Comprendre l'attaque en tant que service : l'écosystème obscur qui alimente la fraude d'identité

La démocratisation des cyberattaques est une tendance inquiétante. Les technologies et les méthodologies qui étaient autrefois l'apanage d'acteurs hautement qualifiés sont désormais accessibles à presque tout le monde, à condition de disposer d'un minimum de compétences techniques et de savoir naviguer sur les marchés du dark web. Cette transformation est particulièrement évidente dans le domaine des les attaques visant à vérifier l'identité, où l'essor de ces services a fondamentalement modifié le paysage des menaces.

Cet article explore comment l'attaque en tant que service (AaaS) a transformé la fraude d'identité, révèle les rouages de cet écosystème criminel et fournit des informations essentielles pour aider les organisations à se protéger contre cette menace en constante évolution.

Qu'est-ce que l'attaque en tant que service ?

L'attaque en tant que service représente la commercialisation et la démocratisation des capacités de cyberattaque. Tout comme les offres légitimes de logiciels en tant que service (SaaS), ces plateformes fournissent des outils prêts à l'emploi, une infrastructure et même une assistance clientèle pour exécuter des techniques d'attaque sophistiquées, disponibles à l'achat ou par abonnement.

Dans le contexte des attaques visant à vérifier l'identité, notre rapport sur les menaces révèle l'existence d'un écosystème florissant de communautés ciblant spécifiquement les systèmes de vérification d'identité à distance. Ces groupes ont évolué, passant de forums isolés partageant des techniques de base à des marchés sophistiqués proposant des solutions d'attaque complètes.

Plutôt que de vendre de simples outils logiciels, de nombreux fournisseurs proposent désormais des services complets, prenant en charge tous les aspects techniques de la création de contournements de vérification. Les clients peuvent acheter ces services de deux manières principales :

• Basé sur les services: payer pour des services techniques spécifiques (tels que le traitement de photos pour obtenir des changements de visage)
• Basé sur le volume: achat d'un nombre défini de comptes ou d'identités pré-vérifiés prêts à l'emploi.

Une personne peut payer pour la création d'un deepfake spécifique, tandis qu'une autre achètera quelques comptes intégrés. Ce modèle commercial offre des avantages considérables aux auteurs de menaces, notamment une exposition réduite à la surveillance de la sécurité, le contrôle des techniques propriétaires et des relations transactionnelles sécurisées avec d'autres fraudeurs.

Comprendre le paysage plus large de la criminalité en tant que service

L'attaque en tant que service pour contourner la vérification d'identité est un sous-ensemble spécialisé au sein du plus vaste écosystème Crime-as-a-Service (CaaS). Alors que ces services se concentrent sur le contournement des systèmes de vérification d'identité, le paysage CaaS au sens large couvre un large éventail d'activités criminelles, allant du vol d'identifiants et du blanchiment d'argent à la falsification de documents et autres cybercrimes. 

Cette interconnexion permet aux criminels de combiner plusieurs services pour mener des opérations frauduleuses en plusieurs étapes. Notamment, notre rapport sur les menaces met en évidence une tendance préoccupante : des groupes régionaux auparavant isolés collaborent désormais au-delà des frontières, reflétant la structure mondiale des réseaux commerciaux légitimes.

L'écosystème en pleine croissance : en chiffres

Le centre des opérations de sécurité iProov Security Operations Center (iSOC) a identifié 31 nouveaux groupes d'acteurs malveillants en ligne pour la seule année 2024, portant le nombre total de communautés suivies à un niveau alarmant. 

L'ampleur de cet écosystème est remarquable :

• 45 % de ces groupes développent et vendent leurs propres outils d'attaque
• 55 % se concentrent sur la revente ou la fourniture de services connexes
• L'écosystème comprend 34 965 utilisateurs au total.
• Les vendeurs d'outils attirent la majorité (68 %) des utilisateurs, desservant 23 698 personnes
• Neuf groupes ont plus de 1 500 utilisateurs, le plus grand comptant 6 400 membres

Ces communautés ne se contentent pas de croître en taille, elles deviennent également de plus en plus sophistiquées et spécialisées. Les discussions courantes portent sur des techniques telles que méthodes de contournement KYC, l'utilisation de la technologie deepfake pour les identités synthétiques, et les outils spécifiques aux plateformes. 

Le menu du service de lutte contre la fraude : ce qui est proposé

Les services disponibles sur ces places de marché ont évolué bien au-delà de simples outils. Les offres actuelles suivies par iProov comprennent :

1. Outils techniques et infrastructure

• Applications de permutation de visages : Plus de 130 applications surveillées par iProov, et ce chiffre ne cesse d'augmenter.
• Logiciel de caméra virtuelle : Plus de 90 outils
• Émulateurs mobiles: Y compris les capacités de falsification de localisation
• Outils de manipulation des métadonnées

2. Services opérationnels

• Culture d'identités : Génération et validation d' identités synthétiques (pour en savoir plus sur la récente opération majeure d'identity farming sur le dark web dévoilée par iProov ici)
• Comptes d'échange de cryptomonnaies ou outils de contournement KYC (pour en savoir plus, consultez notre nouvel eBook sur les cryptomonnaies)
• Tutoriels étape par étape : Pour contourner certains systèmes de vérification. Des personnes mal intentionnées vendent des « recettes » pour cibler votre organisation et vos plateformes.
• Services de développement personnalisés : Adaptés à des organisations spécifiques

3. Méthodes d'attaque avancées

• Techniques de contournement de la vérification KYC : Exploiter les vulnérabilités des contrôles d'identité (en savoir plus sur la vérification d'identité)
• Services de création de deepfakes : Ils réduisent dangereusement les obstacles à la création de deepfakes sophistiqués, souvent utilisés pour contourner les contrôles de vivacité statiques (mais inefficaces contre les solutions avancées telles que la vivacité dynamique).
• Conversion d'image en vidéo : Pour générer des identités synthétiques
• Chaînes d'attaques combinées : Conçues pour des institutions financières spécifiques

4. Partage de renseignements

• Informations sur les vulnérabilités : Informations sur les systèmes vulnérables
• Méthodes d'attaque efficaces : Documentées et partagées au sein de la communauté
• Listes cibles : Mise en évidence des systèmes dotés de mécanismes de vérification faibles
• Mises à jour en temps réel : Alerte en cas de modification des mesures de sécurité

Qu'est-ce qui stimule l'économie souterraine numérique ?

Ce qui rend ces communautés particulièrement dangereuses, c'est leur modèle économique efficace, semblable à celui d'une entreprise. Elles entretiennent leur réputation, offrent un service client et améliorent continuellement leurs services en fonction des commentaires des utilisateurs.

Selon les données de la FTC, la fraude liée à l'identité génère des milliards de dollars de pertes chaque année (environ 8,8 milliards de dollars en 2023 selon les données de la FTC), même une petite partie de ces revenus crée un marché lucratif pour les développeurs d'outils d'attaque. Cette incitation financière stimule l'innovation, la spécialisation et la collaboration au sein de l'écosystème.

Modèles de ciblage actuels

Le ciblage est stratégique et fondé sur le renseignement. Les opérateurs d'attaques profilent activement les systèmes de vérification et partagent leurs connaissances sur ceux qui sont les plus vulnérables.

Les systèmes qui repoussent efficacement les attaques acquièrent rapidement la réputation d'être des cibles difficiles, ce qui incite les auteurs de menaces à se tourner vers d'autres cibles. Ce « paradoxe du faible taux d'attaque » signifie que les systèmes les plus sécurisés sont souvent ceux qui subissent le moins d'attaques.

L'effet de démocratisation

L'aspect le plus préoccupant de ce phénomène est peut-être son rôle dans l'abaissement de la barrière technique à l'entrée, ce contre quoi nous avons mis en garde dans les précédentes versions de nos rapports sur les menaces informatiques. Des personnes disposant de connaissances techniques minimales peuvent désormais mener des attaques sophistiquées qui nécessitaient auparavant une expertise approfondie. Cela a plusieurs implications :

• Augmentation du volume des attaques : Un plus grand nombre d'attaquants potentiels entraîne des tentatives plus fréquentes.
• Cible plus large : Les organisations auparavant considérées comme présentant un faible risque sont désormais confrontées à des menaces sophistiquées.
• Exploitation plus rapide : Les nouvelles vulnérabilités sont rapidement commercialisées et exploitées.
• Modèles imprévisibles : Les opérateurs moins expérimentés peuvent involontairement utiliser des outils de manière innovante, contournant ainsi les méthodes de détection traditionnelles.

Se défendre contre ces menaces

Pour contrer cette menace émergente, il faut changer radicalement de stratégie en matière de sécurité. Les défenses statiques traditionnelles et les mises à jour périodiques ne suffisent plus. Les organisations doivent adopter :

• Surveillance continue : Mise en œuvre de capacités de détection et de réponse en temps réel dans le cadre d'une stratégie globale de sécurité. Pour en savoir plus sur la sécurité biométrique continue et adaptative, cliquez ici.
• Mesures de sécurité adaptatives : Développer des défenses qui évoluent parallèlement aux menaces émergentes.
• Intégration des renseignements sur les menaces : Surveillance active des tendances et des communautés d'acteurs malveillants, comme détaillé dans notre rapport sur les renseignements sur les menaces.
• Vérification multicouche : Déployer des systèmes qui valident la vitalité dynamique, et pas seulement les preuves statiques de vie (en savoir plus sur notre technologie de détection dynamique de la présence).

Conclusions sur l'écosystème des attaques en tant que service

L'écosystème qui soutient ces services d'attaque ne montre aucun signe de ralentissement. À mesure que les technologies d'IA légitimes progressent, les capacités d'attaque gagnent elles aussi en sophistication.

La commercialisation rapide de ces technologies signifie que les nouvelles innovations sont rapidement mises en œuvre et déployées. Les organisations doivent donc se préparer non seulement à l'inévitabilité de telles attaques, mais aussi à leur agilité et à leur vitesse d'évolution croissantes.

Le succès dépendra d'une surveillance continue, d'une réponse en temps réel et de mesures de sécurité qui évoluent aussi rapidement que le paysage des menaces lui-même.

• Téléchargez le rapport complet d'iProov sur les menaces informatiques pour 2025 Rapport 2025 sur les menaces informatiques pour obtenir une analyse complète de cet écosystème et des recommandations détaillées pour protéger votre organisation.
• Réservez une démonstration avec iProov dès aujourd'hui pour découvrir comment notre technologie dynamique de détection de présence humaine peut aider à protéger votre organisation contre la vague croissante de ces menaces avancées.