The dematerialization of loyalty cards offers a new field of action for fraudsters in the digital world.
For Leonard Moustacchis, CIAM and I-Tracing Identities offer director, cybersecurity services specialist, “the dematerialization of the loyalty card has been an underlying trend for many years for the greatest benefit of customers, brands and… fraudsters”. So, le 6 décembre dernier, des enseignes de grande surface ont constaté que leurs cartes de fidélité faisaient l’objet d’un trafic de cagnotte auprès des hackeurs. Les pirates tentaient de récupérer l’identifiant et le mot de passe de l’utilisateur, notamment via l’hameçonnage, puis vendaient les informations à des acheteurs via les messageries cryptées sur Internet. Une fois en possession des coordonnées, l’acheteur se connectait sur l’application de l’enseigne pour ensuite dépenser la cagnotte en magasin. La grande distribution est une cible de choix, car elle combine un grand nombre d’utilisateurs (donc de cibles potentielles) et une valeur marchande des cagnottes de fidélité simples à utiliser.
3,4 millions de comptes compromis en France
Il y a peu de risques pour les hackeurs, car il s’agit de fraudes assez simples à mettre en œuvre. Il suffit de récupérer les identifiant et mot de passe des possesseurs de cartes de fidélité et de se connecter à leur compte pour récupérer la cagnotte. Et ces identifiants ne sont pas difficiles à trouver, car les clients utilisent souvent les mêmes identifiants sur de nombreux sites (environ 75 % des utilisateurs des sites de e-commerce utilisent les mêmes identifiants pour tout ou partie de leurs comptes client). Il suffit qu’un site soit hacké — violation de données (data breach) ou brute force, ou simplement attaqué par du bourrage d’identifiant (credential stuffing) — pour que le compte de l’utilisateur se retrouve en vente sur le darknet. On estime aujourd’hui à plusieurs centaines de millions le nombre de comptes compromis dans le monde, dont près de 3,4 millions en France !
La seconde authentification, une solution efficace
« Tout n’est pas perdu, des solutions existent ! rassure néanmoins Léonard Moustacchis. for example, on constate que la mise en place d’une seconde authentification stoppe 99 % des accès aux comptes compromis. Il est possible de faire appel à des partenaires IT afin qu’ils puissent détecter, analyser, remédier, mais également mettre en place toutes les mesures pour prémunir les entreprises et leurs clients de ce types fraudes, sans compromis sur l’expérience utilisateur des utilisateurs légitimes. »
