La dématérialisation des cartes de fidélité offre un nouveau champ d’action aux fraudeurs de l’univers numérique.
Pour Léonard Moustacchis, directeur d’offre CIAM et Identités I-Tracing, spécialiste des services de cybersécurité, « la dématérialisation de la carte de fidélité est une tendance de fond depuis de nombreuses années pour le plus grand bénéfice des clients, des enseignes et… des fraudeurs ». Ainsi, le 6 décembre dernier, des enseignes de grande surface ont constaté que leurs cartes de fidélité faisaient l’objet d’un trafic de cagnotte auprès des hackeurs. Les pirates tentaient de récupérer l’identifiant et le mot de passe de l’utilisateur, notamment via l’hameçonnage, puis vendaient les informations à des acheteurs via les messageries cryptées sur Internet. Une fois en possession des coordonnées, l’acheteur se connectait sur l’application de l’enseigne pour ensuite dépenser la cagnotte en magasin. La grande distribution est une cible de choix, car elle combine un grand nombre d’utilisateurs (donc de cibles potentielles) et une valeur marchande des cagnottes de fidélité simples à utiliser.
3,4 millions de comptes compromis en France
Il y a peu de risques pour les hackeurs, car il s’agit de fraudes assez simples à mettre en œuvre. Il suffit de récupérer les identifiant et mot de passe des possesseurs de cartes de fidélité et de se connecter à leur compte pour récupérer la cagnotte. Et ces identifiants ne sont pas difficiles à trouver, car les clients utilisent souvent les mêmes identifiants sur de nombreux sites (environ 75 % des utilisateurs des sites de e-commerce utilisent les mêmes identifiants pour tout ou partie de leurs comptes client). Il suffit qu’un site soit hacké — violation de données (data breach) ou brute force, ou simplement attaqué par du bourrage d’identifiant (credential stuffing) — pour que le compte de l’utilisateur se retrouve en vente sur le darknet. On estime aujourd’hui à plusieurs centaines de millions le nombre de comptes compromis dans le monde, dont près de 3,4 millions en France !
La seconde authentification, une solution efficace
« Tout n’est pas perdu, des solutions existent ! rassure néanmoins Léonard Moustacchis. Par exemple, on constate que la mise en place d’une seconde authentification stoppe 99 % des accès aux comptes compromis. Il est possible de faire appel à des partenaires IT afin qu’ils puissent détecter, analyser, remédier, mais également mettre en place toutes les mesures pour prémunir les entreprises et leurs clients de ce types fraudes, sans compromis sur l’expérience utilisateur des utilisateurs légitimes. »
