Prévention de la fraude aux nouveaux comptes

La fraude aux nouveaux comptes se produit lorsque des criminels utilisent des identités volées ou fausses pour créer de nouveaux comptes sur votre plateforme. Ces comptes frauduleux coûtent de l’argent aux entreprises, nuisent à la confiance des clients et créent des difficultés opérationnelles qui épuisent les ressources de votre équipe.

Ce guide explique ce qu’est la fraude aux nouveaux comptes, comment les criminels exécutent ces attaques, et quelles stratégies éprouvées vous pouvez utiliser pour détecter et prévenir la fraude aux nouveaux comptes. Que vous soyez une plateforme financière, un site de commerce électronique ou tout service avec des comptes utilisateurs, vous trouverez dans cet article des mesures pratiques pour renforcer vos défenses.

Points clés

• Les attaquants peuvent créer un compte frauduleux toutes les trois secondes grâce à l’automatisation, rendant la détection manuelle impossible et nécessitant des systèmes de prévention automatisés.
• Les faux comptes nuisent à bien plus que les revenus de votre entreprise. Ils faussent vos analyses, gaspillent les ressources de votre équipe et érodent la confiance des clients lorsque les vrais utilisateurs rencontrent du spam et des activités frauduleuses.
• L’analyse comportementale en temps réel et la détection de fraude alimentée par l’IA offrent la protection la plus efficace sans frustrer les utilisateurs légitimes.

Qu’est-ce que la fraude aux nouveaux comptes ?

La fraude aux nouveaux comptes se produit lorsque des fraudeurs créent des comptes en utilisant des informations personnelles volées, des identités synthétiques (un mélange de données réelles et fictives), ou des identifiants complètement fabriqués. Ces comptes semblent légitimes lors de l’enregistrement mais existent uniquement pour commettre des fraudes.

L’ampleur de ce problème est massive. Au cours du premier semestre de 2025 seulement, 748 555 cas de vol d’identité ont été signalés à la Federal Trade Commission⁽¹⁾, ce qui place 2025 sur la voie d’une année record. Selon l’étude 2025 de Javelin Research sur la fraude à l’identité, la fraude aux nouveaux comptes a entraîné des pertes de 6,2 milliards de dollars en 2024, contre 5,3 milliards de dollars en 2023⁽²⁾.

Les secteurs les plus touchées par la fraude aux nouveaux comptes

La fraude aux nouveaux comptes frappe le plus durement les secteurs où l’intégration numérique est standard et la valeur des comptes élevée.

• Services bancaires et financiers : les banques font face à des attaques constantes, les criminels ayant besoin de légitimer des profits illégaux. Les fraudeurs ouvrent des comptes pour blanchir de l’argent, financer des activités illicites ou commettre des fraudes au crédit. Les institutions financières doivent concilier sécurité renforcée et expérience client fluide, ce qui en fait des cibles de choix.
• E-commerce et distribution : les plateformes de shopping en ligne sont ciblées pour les abus promotionnels et la fraude au paiement. Les criminels créent plusieurs comptes pour exploiter les bonus de bienvenue, contourner les politiques de retour ou réaliser des achats avec des cartes de crédit volées. Les services par abonnement sont également exposés, car les fraudeurs s’inscrivent à des essais gratuits avec des identifiants volés, sans jamais payer.
• Réseaux sociaux et plateformes numériques : Facebook a supprimé 1,1 milliard de faux comptes au troisième trimestre 2024⁽³⁾, ce qui illustre l’ampleur massive de la création de faux comptes sur les plateformes sociales. Ces comptes servent à diffuser de la désinformation, mener des campagnes de phishing et manipuler l’opinion publique.
• Jeux et divertissement : les plateformes de jeux numériques sont confrontées à la fraude liée à la monnaie virtuelle, à la revente de comptes compromis et aux escroqueries par phishing ciblant les joueurs. Les fraudeurs créent des comptes pour exploiter les économies virtuelles et tromper les utilisateurs légitimes.
• Télécommunications : les entreprises de télécommunications sont ciblées pour des services à forte valeur, comme les appareils mobiles coûteux, les appels internationaux ou les forfaits de données premium. La fraude aux nouveaux comptes entraîne une perte directe de revenus et augmente les coûts liés à la gestion de la fraude.

Comment les fraudeurs créent de nouveaux comptes

Les cybercriminels utilisent plusieurs techniques pour contourner les mesures de sécurité et créer des comptes frauduleux à grande échelle.

Vol d’identité

Les fraudeurs obtiennent de véritables informations personnelles via des violations de données, des attaques de phishing ou des achats sur le dark web. Ils utilisent ensuite des numéros de sécurité sociale, des adresses ou des dates de naissance appartenant à de vraies personnes pour ouvrir des comptes. Ces identités volées compliquent la détection, car les informations passent les vérifications de base.

Fraude à l’identité synthétique

Cette méthode combine des données réelles et fictives pour créer de nouvelles identités artificielles. Un fraudeur peut, par exemple, associer un vrai numéro de sécurité sociale à un faux nom et une adresse inventée. Ces identités synthétiques sont particulièrement difficiles à détecter, car elles paraissent légitimes tout en ne correspondant à aucun individu réel. Les criminels bâtissent souvent un historique de crédit autour de ces identités avant de commettre des fraudes à grande échelle.

Automatisation par bot

Les fraudeurs utilisent des bots pour automatiser l’ouverture de comptes : ils analysent les formulaires, remplissent automatiquement les champs requis et contournent les premiers niveaux de sécurité. Grâce à ces outils, les criminels peuvent créer des centaines de comptes en quelques minutes. Certains services de bots premium permettent même de résoudre les CAPTCHA et de fonctionner sur plusieurs plateformes.

Systèmes de mules financières

Les criminels manipulent ou persuadent des victimes d’utiliser leurs propres informations personnelles pour ouvrir des comptes bancaires dans différentes institutions. Une fois créés, ces comptes servent à transférer des fonds illicites, exposant souvent la victime à des poursuites judiciaires. Les comptes de mules permettent ainsi de faire circuler de l’argent sale tout en protégeant les véritables auteurs des fraudes.

6 étapes d’une attaque de fraude aux nouveaux comptes

La fraude aux nouveaux comptes suit un processus en six étapes, conçu pour permettre aux criminels d’éviter la détection.

1. Collecte de données : les fraudeurs recueillent des informations personnelles via des violations de données, des campagnes de phishing ou l’achat d’identifiants volés sur des places de marché du dark web. Ils peuvent aussi utiliser des générateurs d’identités synthétiques pour créer de faux profils réalistes.
2. Préparation de l’identité : les criminels volent des identités existantes ou créent des identités synthétiques en combinant des informations réelles et fictives. Ils préparent également des documents et justificatifs pour passer les contrôles de sécurité.
3. Inscription automatisée : des bots ou des scripts sont déployés pour remplir automatiquement les formulaires d’inscription. Ces outils font tourner les adresses IP, modifient les empreintes de navigateur et imitent le comportement humain afin d’échapper à la détection.
4. Contournement de la vérification : les attaquants utilisent des adresses email temporaires, des numéros de téléphone virtuels ou des services de résolution de CAPTCHA pour franchir les étapes de vérification. Certains interceptent les liens de confirmation via des boîtes mail compromises.
5. Préparation du compte : les fraudeurs les plus sophistiqués réalisent des activités légitimes pour établir une réputation de compte avant d’exécuter la fraude. Ils peuvent parcourir des produits, interagir avec du contenu ou effectuer de petites transactions valides.
6. Exploitation : une fois les comptes établis, les criminels les utilisent pour atteindre leur objectif : abus de promotions, achats frauduleux, blanchiment d’argent ou autres activités illégales.

Ce que la fraude aux nouveaux comptes coûte à votre entreprise

Pertes financières

Les pertes financières proviennent des transactions frauduleuses, des ressources investies dans la détection et la prévention, des coûts opérationnels liés au traitement des incidents, ainsi que des investissements dans des solutions de sécurité telles que la protection contre l’account takeover.

Données faussées et mauvaises décisions

Les faux comptes polluent vos données analytiques. Les utilisateurs actifs quotidiens, les taux d’engagement et les tunnels de conversion intègrent tous des activités frauduleuses. Les équipes marketing optimisent des campagnes sur la base d’interactions fictives. Les équipes produit développent des fonctionnalités pour des utilisateurs qui n’existent pas. Vos indicateurs montrent de la croissance, mais les revenus ne suivent pas.

Inefficacité opérationnelle

Les équipes d’assistance client gaspillent du temps à enquêter sur des comptes suspects. Les analystes fraude examinent manuellement des schémas d’inscription. Les équipes IT développent des règles personnalisées pour bloquer certains modèles d’attaque. Chaque faux compte coûte à vos équipes des heures précieuses qui pourraient être consacrées à des tâches à plus forte valeur ajoutée.

Atteinte à la réputation

L’impact sur la réputation peut s’avérer plus dommageable que les pertes financières immédiates. Les entreprises victimes d’incidents de fraude majeurs voient la valeur de leurs actions chuter et perdent la confiance de leurs clients. Les véritables utilisateurs quittent les plateformes envahies par le spam et les faux avis. Le taux de désabonnement s’accélère à mesure que l’expérience utilisateur se détériore.

Conséquences réglementaires

La fraude liée aux nouveaux comptes peut entraîner de lourdes conséquences réglementaires. Des textes comme le RGPD en Europe et le CCPA aux États-Unis prévoient des sanctions sévères en cas de défaut de protection des données clients. Les entreprises peuvent faire l’objet de poursuites ou d’un contrôle renforcé par les autorités, avec à la clé des coûts financiers et opérationnels importants.

Érosion de la confiance client

Selon le rapport 2025 sur l’identité et la fraude publié par Experian, moins de la moitié des consommateurs font réellement confiance aux entreprises pour répondre à leurs préoccupations en ligne, alors même que 85 % des entreprises estiment que leurs contrôles de fraude répondent aux attentes des clients⁽⁴⁾.

Cet écart de perception illustre comment les incidents de fraude détériorent en profondeur la relation client. Restaurer la confiance nécessite des efforts et des ressources considérables. La prévention s’avère donc bien plus rentable que la remédiation.

Signaux d’alerte indiquant une fraude aux nouveaux comptes

La détection précoce est essentielle. Voici ce qu’il faut surveiller dans vos données d’inscription.

Pointes de vitesse d’inscription : une augmentation soudaine des créations de comptes peut signaler des attaques automatisées. Si votre plateforme enregistre habituellement 100 inscriptions par heure et en reçoit soudainement 1 000 en dix minutes, vous êtes probablement sous attaque. Surveillez les inscriptions par adresse IP, appareil et localisation géographique.

Modèles de données suspects : recherchez des adresses e-mail séquentielles (user001@domain.com, user002@domain.com), des numéros de téléphone ou noms d’utilisateur générés en série, des adresses de livraison réutilisées sur plusieurs comptes, des domaines e-mail jetables (tempmail, guerrillamail), ou encore des informations personnelles irréalistes comme une date de naissance au 1er janvier 1900.

Incohérences d’appareil et de navigateur : plusieurs comptes partageant une même signature d’appareil ou des configurations de navigateur atypiques peuvent indiquer une activité de bot. JavaScript désactivé, plugins absents ou user-agents usurpés sont des indicateurs fréquents.

Anomalies comportementales : les faux comptes présentent des comportements distincts des utilisateurs légitimes. Soyez attentifs à l’inactivité immédiate après l’inscription, aux formulaires remplis de manière anormalement rapide (au-delà de la vitesse humaine), à l’absence totale de fautes de frappe ou de corrections, à des intervalles de saisie parfaitement réguliers entre les champs, ou à un manque total d’exploration du site avant l’inscription.

Modèles d’exploitation promotionnelle : analysez la manière dont les nouveaux comptes interagissent avec vos offres. Les signaux d’alerte incluent des comptes qui ne viennent que pour réclamer un bonus sans jamais revenir, des comptes multiples activant la même promotion selon des schémas similaires, ou encore des chaînes de parrainage fermées dans lesquelles les comptes ne se réfèrent qu’entre eux.

Sources de trafic inhabituelles : un volume important d’inscriptions provenant de la même adresse IP, d’une même zone géographique ou d’un centre de données peut indiquer une fraude. Le trafic issu de services proxy connus, de VPN ou de réseaux anonymisés doit être analysé avec attention.

Comment prévenir la fraude sur les nouveaux comptes

La prévention nécessite que plusieurs couches défensives travaillent ensemble.

Analyse comportementale en temps réel

Surveillez comment les utilisateurs interagissent avec les formulaires d’inscription. Les vrais utilisateurs prennent du temps, ils font des corrections et présentent une variation naturelle. Les bots, en revanche, remplissent les formulaires avec une précision mécanique. L’analyse comportementale s’appuie sur les mouvements de la souris, la dynamique de frappe, le temps passé sur chaque champ, les schémas de navigation et l’interaction avec les éléments de la page.

Ces signaux permettent de construire un profil de risque. Les comptes présentant un comportement typique de bot sont alors signalés pour vérification ou bloqués. Cette approche fonctionne car il est extrêmement difficile pour un bot de reproduire fidèlement les schémas humains.

Vérification avancée de l’identité

Mettez en place des processus robustes de connaissance du client (KYC), adaptés à votre secteur. La vérification des documents, l’analyse biométrique et la vérification d’identité contribuent à garantir la légitimité des demandeurs de compte. Ces étapes sont essentielles, et souvent légalement requises dans les secteurs de la banque, des services financiers et des télécommunications.

Par exemple, les banques peuvent exiger des documents d’identité valides, tandis que les sites de e-commerce peuvent appliquer la vérification uniquement pour des produits à forte valeur ou soumis à des restrictions d’âge. Les organisations doivent valider les données dès la création du compte en vérifiant la réputation des adresses e-mail et des numéros de téléphone à l’aide de sources publiques.

Authentification multi-facteurs (MFA)

La MFA ajoute une couche de sécurité supplémentaire en exigeant plusieurs formes de vérification : un mot de passe (connaissance), un appareil (possession), ou une donnée biométrique (identité). La MFA est particulièrement efficace pour éviter les attaques d’account takeover et les tentatives de phishing.

La vérification progressive est une bonne stratégie : commencez par une vérification légère à l’inscription, puis augmentez le niveau de contrôle lors d’actions sensibles (achats, modification de données de paiement).

Évaluation de la réputation des appareils et des IP

Utilisez des systèmes capables d’évaluer le risque lié aux adresses IP et aux appareils utilisés. Détectez les anomalies ou intentions malveillantes en analysant les attributs réseau et matériel : trafic issu de réseaux anonymes, centres de données, appareils aux caractéristiques inhabituelles ou empreintes falsifiées.

Vérifiez si les inscriptions proviennent de services proxy ou VPN connus, de centres de données, d’adresses IP associées à des fraudes passées, d’appareils déjà liés à des comptes frauduleux ou de zones géographiques à haut risque.

IA et apprentissage automatique

L’IA et l’apprentissage automatique permettent d’analyser de vastes ensembles de données pour détecter des schémas et signaux que l’analyse humaine pourrait manquer. Ces technologies sont particulièrement efficaces face à des attaques complexes, et s’adaptent en temps réel à l’évolution des tactiques. Elles s’appliquent dans tous les secteurs disposant de volumes de données exploitables.

Validation des e-mails et des téléphones

Assurez-vous que les adresses e-mail et les numéros de téléphone appartiennent à de véritables utilisateurs. Analysez la réputation du domaine de messagerie, détectez les services d’e-mails jetables, vérifiez le format des numéros et les informations sur l’opérateur, et envoyez des codes de vérification pour valider l’accès.

Une analyse poussée des adresses e-mail peut révéler si elles ont un historique d’engagement ou si elles ont été créées spécifiquement pour la fraude. La validation des téléphones permet de confirmer que les numéros sont bien rattachés à des opérateurs mobiles légitimes, et non à des services virtuels.

Formation et sensibilisation des employés

Formez régulièrement vos équipes à la détection des signes de fraude et aux dernières tendances en matière d’attaques. La sensibilisation est essentielle, notamment pour lutter contre le phishing et les attaques d’ingénierie sociale. Elle est bénéfique dans tous les secteurs, en particulier ceux ayant une forte interaction avec les clients.

Collaboration et partage d’informations

Partagez les renseignements sur les tendances et tactiques de fraude au sein de votre organisation et avec des groupes sectoriels. Cette coopération permet de garder une longueur d’avance sur les fraudeurs. Elle est particulièrement efficace dans des secteurs comme la banque, la finance ou les télécoms, où la collaboration interentreprises est fréquente.

Prévenez la fraude aux nouveaux comptes avec DataDome

DataDome Account Protect utilise plusieurs couches d’apprentissage automatique pour détecter et bloquer en temps réel la création de faux comptes. La solution analyse des centaines de signaux, notamment la localisation de connexion, les empreintes d’appareil, le timing d’enregistrement, les schémas d’interaction avec les formulaires, la validation des e-mails et l’historique de session.

Le système réagit automatiquement en bloquant le trafic de bots évident, en soumettant les inscriptions suspectes à une vérification supplémentaire, ou en laissant passer les utilisateurs légitimes sans friction. Account Protect fonctionne de manière invisible pour les vrais utilisateurs tout en stoppant les fraudeurs dès l’inscription.

La solution ne nécessite aucun changement d’architecture et se déploie en quelques minutes. Account Protect offre une défense complète contre les attaques automatisées par des bots et les opérations de fraude menées par des humains. Découvrez comment DataDome Account Protect peut fournir la sécurité dont votre entreprise a besoin.

Références

1. https://www.fool.com/money/research/identity-theft-credit-card-fraud-statistics/
2. https://javelinstrategy.com/research/2025-identity-fraud-study-breaking-barriers-innovation
3. https://www.statista.com/statistics/1013474/facebook-fake-account-removal-quarter/
4. https://www.experian.com/blogs/insights/experian-2023-identity-and-fraud-report/