Les comptes de fidélité sont un gros business, et les hackers et les fraudeurs se concentrent de plus en plus sur une mine d'or potentielle. Selon une étude, le marché mondial de la gestion de la fidélisation devrait connaître un taux de croissance annuel de 12,3 % au cours des sept prochaines années pour atteindre près de 18 milliards de dollars américains d'ici 2028. Et là où il y a de l'argent et des utilisateurs, la cybercriminalité suit inévitablement.

Qu'il s'agisse du détaillant britannique de produits de beauté et de santé Boots, de la chaîne de supermarchés australienne Woolworths ou de marques multinationales comme Tesco et Dunkin Donuts, les attaques contre les programmes de cartes de fidélité sont de plus en plus fréquentes. Les médias sociaux sont inondés d'histoires de victimes en colère qui ont vu leurs comptes vidés.

On estime à 48 000 milliards $ US le montant des points de fidélité non dépensés dans le monde. Il n'est donc pas surprenant que ces programmes soient devenus une cible de plus en plus populaire pour les cybercriminels au fil des ans, la pandémie de COVID-19 ne faisant qu'exacerber la menace. Si vous êtes un dépensier fidèle, vous devez prendre des précautions supplémentaires pour protéger vos comptes de récompenses. Il ne s'agit pas seulement des points à protéger, mais aussi de toute information personnelle sensible stockée dans ces comptes.

À quel point ces programmes de fidélité sont populaires ?

Selon Oracle, environ trois quarts (72 %) des milléniaux américains sont soit membres du programme de fidélité de leur marque préférée, soit prêts à y adhérer. Ces programmes sont un moyen populaire d'établir des liens plus étroits avec les clients en ligne, à une époque où la fidélité est difficile à gagner mais facile à perdre. Ils offrent généralement des remises et des offres spéciales, voire des biens, des services et des expériences gratuits aux membres qui accumulent suffisamment de points.

Il peut s'agir de

  • Des vols et des séjours à l'hôtel gratuits (par exemple, des miles aériens)
  • Des courses en taxi gratuites ou subventionnées (par exemple, Uber)
  • Des épiceries ou des produits gratuits.

En retour, les entreprises en question obtiennent des données très précieuses pour suivre le comportement d'achat et de navigation des clients - avec lesquelles elles améliorent ensuite leurs efforts de marketing et de promotion.

Que font les acteurs malveillants ?

Il existe essentiellement trois vecteurs potentiels de cybermenaces liées aux cartes de fidélité. D'une part, les marques peuvent être escroquées par des clients légitimes qui tentent de jouer le système en ouvrant, par exemple, plusieurs comptes. D'autre part, les employés malveillants de l'entreprise qui volent les informations personnelles identifiables (PII) et les points des clients constituent un autre risque possible. Cependant, la plus grande menace provient d'attaquants externes qui détournent des comptes pour voler des points, effectuer des achats, transférer des points ou voler les informations d’identification des clients pour les revendre dans les réseaux cybercriminels.

VOUS AIMEREZ ÉGALEMENT : Les fraudeurs en quête de vos points de fidélité durant la pandémie de COVID‑19
Marriott à nouveau piraté: 5,2 millions d’usagers touchés
SAQ Inspire : carte de fidélité et risques de sécurité 

Comment s'y prennent-ils ?

  • Hameçonnage via des courriels, SMS, appels téléphoniques et autres messages conçus pour inciter l'utilisateur à communiquer ses identifiants de compte.
  • Les attaques par bourrage d’identifiants, qui utilisent des mots de passe et des noms d'utilisateur déjà volées sur d'autres comptes en ligne qui partagent les mêmes crédits.
  • Récupération des identifiants via de fausses applications mobiles disponibles sur des e-stores d’applications non-officiels.

Est-ce grave problème ?

Il y a étonnamment peu de données récentes sur l'ampleur de ces attaques. Toutefois, selon une étude, la fraude aux cartes de fidélité a augmenté de 89 % en glissement annuel au début de 2020. La même étude estime que les pertes directes et indirectes liées à la fraude associée atteignent environ 1 milliard $ US par an.

En outre, 100 milliards d'attaques par bourrage d'identifiants ont été détectées entre juillet 2018 et juillet 2020, dont 63 milliards visaient les secteurs du commerce de détail, du voyage et de l'hôtellerie. Les comptes de fidélité d'hôtels peuvent être vendus sur des forums de cybercriminalité pour un montant pouvant atteindre 850 dollars américains. Certains cybercriminels entreprenants gèrent même des "agences de voyage" louches qui combinent des cartes de crédit volées et des programmes de fidélité de compagnies aériennes et d'hôtels.

Comment protéger vos points et comptes de fidélité ?

Que pouvez-vous faire pour protéger vos comptes en ligne les plus importants ? Comme c’est souvent le cas, la réponse se résume à suivre les meilleures pratiques en matière de gestion des mots de passe et de sensibilisation aux tentatives d’hameçonnage.

Voici nos sept principaux conseils :

  • Utilisez des mots de passe forts et uniques pour chaque compte et envisagez d’utiliser un gestionnaire de mots de passe pour les stocker (et en créer!).
  • Activez l'authentification multifactorielle pour tous les comptes qui le proposent. Cela contribuera grandement à protéger vos comptes des attaquants.
  • N'installez que des applications mobiles provenant de sources fiables.
  • Utilisez un logiciel d'analyse pour vous assurer que les applications ne contiennent pas de logiciels malveillants avant de les télécharger.
  • Déployez des logiciels de sécurité d'un fournisseur réputé sur tous les appareils.
  • Ne cliquez jamais sur des liens ou n'ouvrez jamais de pièces jointes dans des courriels, des textos ou des messages de médias sociaux non sollicités.
  • Si vous devez vous connecter à un compte de fidélité, visitez directement le site plutôt que de suivre des liens.

Les programmes de fidélisation et les cartes de récompense sont un pilier des stratégies modernes de marketing et d'engagement des clients. Ils constituent également une source d'argent bien établie pour les cybercriminels et les fraudeurs. L'adoption de quelques bonnes pratiques peut contribuer à sécuriser votre compte contre cette activité. De plus, étant donné que des milliards de dollars de points de récompense non dépensés languissent dans ces comptes, un autre bon moyen de garder les points hors de portée des malfaiteurs est de s'assurer que vous échangez effectivement vos récompenses.