Usurpation d’identité : Pourquoi est-il urgent d’agir ?

Usurpation d’identité : Pourquoi est-il urgent d’agir ?

L’usurpation d’identité ne concerne pas que les stars d’Hollywood et les plus fortunés d’entre nous. Chaque année, des centaines de millions d’individus sont ainsi victimes d’un vol d’identité en ligne sur l’un ou l’autre de leurs comptes, sans parfois même s’en rendre compte. 


Et cette fraude a un coût : rien qu’en 2019, ces ATO (pour Account TakeOver) auraient entrainé des pertes de 16,9 milliards de dollars aux acteurs du commerce en ligne. En clair, l’essentiel de ces usurpations est le fait de robots, qui analysent en temps réel des millions de pages web et qui tentent d’utiliser des identifiants volés dans des comptes en ligne de toute nature. 


Une fois validés, ces accès frauduleux sont revendus à des pirates en chair et en os, qui vont pouvoir utiliser ces comptes pour réaliser des arnaques à grande échelle. 
Si le phénomène n’est pas nouveau, il a lui aussi connu un « effet Covid » : le commerce en ligne a connu un bond phénoménal à l’occasion du confinement, et les ATO ont adopté la même courbe. 

Dans son étude annuelle consacrée à la confiance dans l’économie numérique, l’éditeur Sift relève que ce type d’attaque a augmenté de 282% entre mars 2019 et mars 2020. Dans le même temps, le nombre d’informations d’identification volées à vendre sur le dark web serait quant à lui en hausse de 300%.

Préserver le capital confiance

Le volume de ces chiffres peut surprendre à l’heure où la confiance de ses clients s’impose parmi les premiers actifs d’une entreprise. Frédéric Mazzella, le fondateur de Blablacar, qui a bâti son succès sur la confiance que s’accordent ses membres, ne s’y trompe pas : « La confiance digitale est à la confiance interpersonnelle ce que l’invention du téléphone a été pour la communication humaine.

Le téléphone a soudainement permis aux personnes de communiquer instantanément avec tout le monde ; de la même façon, les réseaux de confiance digitale permettent aux individus de télécharger le “capital confiance” de toute personne avec effet immédiat. »

Fort heureusement, il existe des solutions pour endiguer le phénomène, et l’usurpation d’identité ne peut plus être envisagée comme une fatalité. La première qui vient à l’esprit – et que nous avons tous expérimentée, est l’authentification à deux facteurs (ou 2FA, pour two-factor identification). 

Ce mécanisme, qui prévoit une validation par mail ou SMS à chaque tentative de connexion, permet de limiter considérablement la portée du risque. Microsoft, qui se flatte de bloquer quelque 300 millions de logins frauduleux chaque jour sur ses plates-formes cloud, estime même que l’authentification à deux facteurs doit permettre d’endiguer 99,9% de ces attaques.

Sécuriser sans ralentir

« Qu’on le veuille ou non, le risque de fraude fait partie de l’environnement de toute entreprise qui intervient en ligne, note Marc Marchal de Corny, Customer Solution Architect chez Vonage, leader mondial des communications cloud qui aide les entreprises à accélérer leur transformation numérique. 

Toute la question est de savoir si celles-ci sont prêtes à assumer le coût d’une perte de la confiance de leurs clients. Mais pour toute organisation qui se veut « by design » à l’épreuve de la fraude, les technologies 2FA font figure d’évidence. » À condition toutefois que celles-ci soient parfaitement conçues, opérées et implémentées sur les sites utilisateurs.

Au-delà de la mécanique d’envoi d’un SMS, c’est l’ensemble du workflow qui doit être considéré : erreurs involontaires, temps de réaction, failover via un appel téléphonique… Autant d’éléments qui permettent au 2FA de remplir parfaitement son rôle de sécurisation des transactions sans pour autant nuire à la fluidité du parcours utilisateur.

« Pas question de sacrifier l’expérience utilisateur à la sécurité et à l’authentification, renchérit Marc Marchal de Corny. C’est d’ailleurs l’un des principaux atouts de la solution Vonage : grâce à notre API Verify, nous sommes en mesure de garantir à nos clients une authentification optimale de leurs transactions en ligne, sans introduire la moindre friction dans le parcours de leurs clients. »

Source: Zdnet.fr

Retour en haut