Anatomie d'une attaque de multi-comptes : étude de cas sur une plateforme iGaming
Un opérateur, 217 comptes, 84 000 dollars d'abus de bonus. Comment le multi-comptes professionnel se construit réellement — et les 11 signaux corrélés qui ont fait s'effondrer tout le cluster en un seul fraudeur.
Le multi-comptes en iGaming, ce n'est pas une poignée de joueurs ouvrant des comptes supplémentaires. Ce sont des opérations professionnelles faisant tourner des centaines d'identités synthétiques contre une même plateforme, pour en extraire bonus de bienvenue, cashback et gains promotionnels.
L'économie fonctionne parce que le coût marginal d'un nouveau compte est proche de zéro — e-mail, numéro de téléphone jetable, documents d'identité volés ou synthétisés — et que le gain marginal par compte est de l'argent réel. Entre 50 et 200 dollars de valeur extraite par compte, 200 comptes contre un opérateur représentent un revenu à plein temps.
Voici la décomposition d'un pattern d'attaque réel observé contre des opérateurs iGaming européens en 2025. Les noms et les détails sont anonymisés. Les techniques sont actuelles.
Le setup : l'infrastructure dans laquelle le fraudeur investit
Un multi-compteur sérieux exploite une petite infrastructure :
-
Un abonnement à des proxys résidentiels — typiquement 911.re, IPRoyal ou Smartproxy — fournissant des IP rotatives dans des dizaines de pays. Coût : 50 à 200 dollars par mois.
-
Un navigateur anti-détection — Multilogin, Dolphin Anty, GoLogin, Kameleo ou AdsPower. Chacun de ces outils fait tourner des profils de navigateur isolés avec des empreintes configurées indépendamment. Coût : 50 à 150 dollars par mois.
-
Un stock d'identités anciennes — soit achetées sur des forums (lots e-mail vérifié + téléphone + scan de document), soit générées. Coût : 5 à 30 dollars par identité.
-
Une infrastructure de paiement — cartes prépayées, wallets de cryptomonnaies ou mules financières pour recevoir les gains sans traces de comptes unifiées.
Frais fixes mensuels totaux : 200 à 500 dollars. Pour 84 000 dollars de valeur extraite sur 6 mois, le ROI est de 20 à 30×.
Le cycle de vie d'un compte frauduleux
Chaque compte synthétique suit un schéma similaire :
1. Un profil de navigateur anti-détection est créé avec une empreinte fraîche (canvas, WebGL, fuseau horaire, langue, résolution d'écran).
2. Un proxy résidentiel est assigné — typiquement dans un pays correspondant aux documents d'identité.
3. L'inscription est complétée avec une identité ancienne : e-mail, vérification téléphonique via un service de redirection de SMS, upload d'une pièce d'identité volée ou générée.
4. Le KYC passe — parce que les documents d'identité sont réels (volés) ou professionnellement falsifiés.
5. Un petit dépôt est effectué — souvent 10 à 30 dollars — pour activer le bonus de bienvenue.
6. Le bonus est joué selon des sélections de jeux spécifiques qui maximisent l'espérance de gain face à l'exigence de mise.
7. Les gains sont retirés vers le moyen de paiement rattaché à l'identité.
8. Le compte est abandonné ou revendu.
Le cycle complet prend 2 à 7 jours. Un opérateur professionnel fait tourner 20 à 40 comptes simultanément à différents stades de ce pipeline.
Ce que voyait l'opérateur de la plateforme
L'équipe fraude de la plateforme iGaming a remarqué des anomalies au deuxième trimestre :
-
Le ratio de bonus reversés sur les nouveaux comptes est passé de 47 % à 63 % d'un trimestre à l'autre.
-
Les rétrofacturations restaient basses — ce n'étaient donc pas des cartes volées. La fraude était structurelle, pas transactionnelle.
-
Les tickets de support de joueurs récurrents ne reconnaissant pas leur propre historique de compte augmentaient.
L'équipe soupçonnait du multi-comptes mais n'avait pas l'outillage pour le prouver à l'échelle. Chaque compte, vu isolément, paraissait légitime. Des noms différents, des IP différentes, des empreintes différentes, des documents différents.
Ce que les signaux ont réellement montré
Quand les signaux d'intelligence des appareils ont été appliqués rétroactivement à la population de comptes, 217 comptes se sont effondrés en un seul opérateur. Voici ce qui les reliait.
Signal 1. Réutilisation de l'empreinte TLS
Malgré des IP différentes et des empreintes de navigateur différentes, les 217 comptes ne partageaient que 3 hachages JA4 uniques. L'empreinte TLS est générée par la bibliothèque cliente — et si le navigateur anti-détection pouvait usurper canvas et WebGL, il utilisait un unique build Chromium sous-jacent pour les handshakes TLS. Les trois hachages JA4 correspondaient aux trois versions successives du navigateur anti-détection par lesquelles l'opérateur est passé au fil des mises à jour.
Signal 2. Timing comportemental entre sessions
Les 217 comptes avaient des heures d'inscription regroupées dans des fenêtres étroites : surtout 09:00–11:00 UTC en semaine. Les vrais joueurs s'inscrivent sur l'ensemble du cycle de 24 heures. Des horaires de travail humains dans un unique fuseau horaire ont trahi l'opérateur, quel que soit le fuseau revendiqué par chaque faux profil.
Signal 3. Patterns de jeu du bonus
La stratégie de mise était presque identique d'un compte à l'autre : même sélection de jeux (des machines à sous spécifiques à faible variance), même taille de mise relative au bonus, même durée de session avant la demande de retrait. Les vrais joueurs ont des préférences extrêmement variées. Une uniformité statistique entre comptes n'est possible qu'avec un script ou un playbook.
Signal 4. Micro-patterns de mouvements de souris
Les navigateurs anti-détection usurpent les empreintes visuelles mais pas la manière dont un humain se déplace dans une session. Les traces de souris des 217 comptes avaient des caractéristiques communes — des courbes de Bézier aux profils d'accélération constants, des patterns spécifiques de retour aux mêmes coordonnées avant les clics. Toutes produites par l'automatisation de l'opérateur.
Signal 5. Clustering des endpoints de paiement
Malgré des noms différents sur les comptes, les retraits passaient par 8 wallets de cryptomonnaies uniques. La réutilisation de wallets entre comptes sans lien est l'un des signaux les plus forts qui existent et ne requiert aucune détection au niveau de l'appareil.
Signal 6. Incohérences d'énumération des polices
Le navigateur anti-détection usurpe les listes de polices, mais seulement à partir d'une bibliothèque prédéfinie. Les 217 comptes rapportaient des énumérations de polices issues d'un pool limité de 5 templates. Les vrais utilisateurs ont des combinaisons uniques de polices installées. Les templates ont été repérés parce que leur diversité était trop faible.
Signal 7. Clustering des renderers WebGL
Le navigateur anti-détection fait tourner les chaînes GPU, mais à partir d'un ensemble fixe — typiquement les 20 à 30 GPU grand public les plus courants. Sur les 217 comptes, les chaînes GPU apparaissaient avec une distribution invraisemblable : forte surreprésentation de modèles Intel et NVIDIA spécifiques, et aucune présence de matériel AMD. Les populations d'utilisateurs réels ont une distribution de GPU plus large.
Signal 8. Résolutions d'écran non standard
Les navigateurs anti-détection génèrent des dimensions d'écran, mais souvent avec des résolutions non standard pour paraître uniques. Les vrais écrans font 1366×768, 1920×1080, 2560×1440, 3840×2160 ou une poignée de tailles d'ordinateurs portables. Les 217 comptes incluaient des dimensions comme 1892×1063 qu'aucun écran réel n'utilise.
Signal 9. Chevauchement de sessions entre comptes
Deux comptes se sont connectés depuis la même IP à quelques millisecondes d'écart, mais depuis des profils anti-détection différents. Les journaux de session ont révélé que quand un compte se déconnectait, un autre se connectait dans les secondes qui suivaient — depuis une IP différente mais avec des caractéristiques de connexion détectables les reliant. Le pool de proxys tournait, mais pas les actions de l'opérateur.
Signal 10. Corrélation des sources de dépôt
Les dépôts en cryptomonnaies vers les comptes provenaient de 12 wallets sources. L'analyse blockchain a montré que ces 12 wallets étaient alimentés par un unique compte d'exchange en amont. L'analyse follow-the-money a relié l'ensemble du cluster.
Signal 11. Patterns linguistiques des tickets de support
Certains des comptes ont ouvert des tickets de support au cours des 6 mois. Les patterns de langage — tournures spécifiques, tics grammaticaux, mêmes mots mal orthographiés — étaient partagés entre des comptes enregistrés dans des pays et avec des réglages de langue différents.
Pourquoi les signaux isolés échouent
N'importe lequel de ces signaux pourrait être une coïncidence. Deux comptes avec la même empreinte TLS pourraient être deux utilisateurs sur la même version de Chrome. Deux comptes aux traces de souris similaires pourraient être deux joueurs qui cliquent de façon semblable. Deux retraits vers le même wallet pourraient relever d'un wallet familial partagé.
La force est dans la combinaison. Quand 217 comptes partagent empreintes TLS, endpoints de wallets, templates de polices, résolutions d'écran, patterns de souris et timing comportemental — la probabilité d'indépendance s'effondre à zéro.
Ce que la plateforme a fait
Après l'analyse rétroactive, la plateforme a mis en place un scoring en temps réel à la création de compte. Chaque nouveau compte recevait un score de similarité par rapport aux comptes existants, fondé sur les 11 signaux plus 40 autres. Au-dessus du seuil, les comptes étaient signalés pour revue manuelle avant l'éligibilité au bonus. En dessous, les comptes suivaient le parcours normal.
En 60 jours, le ratio d'abus de bonus est revenu à son niveau de référence. L'opérateur est soit parti vers une autre plateforme, soit a investi nettement plus dans son infrastructure — dans les deux cas, une victoire.
Le pattern se généralise
L'outillage spécifique change. Les signaux évoluent. Mais la dynamique sous-jacente — des opérateurs de fraude professionnels construisant une infrastructure pour extraire de la valeur de programmes d'acquisition généreux — est stable à travers l'iGaming, les exchanges crypto, les fintechs à forte composante promotionnelle et toute plateforme qui paie pour acquérir des utilisateurs.
La seule défense qui fonctionne est la corrélation de signaux au niveau de la plateforme. Les défenses périmétriques (blocages d'IP, blocages d'appareils, règles de compte unique) échouent parce que les opérateurs s'optimisent autour d'elles. La corrélation de signaux réussit parce que les opérateurs ne peuvent pas tout randomiser à bas coût — le coût d'une véritable indépendance par compte dépasse le gain par compte.
C'est cet écart qui rend la détection du multi-comptes économiquement viable. C'est aussi ce qui en fait une partie que le défenseur peut gagner.