Une ouverture de compte en ligne sur cinq est fausse. Les entreprises des secteurs de la finance, du commerce électronique, des voyages, du jeu ou des réseaux sociaux sont victimes d'une création massive de faux comptes, alimentée par des bots et des fraudeurs.

Cela peut parfois s'élever à des montants massifs. Rien qu'en 2019, Facebook a supprimé plus de 2 milliards de faux comptes, et LinkedIn a bloqué ou supprimé 21,6 millions de faux comptes en seulement six mois. Sur des plateformes de commerce électronique comme Amazon et Walmart, on estime que un tiers des avis sur les produits sont faux, beaucoup provenant de comptes frauduleux.

Pourquoi ces faux comptes existent-ils ? Et comment les entreprises peuvent-elles les détecter et empêcher leur création dès le départ ?

Comment fonctionne la création de faux comptes ?

Alors que les entreprises se concentrent sur la croissance des utilisateurs, elles ont tendance à alléger leur processus d'inscription, avec des formulaires simples demandant juste le nom et l'email, et parfois un numéro de téléphone. Cela augmente leur taux de conversion, mais aussi leur probabilité d'attirer des faux comptes.

La fraude à l'inscription de compte se produit lorsque des fraudeurs exploitent les vulnérabilités d'un site Web ou d'un formulaire d'inscription d'application. C'est principalement piloté par des bots, avec des scripts automatiques utilisant des informations fausses ou volées pour ressembler à des utilisateurs authentiques.

L'automatisation de la création de faux comptes a atteint un stade assez avancé, les bots incorporant des temps d'attente pour imiter le comportement humain et le marketing de 'bots comme service' qui peuvent être engagés pour créer des centaines de faux comptes pour vous.

La création de faux comptes peut également être fabriquée par l'homme, que ce soit quelqu'un essayant d'obtenir un deuxième essai gratuit ou des fermes de fraude, avec des travailleurs peu rémunérés créant des faux comptes toute la journée.

Pourquoi quelqu'un créerait-il un faux compte ?

Il existe étonnamment de nombreuses façons de monétiser un faux compte (surtout si vous en avez des milliers). Voici quelques exemples :

Abus d'essai gratuit et d'abonnement : De nombreux services basés sur un abonnement, comme les plateformes de streaming, les applications de fitness et les entreprises de jeux, offrent des essais gratuits pour attirer les utilisateurs. Les fraudeurs profitent de cela en créant ou revendant des faux comptes, leur permettant d'exploiter ces offres de manière répétée.

Faux avis sur les produits : Un problème répandu pour les places de marché et les plateformes de commerce électronique, les faux comptes sont souvent utilisés pour publier des avis positifs ou négatifs exagérés afin de manipuler les classements des produits. Une simple recherche sur Google pour "acheter des avis sur des produits" révèle à quel point ce marché frauduleux est répandu et florissant.

Fraude click et engagement : Les fraudeurs peuvent être payés pour générer de faux clics ou de faux engagements, que ce soit pour une entreprise cherchant à réduire le budget publicitaire de ses concurrents en cliquant sur toutes leurs annonces, ou pour un influenceur inspirant achetant des likes et des commentaires sur ses publications.

Blanchiment d'argent : Des plateformes de gig economy et des échanges de cryptomonnaies aux récompenses de jeux, les fraudeurs ont besoin d'un grand nombre de faux comptes pour blanchir de l'argent par différents canaux en ligne.

Vente de faux produits : Les faux comptes sur les plateformes de commerce électronique peuvent être utilisés pour vendre des produits inexistants, volés ou de mauvaise qualité (comme des produits expédiés sans frais étiquetés comme faits à la main ou des livres générés par IA).

Phishing et escroquerie : Jusqu'à 10 % des profils sur les applications de rencontres sont faux, principalement utilisés pour des tentatives de phishing. Ces faux profils visent à tromper les utilisateurs pour qu'ils partagent des informations personnelles ou tombent dans d'autres plans frauduleux.

Certaines industries sont plus ciblées que d'autres, comme :

• Banque et finance : pour faciliter le blanchiment d'argent, les transactions frauduleuses et le vol d'identité.

• Réseaux sociaux et plateformes de rencontres : utilisées pour des escroqueries, du phishing et un accroissement artificiel de l'engagement.

• Commerce électronique : pour manipuler les avis, exploiter les promotions et vendre des contrefaçons.

• Éducation : pour accéder à des contenus en ligne ou à des fraudes sur les aides financières.

• Jeux : pour tricher, obtenir des récompenses, et se livrer à des fraudes par carte de crédit.

Nous pourrions énumérer de nombreuses autres façons dont ces comptes peuvent être monétisés, comme manipuler l'opinion publique sur les réseaux sociaux ou tricher dans des jeux en ligne. Et parfois, les gens créent des faux comptes juste pour le plaisir de troller des utilisateurs en ligne.

Quel est l'impact des faux comptes ?

Pertes financières

La création de faux comptes peut avoir un impact financier profond sur les entreprises, principalement par des pertes directes. Les fraudeurs exploitent les essais gratuits et les offres promotionnelles en utilisant de faux comptes, entraînant des dépenses opérationnelles importantes pour des services qui n'atteignent jamais de véritables clients.

Mais les entreprises perdent également de l'argent sur des ressources comme la capacité des serveurs, la bande passante et le temps du personnel nécessaires pour soutenir ces faux utilisateurs.

Analytics falsifiés

Les faux comptes compromettent également l'exactitude des indicateurs commerciaux clés, cruciaux pour la prise de décision. Avec un nombre d'utilisateurs gonflé, les entreprises sont souvent induites en erreur, croyant croître plus vite qu'elles ne le sont réellement. Cela peut entraîner un dimensionnement prématuré de l'infrastructure, ce qui conduit à des investissements inutiles dans des domaines comme la technologie et le personnel.

Au-delà de cela, les faux comptes peuvent déformer les données d'engagement en produisant des clics, des vues ou des interactions gonflés, rendant difficile l'évaluation de la façon dont les réels clients interagissent avec l'entreprise.

Les analytics et les tests A/B, utilisés pour affiner les expériences clients et optimiser les stratégies marketing, deviennent également peu fiables lorsque les faux comptes faussent les résultats.

Budget marketing gaspillé

Les faux comptes peuvent être inclus dans les algorithmes de ciblage d'audience, ce qui signifie que les campagnes marketing sont dirigées vers des utilisateurs inexistants. Cela dilue l'efficacité des annonces et entraîne un mauvais retour sur investissement.

Réputation endommagée

Si une plateforme est connue pour être envahie de faux profils, les clients peuvent commencer à remettre en question la légitimité de son service ou de sa base d'utilisateurs. Personne ne veut discuter avec un bot ou un poisson-chat.

Pour les entreprises de commerce électronique, des faux comptes laissant de faux avis sur les produits peuvent saper la confiance dans le marché, érodant la confiance des consommateurs dans l'entreprise et ses vendeurs.

Coûts de support client

Le personnel de support doit gérer des demandes accrues liées à des activités frauduleuses, que ce soit pour traiter des plaintes concernant des escroqueries, traiter des remboursements pour des transactions frauduleuses, ou gérer des problèmes découlant de faux avis.

Le temps passé sur ces tâches détourne l'attention du soutien des clients légitimes, ce qui non seulement met à rude épreuve les ressources mais peut également diminuer la qualité du service pour les vrais utilisateurs. Au fil du temps, cette charge de travail accrue peut contribuer à une diminution globale de la satisfaction client, nuisant davantage à la réputation de l'entreprise.

Comment repérer les faux comptes ?

Détecter les faux comptes est une chose délicate, car il n'y a pas de solution unique. Cela nécessite de surveiller des modèles et des comportements inhabituels qui distinguent les utilisateurs frauduleux des utilisateurs légitimes.

Vous pouvez généralement rechercher l'un de ces signes d'alerte :

Modèles d'activité inhabituels : Les faux comptes montrent souvent un engagement irrégulier, comme un volume élevé d'actions dans un court laps de temps, ce qui serait manuellement impossible à réaliser.

Profils incomplets ou génériques : Photos de profil, noms d'utilisateur ou adresses email génériques qui semblent automatisés ou aléatoires, comme "paul1234" (désolé si c'est réellement votre nom d'utilisateur).

Anomalies d'adresse IP : Un grand nombre de comptes créés depuis la même adresse IP ou région dans un court laps de temps (spécifiquement si vous n'opérez généralement pas dans cette région) peut être un signal d'alerte.

Augmentation des inscriptions : Les faux comptes sont souvent générés en masse. Donc avant de déboucher le champagne pour célébrer tous ces nouveaux utilisateurs, vérifiez si eux semblent être des utilisateurs légitimes.

Comment empêcher la création de faux comptes dès le départ ?

Repérer les faux comptes est très bien, mais vous savez ce qui est encore mieux ? Les stopper avant qu'ils ne soient même créés ! Voici quelques conseils pour vous aider à faire exactement cela :

Implémenter une vérification CAPTCHA

Le CAPTCHA peut être une première couche pratique pour bloquer les bots lors du processus d'inscription, mais il n'est pas infaillible. Les bots sont de plus en plus capables de contourner les CAPTCHA en utilisant des techniques comme la reconnaissance optique de caractères (OCR) pour résoudre les défis automatiquement.

En fait, les services de résolution de CAPTCHA sont facilement disponibles en ligne à des coûts étonnamment bas, ce qui les rend moins efficaces en tant que défense autonome. De plus, soyons honnêtes, je n'ai jamais rencontré un autre humain qui aimait un champ CAPTCHA.

Placer des champs honeypot

Ce sont des champs de formulaire invisibles que les utilisateurs légitimes ne verront pas ou avec lesquels ils n'interagiront pas, mais que les bots le feront souvent. Lorsque le système automatisé remplit ces champs cachés, cela déclenche une alerte, vous permettant d'identifier et de bloquer le bot avant qu'il ne termine le processus d'inscription. Cette technique est transparente pour les vrais utilisateurs et très efficace pour attraper les tentatives automatisées.

Limiter la création de comptes

Définissez une limite sur la fréquence à laquelle les utilisateurs peuvent créer des comptes depuis le même appareil, domaine email ou numéro de téléphone. Cela empêche les escrocs de produire des comptes en masse avec de légers ajustements de données. Vous pourriez également restreindre le nombre de comptes pouvant être créés depuis une seule adresse IP dans un délai donné. Mais soyez prudent, car cela pourrait entraîner des faux positifs selon votre entreprise.

Vérification par numéro de téléphone

La vérification par téléphone est probablement le moyen le plus simple de mettre en œuvre la prévention des faux comptes, car elle peut être implémentée avec une API en moins d'un jour. Les utilisateurs n'ont généralement qu'un seul numéro de téléphone, les fraudeurs n'aiment pas révéler le leur et c'est un excellent moyen d'empêcher également les utilisateurs de créer plusieurs comptes.

La vérification par téléphone fonctionne en envoyant un mot de passe à usage unique (OTP) par SMS ou par un canal de messagerie en ligne comme WhatsApp. En utilisant une solution conçue pour limiter la fraude, comme Prelude, vous êtes assuré d'avoir une base d'utilisateurs sécurisée et authentique.

Authentification multifacteur (MFA)

Pour aller un pas plus loin, vous pouvez introduire la MFA lors du processus de création de compte pour authentifier les utilisateurs par plusieurs étapes, telles qu'un mot de passe et un code à usage unique envoyé à un appareil vérifié, rendant plus difficile pour les bots de créer des comptes.

Étude de cas : Comment Prelude a aidé Cubzh à prévenir la création de faux comptes sur sa plateforme de jeux

Cubzh est une plateforme de jeux qui allie la liberté créative de Minecraft à l'esprit communautaire de Roblox. Contrairement à ses concurrents, Cubzh privilégie la qualité de sa base d'utilisateurs plutôt que sa quantité.

Une caractéristique remarquable de la plateforme est le marché des Fabricants, où les utilisateurs peuvent gagner de la monnaie du jeu en créant des jeux réussis et être récompensés pour leurs contributions. Les joueurs peuvent également en gagner grâce à un engagement constant, avec des connexions quotidiennes et de nouvelles créations récompensées.

Cependant, Cubzh a été confrontée à des défis avec des tricheurs et des utilisateurs malveillants créant de faux comptes et des bots, menaçant son approche axée sur la communauté. Certains utilisateurs ont exploité le modèle freemium en créant plusieurs comptes pour maximiser leurs gains en jeu.

Traiter ces problèmes en interne a drainé du temps et des ressources qui auraient pu être mieux utilisées pour améliorer la plateforme. Pour faire face à cela, Cubzh a mis en œuvre les outils avancés de vérification de Prelude, qui sont devenus cruciaux dans leur lutte contre les faux comptes.

Maintenant, tous les nouveaux utilisateurs doivent vérifier leur identité en fournissant un numéro de téléphone (ou un numéro parental pour les utilisateurs de moins de 13 ans). L'API de vérification par SMS de Prelude garantit que chaque compte est légitime, permettant à Cubzh de :

• Protéger les jeunes joueurs et rassurer les parents

• Maintenir une communauté de haute qualité et authentique

• Prévenir l'abus du système freemium en empêchant les utilisateurs de créer plusieurs comptes

“L'API Prelude est vraiment facile à utiliser, nous avons pu mettre en œuvre la solution en moins d'un jour. Depuis lors, nous avons constaté une réelle amélioration de la qualité de notre base d'utilisateurs et de notre taux de désabonnement”, Adrien Duermael, PDG de Cubzh

Comment prévenir la création de faux comptes avec la vérification par téléphone ?

Commencer est simple. Avec l'API de Prelude, vous pouvez être opérationnel en seulement trois étapes, toutes décrites dans notre guide de démarrage rapide. L'ensemble du processus peut être complété en moins d'un jour, ce qui le rend rapide et sans tracas.

1. Obtenir le SDK : Nous fournissons des SDK pour de nombreux langages populaires pour vous faciliter la tâche, tels que Node, Go, Python, Ruby, Java, PHP ou C#.

2. Initialiser le SDK en collant le snippet disponible dans notre guide de démarrage rapide.

3. Envoyer et vérifier un code : appelez le point de terminaison d'authentification avec votre numéro de téléphone pour recevoir un code par SMS et le vérifier.

Et c'est tout—vous avez réussi à mettre en œuvre la vérification par SMS ! À partir de là, vous pouvez effectuer des tests pour vous assurer que l'intégration fonctionne correctement, ajouter des signaux de fraude pour une protection améliorée, et connecter votre webhook pour recevoir des notifications en temps réel lorsque un OTP est envoyé ou facturé.

Donc, si vous souhaitez atténuer les faux comptes sur votre plateforme, vous pouvez commencer gratuitement avec Prelude ou parler à notre équipe de vente !