Prise de contrôle de compte (ATO)
La prise de contrôle de compte (ATO, account takeover) est une forme de fraude dans laquelle un attaquant prend le contrôle non autorisé du compte d'un utilisateur légitime et s'en sert pour voler, commettre d'autres fraudes ou le revendre. Elle fait généralement suite à la compromission des identifiants de connexion, plutôt qu'à la création d'un nouveau compte factice.
Comment fonctionne Prise de contrôle de compte (ATO)
La prise de contrôle de compte commence lorsque l'attaquant obtient des identifiants valides. La source la plus courante est une fuite de données : des paires d'identifiant et de mot de passe divulguées par un service sont rejouées contre de nombreux autres, en exploitant le fait que les internautes réutilisent leurs mots de passe. Les attaquants récoltent aussi des identifiants au moyen de pages de phishing, de logiciels malveillants de type infostealer qui extraient les mots de passe enregistrés dans le navigateur, et de l'ingénierie sociale du processus de récupération de compte.
Fort de ces identifiants, l'attaquant automatise les tentatives de connexion à grande échelle. Les outils de credential stuffing (bourrage d'identifiants) parcourent des millions de paires, souvent réparties sur de vastes ensembles de proxys résidentiels afin qu'aucune adresse IP ne présente un taux de connexion anormal. Lorsqu'une connexion réussit, la session est utilisée immédiatement ou l'identifiant fonctionnel est revendu. Pour déjouer l'authentification multifacteur, les attaquants peuvent intercepter les codes à usage unique par SIM swap, proxys de phishing en temps réel ou bombardement de sollicitations MFA (MFA-fatigue).
Une fois à l'intérieur, l'attaquant agit vite pour monétiser l'accès avant que le véritable propriétaire ne s'en aperçoive. Les actions typiques consistent à vider les soldes et points de fidélité stockés, à modifier l'adresse e-mail et le mot de passe enregistrés pour verrouiller le propriétaire, à ajouter de nouveaux bénéficiaires de paiement, à passer des commandes vers une adresse de réception contrôlée, ou à utiliser le compte de confiance comme tremplin pour d'autres campagnes de phishing. L'historique et la réputation du compte compromis font paraître ces actions légitimes aux yeux des systèmes en aval.
Les campagnes d'ATO sophistiquées cherchent à imiter le comportement normal de la victime pour rester sous les seuils de détection, en reproduisant le type d'appareil habituel, la localisation approximative et les horaires de connexion. C'est pourquoi les règles statiques seules peinent à suffire : les identifiants sont corrects et chaque action individuelle peut sembler plausible.
Pourquoi Prise de contrôle de compte (ATO) compte pour la prévention de la fraude
La prise de contrôle de compte est l'une des catégories de fraude en ligne les plus dommageables, car elle exploite la confiance que l'entreprise a déjà accordée à un client réel. Les pertes directes comprennent les fonds volés, les achats frauduleux et les soldes de fidélité détournés, mais les coûts indirects sont souvent plus élevés : chargebacks, charge de support et de remédiation, exposition réglementaire lorsque des données personnelles sont consultées, et érosion durable de la confiance des clients lorsqu'ils sentent que leurs comptes ne sont pas en sécurité. Comme les comptes compromis franchissent l'authentification ordinaire, l'ATO contourne fréquemment les défenses conçues uniquement pour arrêter les inscriptions manifestement factices.
Comment TRACIO le gère
TRACIO aide à détecter la prise de contrôle de compte en reconnaissant l'appareil et l'environnement derrière chaque connexion plutôt qu'en se fiant aux seuls identifiants. Le produit Identification attribue un identifiant visiteur stable à partir de plus de 130 signaux d'appareil : ainsi, une connexion depuis un appareil qui n'a jamais été associé à un compte, ou un changement soudain d'appareil, de navigateur et de réseau sur un compte jusque-là stable, devient un fort indicateur de risque. Bot Detection signale les frameworks d'automatisation et les navigateurs headless derrière les campagnes de credential stuffing, et Smart Signals met au jour les proxys résidentiels, les VPN et les nœuds de sortie Tor que les attaquants utilisent pour répartir leurs tentatives. Les contrôles de vélocité sur le graphe d'appareils révèlent un même appareil qui tente d'atteindre de nombreux comptes différents. Ces signaux peuvent être fournis au moment de l'authentification avec une faible latence, de sorte qu'un défi supplémentaire ne se déclenche que lorsque le risque est réel.
Questions fréquentes
Identifiez chaque appareil en toute confiance
Commencez avec une offre gratuite de 2,500 appels API par mois. Aucune carte bancaire requise.