changement

Les utilisateurs ne vérifient pas toujours leurs comptes pour détecter des différences, il est donc préférable de vous assurer que l’utilisateur est notifié de tout changement apporté à son compte. De cette façon, les utilisateurs pourraient découvrir immédiatement si leur compte a été compromis. Restez vigilant face à des activités suspectes comme la mise à jour des adresses de livraison dans une zone différente de la normale, les informations de carte modifiées ou mises à jour, etc.

3. Utiliser un logiciel avancé de prévention des ATO

La manière la plus simple de prévenir les attaques de type ATO est d’utiliser un logiciel spécialisé qui examine tous les petits signaux dans chaque demande pour détecter les activités suspectes. DataDome Account Protect collecte des signaux centrés sur l’utilisateur et des données commerciales pour créer une empreinte du comportement de l’utilisateur, ce qui nous permet ensuite d’identifier (et d’arrêter) les comportements suspects avec une plus grande précision que d’autres solutions de protection ATO. Combiné à notre protection contre les bots et la fraude en ligne, DataDome peut réduire de manière significative votre risque d’ATO — en gardant vos clients en sécurité et votre entreprise en bon fonctionnement.

DD ATO Dashboard

Méthodes courantes de prévention des ATO et pourquoi elles ne suffisent pas

Comme nous l’avons mentionné précédemment, les points de terminaison les plus vulnérables aux attaques d’account takeover sont tout ce qui concerne les connexions, les inscriptions, les paniers d’achat et les tunnels de paiement. Pour protéger efficacement votre entreprise et vos clients, votre système de protection doit prendre en compte les différentes menaces ciblant chaque point de contact et point de terminaison.

Par exemple, votre page de connexion est beaucoup plus sujette à une attaque de credential stuffing que votre page d’inscription. À son tour, votre page d’inscription est plus susceptible de voir des bots créer de faux comptes. Chaque point de terminaison nécessite une stratégie sur mesure pour une protection la plus efficace afin de prévenir la création de comptes factices.

C’est la raison principale pour laquelle les méthodes de prévention que nous listons ci-dessous ne sont pas efficaces : elles peuvent offrir une certaine protection pour un point de terminaison, mais elles n’offrent certainement pas une protection impénétrable pour tous les points de terminaison et tous les points de contact tout au long du parcours de l’utilisateur. Discutons plus en détail de chaque méthode de prévention.

Les CAPTCHAs traditionnels ne sont plus à la hauteur face aux cybercriminels.

Les CAPTCHAs traditionnels fonctionnaient contre les bots, mais ils ne le font plus car les bots se sont adaptés et les CAPTCHAs ne l’ont pas fait (du moins pas assez rapidement).

Preuve en est : il existe des dizaines de tutoriels sur YouTube qui enseignent aux spectateurs comment programmer un bot qui peut contourner ou résoudre facilement les CAPTCHAs traditionnels. Résoudre des CAPTCHAs plus difficiles peut également être sous-traité à des fermes de CAPTCHA pour très peu d’argent. En même temps, des CAPTCHAs difficiles introduisent une friction substantielle dans l’expérience utilisateur.

Certains CAPTCHAs sont plus difficiles à résoudre que d’autres.

Tout utilisateur humain qui a du mal à résoudre un CAPTCHA peut devenir un faux positif, dans quel cas un CAPTCHA traditionnel bloquera complètement l’utilisateur. Et peu dechoses frustrent les utilisateurs plus que d’être bloqués de votre plateforme parce qu’ils n’ont pas pu résoudre un test ennuyeux de détection de bot.

La seule façon de tirer efficacement parti d’un CAPTCHA pour la détection de bots et la prévention de ATO est de l’intégrer à une solution complète de gestion de bots et de fraude en ligne.

Les WAFs ne fonctionnent pas pour les bots sophistiqués.

Les pare-feux d’applications Web (WAFs) protègent uniquement les applications Web contre les vulnérabilités logicielles les plus évidentes—telles que les injections SQL, le cross-site scripting, ou le détournement de session. Les WAFs ne sont pas conçus pour détecter les menaces automatisées en temps réel, et par conséquent ne vous protègent pas bien contre la fraude par account takeover.

Cela est particulièrement vrai car les bots sophistiqués d’aujourd’hui ne ressemblent pas à des bots. Ils imitent le comportement humain. Ils cliquent autour, restent sur une page pendant un moment, semblent déplacer un curseur de souris, et ainsi de suite. En outre, les bots peuvent facilement passer à travers des centaines voire des milliers d’IP pour rester non détectés. Les WAFs se basent généralement sur des règles basées sur l’IP qui ne sont pas à la hauteur de ces bots.

Le MFA est une sécurité que beaucoup d’utilisateurs ne vont pas s’embêter à utiliser.

L’authentification multi-facteurs (MFA) est l’une des meilleures méthodes de prévention contre les attaques d’account takeover. Les pirates préfèrent des cibles faciles, et le MFA ajoute une étape supplémentaire qu’ils préféreraient éviter. Malheureusement, c’est généralement à l’utilisateur de décider s’il veut activer ou non le MFA, et il est difficile de convaincre l’utilisateur de le faire pour chaque site où il a un compte.

En outre, toutes les formes de MFA ne sont pas également efficaces. L’authentification à deux facteurs basée sur SMS, par exemple, n’est pas une protection aussi bonne que celle d’une application d’authentification. Les SMS ne sont pas un canal sécurisé et les attaquants peuvent facilement intercepter ou détourner les messages SMS. Des applications comme Google Authenticator ou Authy représentent une forme de MFA plus sécurisée.

Que faire si votre entreprise est victime d’un account takeover

Si votre entreprise est confrontée à une attaque d’account takeover en cours, vous devez réagir rapidement et de manière décisive :

  1. Utilisez votre WAF et vos capacités de limitation de taux pour ralentir les bots les plus simples. Les bots sophistiqués passeront toujours, mais vos ressources serveur pourraient nécessiter une réduction de la pression exercée par les bots basiques.
  2. Si nécessaire, verrouillez temporairement ou empêchez les modifications des comptes utilisateurs. Cela aidera à garder les comptes utilisateurs en sécurité, même si les attaquants parviennent à accéder pendant l’attaque.
  3. Mettez en place un logiciel de protection ATO puissant comme Account Protect. C’est la clé pour arrêter toutes les attaques de ATO. Cherchez un outil qui soit efficace, précis et facile à déployer sur votre architecture.

Par exemple : BlaBlaCar est la plus grande communauté de covoitureurs au monde. Leur plateforme compte plus de 70 millions d’utilisateurs dans 22 pays différents. L’équipe de BlaBlaCar a remarqué des pics inhabituels de charge de trafic sur leur site web et a réalisé que des bots tentaient de forcer brutalement leur chemin dans les comptes de leurs utilisateurs.

blablacar bot protection

Ainsi, BlaBlaCar a mis en place la solution de protection contre les bots de DataDome. Comme les revenus de l’entreprise proviennent principalement de leur site web, ils ont étroitement surveillé sa performance et sa stabilité après l’installation de DataDome. De plus, BlaBlaCar voulait préserver la confidentialité de ses utilisateurs et s’assurer que DataDome ne recevait pas d’informations personnelles lors de la surveillance.

Heureusement, DataDome a eu un impact négligeable sur la performance du site web de BlaBlaCar et n’a reçu aucune information personnelle des utilisateurs. La solution bloque maintenant tous les bots malveillants sur les applications et sites web de BlaBlaCar. Leurs comptes utilisateurs sont désormais pleinement protégés contre la fraude par account takeover, et leur équipe technique n’a plus besoin d’intervenir quotidiennement.

Points clés

Même si votre entreprise n’a pas encore été victime d’une attaque d’account takeover, les ATO sont une menace numérique en hausse qui peut gravement nuire à votre entreprise si vous ne parvenez pas à atténuer votre risque. Installer une solution de protection contre les account takeovers comme DataDome vous protégera contre cette menace sans ajouter de friction à l’expérience utilisateur.

Installer DataDome, c’est comme souscrire à une assurance. Vous pouvez vivre sans, mais vous devez savoir que si vous le faites, vous vous exposez à des risques.

– Francis Nappez, directeur technique de BlaBlaCar

Essayez la protection contre les bots de DataDome et Account Protect gratuitement et obtenez une vue d’ensemble en temps réel ainsi qu’une visibilité détaillée de toutes les menaces automatisées, y compris une protection avancée contre les ATO et la fraude au compte. Aucune carte de crédit requise. Créez un compte gratuit ici (et ne vous inquiétez pas, il est bien protégé).

Articles liés