● Journal du Net 📅 15/04/2026 à 14:12

Cybersécurité 👤 Vincent Guillevic

🏷️ Tags : phishing deepfake pto rte

La vérification d'identité repose, à l'origine, sur quelque chose d'éminemment humain : la confiance. Ouvrir un compte bancaire impliquait de se rendre en agence, de serrer la main d'un conseiller, de regarder quelqu'un dans les yeux. C'est de cette proximité que naissait la relation de confiance. Puis le monde a basculé dans le numérique. Les services ont migré en ligne et, avec eux, la vérification d'identité — passant du face-à-face au contrôle à distance. L'identité est désormais le pivot de chaque interaction digitale, le sésame universel de notre vie numérique. La fraude, elle, n'a jamais pris de retard. À l'image d'un cambrioleur qui sonde méthodiquement chaque fenêtre, chaque issue, avant de forcer la plus vulnérable, les fraudeurs explorent aujourd'hui chaque étape du parcours client : l'inscription, la connexion, les transactions, les demandes de données. Aucun angle mort n'est négligé. Et ce défi ne fait que s'intensifier. L'intelligence artificielle a offert aux fraudeurs un arsenal inédit, plus rapide, plus crédible et extensible à l’échelle industrielle. Les deepfakes contournent les vérifications biométriques, les documents falsifiés paraissent authentiques, et les campagnes de phishing s'automatisent à grande échelle.Les pertes mondiales liées à la fraude par prise de contrôle de compte (ATO) devraient atteindre 17 milliards de dollars en 2025, contre 13 milliards en 2024. Si l'intention des fraudeurs reste inchangée: “trouver la faille”, l'ampleur et la sophistication des attaques, elles, ont radicalement évolué. Des schémas de fraude qui épousent le parcours client La fraude n'est pas uniforme. Elle prend des formes différentes selon les étapes du parcours, les secteurs ciblés et la valeur à extraire. Et c'est précisément là que réside sa dangerosité: elle s'adapte. En 2025, une distinction s'impose entre deux grandes familles d'attaques. D'un côté, la fraude à la création de compte, qui cible les entreprises offrant des avantages immédiats: bonus d'inscription, accès instantané, offres promotionnelles. De l'autre, la prise de contrôle de compte (ATO), qui vise les comptes existants ayant accumulé de la valeur sur le long terme. Les secteurs fondés sur des incitations à l'inscription ou à l'accès instantané concentrent, eux, l'essentiel de la fraude à l'onboarding : dans la crypto, par exemple, 67 % des tentatives de fraude surviennent lors de la création de compte, largement motivées par les bonus d'inscription. La location de véhicules suit le même schéma, avec 67 % des fraudes à l'onboarding : les attaquants utilisent de fausses identités pour accéder temporairement à des actifs de valeur. Dans ces secteurs, un onboarding peu restrictif crée des opportunités pour capter des avantages ou ouvrir des comptes destinés au blanchiment d'argent. La logique est tout autre pour la fraude par prise de contrôle. Ici, les attaquants ne créent pas de nouveaux comptes — ils s'emparent de ceux qui existent. Via des identifiants volés, du phishing, des malwares ou de l'ingénierie sociale, ils investissent des comptes anciens et à forte valeur, leur permettant d'effectuer des virements, de souscrire des prêts ou d'accéder à des données sensibles. Dans le secteur des paiements, 82 % des tentatives de fraude surviennent après l'inscription ; dans les services professionnels, ce chiffre atteint 62 %. Les comptes anciens et à forte valeur sont particulièrement attractifs car ils permettent des virements de fonds, des prêts et l'accès à des données d'identité riches, ce qui les rend bien plus précieux que des comptes nouvellement créés. Ces données révèlent deux vérités fondamentales. Premièrement, aucune organisation ne peut se permettre de renforcer un seul point de contrôle au détriment des autres : chaque faille laissée ouverte devient une invitation. Deuxièmement, la fraude s'est professionnalisée. Elle est aujourd'hui organisée, stratégique, orientée vers les gains maximaux et les défenses minimales. La prévention doit couvrir l'intégralité du parcours Si la fraude peut frapper à chaque étape, la réponse doit être tout aussi globale. Les organisations qui déploient une stratégie d'identité cohérente sur l'ensemble du cycle de vie client économisent en moyenne 8 millions de dollars par an en coûts liés à la fraude, résultat d'une détection plus précoce, plus précise et surtout plus systématique. Trois piliers structurent cette approche : Faire de l'onboarding un premier rempart, pas une simple formalité L'inscription est la première occasion d'établir une confiance authentique et de détecter ce qui ne l'est pas. Des processus KYC ou KYE robustes associent vérification des documents d’identité et la reconnaissance faciale pour confirmer que la personne en face est bien celle qu'elle prétend être. La détection “liveness” ajoute une couche essentielle: elle distingue les vrais utilisateurs des identités synthétiques et des deepfakes, à l'origine d'environ une tentative de fraude biométrique sur cinq. Un onboarding rigoureux ne protège pas seulement contre la fraude immédiate, il réduit aussi les risques en aval liés aux comptes frauduleux qui auraient pu passer les mailles du filet. 2. Sécuriser les comptes existants par une authentification continue Vérifier l'identité une fois ne suffit plus. La menace est permanente, la réponse doit l'être aussi. L'authentification continue combinant authentification multifacteur et revérification biométrique permet de protéger les comptes établis sans alourdir l'expérience des utilisateurs légitimes. Mieux encore, elle permet d'adapter dynamiquement les exigences de sécurité en fonction du niveau de risque contextuel, plutôt que d'appliquer un contrôle statique aveugle. Dans le secteur des paiements, où la majorité des fraudes ciblent précisément le processus d'authentification, cette réactivité n'est pas un luxe c'est une nécessité. 3. Surveiller les comportements en temps réel, pas seulement les identités Un utilisateur peut présenter une identité légitime et adopter un comportement frauduleux. C'est là qu'intervient l'analyse comportementale en temps réel : en croisant les signaux de l'appareil, les habitudes de navigation, les schémas de connexion et les anomalies transactionnelles, il devient possible de détecter la fraude là où les contrôles d'identité traditionnels restent muets. À mesure que les attaques pilotées par l'IA gagnent en crédibilité, ce niveau de vigilance comportementale comble une lacune critique dans les défenses classiques. La fenêtre d'opportunité La fraude a toujours suivi le parcours client, épousant ses contours, exploitant ses angles morts. Ce qui a changé, c'est que la technologie permet désormais d'en faire autant du côté des défenseurs à condition de l'utiliser comme une stratégie cohérente et non comme une collection de contrôles isolés. Les organisations qui traitent l'identité comme un fil conducteur continu plutôt que comme une case à cocher à l'entrée seront mieux armées pour détecter plus tôt, répondre plus vite et protéger durablement leurs clients. La confiance numérique ne se décrète pas. Elle se construit, à chaque étape, avec rigueur et cohérence.

🔗 Lire l'article original 👁️ 0 lecture