17 juillet 2025
|

What color is your fraud ?

On a tendance à parler de fraude en oubliant qu’en pointant du doigt une « finalité » (après tout, une fraude a bien été commise), on peut passer à côté des solutions pour combattre le phénomène.

En effet, quand on parle de « lutte contre la fraude », en réalité il s’agit de « lutte contre les procédés qui facilitent / permettent la fraude ». Naturellement, cela peut paraitre évident. Mais cette reformulation a le mérite de qualifier la « fraude » comme un ensemble de processus.

Photo d'un schéma pointé du doigt avec le logo Oneytrust.

Et qu’est-ce qu’un processus d’après le Petit Robert ? « Ensemble de phénomènes, conçu comme actif et organisé dans le temps. »
Décortiquons donc cette définition pour une meilleure compréhension du sujet…


« Ensemble de phénomènes »
Certes, c’est très vaste. Chronologiquement, le premier phénomène à identifier et observer est la faille exploitée et l’influence que l’on peut avoir pour l’atténuer.


Du point de vue de celui qui exploite la faille, la question qui se pose est de savoir quel va être son niveau d’implication. C’est ce qui va déterminer si on peut lui attribuer l’étiquette de « fraudeur » ou de « tricheur ». Attention, les deux commettent une fraude.


Mais le fraudeur est un professionnel. Il a travaillé son sujet et son organisation. Il gère une petite entreprise, avec du volume. Il va automatiser au possible (bots). Son identité, il la préserve. L’identifier et donc recouvrer est une gageure.


A contrario, le tricheur est plutôt un amateur. Il est opportuniste et compte sur une certaine impunité. Son identité, il ne la cache pas ou mal. C’est une bonne chose pour le recouvrer…


Au fil des années, la porosité entre fraudeur et tricheur a été grandissante. D’abord avec le phénomène de « mules » (« tricheurs » dupés et recrutés par des « fraudeurs » pour réacheminer des colis), aujourd’hui avec le « fraud as a service » (« tricheurs » contractant avec des « fraudeurs » pour partager le bénéfice de la fraude, notamment en fraude au retour).

« conçu comme actif »

Le degré d’activité est déterminant. C’est ce qui vient trahir « l’ensemble de phénomènes ». L’observation de la vélocité est fondatrice dans la lutte contre la fraude.


Pour cela, il faut savoir rendre tout ce qui est observable en quantifiable. Parce que la fraude s’adapte. Aujourd’hui observer le nombre d’évènements attachés à une adresse électronique ne suffit plus. Il faut être en mesure de décortiquer la structure de ladite adresse électronique et de voir sa représentativité sur un ensemble. Est-elle dans la norme statistique (exemple : une adresse électronique avec un domaine atypique et un username composé de nombreux chiffres) ? Si non, y a-t-il une surreprésentation d’adresses électroniques avec les mêmes caractéristiques sur un temps relativement récent ?


Et cet exercice, il faut être en mesure de la faire pour chaque donnée. Pour chacune, il faut être en mesure d’associer un nombre maximum d’informations.

« organisé dans le temps »
La gestion du temps. Frapper « vite et fort » ou « rester en dessous du radar » pour profiter le plus longtemps possible de la faille exploitée. Le fraudeur pratique les deux. Le tricheur davantage la seconde.


Pour ce dernier, souvent, rien ne vaut la « watch list ». Si l’on ne croit plus depuis longtemps au Père Noël, force est de constater que disposer d’une « naughty list » est essentiel. Car, le tricheur étant souvent un « fraudeur à la petite semelle », il pratique le « stop and go ». Il peut donc s’arrêter un temps pour mieux revenir ensuite. Certes, tout le monde peut bénéficier du « droit à l’oubli ». C’est pour cela que la meilleure pratique est de créer un score de réputation multifactoriel.

“What now?
A travers la compréhension de la motivation du « camp adverse », l’analyse de ses pratiques, l’identification de ses outils, on peut construire une réponse adaptée et pérenne.


Par exemple, dans un environnement online. Pour les évènements faillibles, quel est l’indicateur de risque de fraude numéro un si je propose des services ou bien à des humains ? Et bien l’indication que j’ai affaire à un « non-humain ». Par conséquent, très en amont, je me prémunis en mettant en place un outil d’identification de « bot ». Une fois la chose adressée, qu’est-ce que je souhaite déterminer ? Est-ce que je « connais » l’individu associé à l’évènement que j’analyse ? Si oui, suis-je en mesure d’avoir des éléments attestant que c’est bien lui (risque d’usurpation / account takeover) ? Si non, est-ce que je peux disposer tout de même d’éléments qui me conforteraient sur le fait qu’il s’agit d’une identité fiable (identité digitale avec des attributs dans la norme) ?


C’est ce jeu de questions qui permet de construire un arbre décisionnel. Nous vous en livrons d’ailleurs un exemple. Decision Tree.


Alors, vous sentez-vous… la main verte ?