Selon le Rapport Global sur les Paiements et la Fraude eCommerce 2026 du MRC, 64 % des commerçants signalent une augmentation significative des abus en première partie. Le multi-comptage est l'un des moteurs les plus constants de ce chiffre : une seule personne réelle créant plusieurs comptes pour extraire de la valeur que la plateforme entend distribuer une fois par utilisateur réel. Des bonus d'inscription réclamés deux fois. Des récompenses de parrainage générées par auto-parrainage. Des essais gratuits prolongés indéfiniment via une séquence de nouvelles adresses email. Des limites de siège contournées en présentant chaque utilisateur simultané comme un titulaire de compte distinct.
Les règles de vélocité arrêtent l'opérateur qui crée dix comptes depuis la même adresse IP en trente minutes. Elles n'arrêtent pas l'opérateur qui comprend ce seuil, utilise un fournisseur d'email différent et un VPN pour chaque compte, et répartit la création sur trois jours. Le device fingerprinting capture le deuxième opérateur, car son appareil est plus difficile à faire tourner que son adresse email ou son IP. L'intelligence de domaine email capture le troisième opérateur, celui qui fait aussi tourner les appareils, mais dont l'infrastructure email laisse des signaux que les vérifications basées sur des règles ne peuvent pas voir.
Cet article explique comment la fraude multi-comptes fonctionne réellement en fintech et SaaS, où les règles de vélocité cessent de fournir un signal utile, et ce que le device fingerprinting combiné à l'intelligence de domaine email ajoute à la couverture de détection.
À quoi ressemble réellement la fraude multi-comptes en fintech et SaaS
Réponse rapide : La fraude multi-comptes en fintech comprend l'empilement de bonus, le farming de récompenses de parrainage, l'évitement des structures de frais et le contournement des limites de retrait ou d'exposition. En SaaS, il s'agit principalement du farming d'essais gratuits et du contournement des limites de siège. Le fil conducteur est une seule identité réelle se cachant derrière plusieurs comptes enregistrés pour accéder à une valeur destinée à être distribuée une fois par personne.
La version fintech du multi-comptage prend plusieurs formes. L'empilement de bonus est la plus simple : un bonus d'inscription est crédité une fois par compte, donc un opérateur qui crée cinq comptes et approvisionne chacun d'eux réclame le bonus cinq fois. Les comptes peuvent être approvisionnés depuis le même compte bancaire ou la même carte, ce qui peut être un signal détectable au niveau du paiement, mais les opérateurs à grande échelle utilisent plusieurs sources de financement ou des comptes mules pour masquer ce lien.
Le farming de récompenses de parrainage est au deuxième rang. Un programme de parrainage paie le parrain une récompense lorsqu'un nouvel utilisateur rejoint et atteint un seuil d'activité. Un opérateur qui contrôle à la fois le compte parrain et le compte parrainé peut générer des récompenses de parrainage sans aucune véritable acquisition d'utilisateur. Les boucles d'auto-parrainage sont la version simple ; les réseaux coordonnés où l'opérateur contrôle de nombreux comptes à travers plusieurs participants sont plus difficiles à identifier.
L'évitement des structures de frais est plus spécifique aux plateformes financières réglementées. Les limites de transfert, les plafonds de retrait et les niveaux de frais de transaction sont souvent structurés par compte. Un opérateur qui répartit son activité sur plusieurs comptes pour rester en dessous des seuils de frais sur chacun extrait de la valeur que la structure de frais était conçue pour récupérer. Les limites d'exposition dans les plateformes de prêt ou d'investissement sont similairement ciblées : des comptes séparés permettent plusieurs positions qui enfreindraient les limites par compte si elles étaient consolidées.
En SaaS, le schéma est plus simple mais tout aussi coûteux. Le farming d'essais gratuits est la forme la plus courante : une nouvelle adresse email génère un nouvel essai, et l'opérateur enchaîne les fournisseurs d'email pour maintenir un accès continu aux fonctionnalités du niveau d'essai sans convertir. Le contournement des limites de siège est plus sophistiqué : l'opérateur utilise un siège payant et distribue les identifiants de connexion à des utilisateurs supplémentaires, faisant tourner qui est actif à un moment donné pour éviter de déclencher des limites de sessions simultanées.
Le motif économique est cohérent à travers tous ces schémas : l'opérateur extrait de la valeur de la plateforme à un coût inférieur à ce que la plateforme entendait facturer. L'ampleur de cette extraction est directement proportionnelle à la facilité avec laquelle il peut créer et gérer plusieurs comptes.
Pourquoi la vérification d'email et les règles de vélocité en manquent la plupart
Réponse rapide : Les règles de vélocité signalent les comptes créés en rafales depuis la même IP ou avec le même schéma d'email. Les services d'email jetable contournent les vérifications d'unicité d'email. Les VPN et les proxies résidentiels contournent la vélocité IP. Un opérateur organisé qui comprend ces seuils et y travaille, avec une IP différente, un domaine d'email différent, des comptes créés sur plusieurs jours plutôt qu'en quelques heures, peut enregistrer des dizaines de comptes sans déclencher une seule alerte.
La vérification d'email prouve qu'une adresse email existe et que quelqu'un a accès à la boîte de réception. Elle ne prouve pas que deux adresses email différentes appartiennent à des personnes réelles différentes. Un service d'email jetable comme Mailinator, Guerrilla Mail, Temp Mail ou 10 Minute Mail génère une boîte de réception fonctionnelle en quelques secondes. Chaque boîte de réception produit une adresse email unique qui passe la validation de format et reçoit les codes de vérification. Du point de vue du flux d'inscription, chacune est un nouvel utilisateur distinct. Du point de vue de l'attaquant, ce sont tous le même opérateur.
Les opérateurs à grande échelle dépassant les services d'email jetables utilisent des domaines fraîchement enregistrés. Un domaine enregistré il y a 48 heures avec des enregistrements MX valides passera toutes les vérifications de format et de liste noire d'email. L'opérateur génère n'importe quel nombre de boîtes de réception sur ce domaine et les utilise pour la création de compte. Le coût du domaine est faible ; les inscriptions qu'il permet sont illimitées.
Les règles de vélocité IP sont contournées par la rotation de proxies. Les services de proxies résidentiels donnent accès à des adresses IP assignées à de vraies connexions internet grand public, faisant apparaître chaque requête comme provenant d'un ménage différent. Un opérateur qui fait tourner les IP résidentielles pour chaque tentative de création de compte ne déclenchera pas de règle de vélocité par IP car chaque IP n'apparaît qu'une ou deux fois.
La dimension temporelle est la lacune la plus sous-estimée. Les règles de vélocité opèrent sur des fenêtres temporelles : cinq comptes depuis la même IP en une heure est suspect ; un compte depuis la même IP chaque jour pendant cinq jours peut ne pas l'être. Un opérateur qui crée des comptes à un rythme qui reste dans les seuils par IP et par email, tout en faisant tourner les IP et les fournisseurs d'email entre les inscriptions, contourne presque tous les systèmes basés sur des règles sans générer une seule alerte. Le schéma n'est visible qu'en agrégat, sur une fenêtre temporelle plus longue que ce que les règles surveillent.
Ce qu'ajoute le device fingerprinting à la détection multi-comptes
Réponse rapide : Une empreinte d'appareil est plus difficile à changer qu'une adresse email ou une adresse IP. Un opérateur exécutant une campagne multi-comptes depuis le même matériel laisse une empreinte d'appareil cohérente sur toutes les inscriptions, même lorsqu'il fait tourner les fournisseurs d'email et les adresses IP de proxy. La correspondance d'empreintes entre comptes identifie les opérateurs multi-comptes dont les inscriptions individuelles passent chaque vérification basée sur des règles.
L'appareil générant une campagne multi-comptes, sa configuration de navigateur, ses caractéristiques matérielles, son comportement de rendu canvas, son ensemble de polices, ses signaux de timing et des dizaines d'autres attributs, est plus stable que l'adresse IP ou le fournisseur d'email qu'il utilise pour chaque compte. Un opérateur qui change son email et son IP pour chaque compte mais utilise le même ordinateur portable génère la même empreinte d'appareil à chaque fois.
La correspondance d'empreintes entre comptes est là où cela devient exploitable. Un seul compte avec une empreinte d'appareil donnée n'est pas un signal de fraude. La même empreinte d'appareil apparaissant sur quinze inscriptions créées sur sept jours, toutes avec des adresses email différentes, est un signal fort de multi-comptage, même si chaque inscription individuelle a passé toutes les règles de vélocité proprement. Le schéma entre comptes n'est visible que lorsque le signal d'empreinte persiste et est corrélé sur la fenêtre temporelle.
Le problème des anti-detect browsers est une contre-mesure connue. Les opérateurs qui comprennent le device fingerprinting utilisent des outils comme Multilogin ou Linken Sphere, qui créent des profils de navigateur isolés avec des empreintes distinctes et synthétisées pour chaque compte. Ces outils font tourner avec succès les valeurs d'empreinte que les vérifications de fingerprinting simples contrôlent. La détection de cside répond à cela en identifiant l'anti-detect browser lui-même : les paramètres d'empreinte synthétisés, les artefacts de cohérence des valeurs générées par profil, et les caractéristiques de l'environnement navigateur qui distinguent un profil anti-detect géré d'un vrai navigateur d'utilisateur. Détecter qu'un anti-detect browser est utilisé est lui-même un signal négatif fort.
La combinaison de la corrélation des empreintes d'appareils et de la détection des anti-detect browsers couvre deux profils d'opérateurs distincts. L'opérateur qui ne connaît pas le fingerprinting est capturé par la correspondance d'empreintes entre comptes. L'opérateur qui utilise un anti-detect browser pour vaincre le fingerprinting est capturé par la détection des anti-detect browsers. Un opérateur qui utilise un appareil vraiment différent pour chaque compte n'est pas capturé par la couche de fingerprinting, mais il fait face à une contrainte différente : le coût et la logistique de gérer des dizaines d'appareils distincts limite l'ampleur.
Pour les équipes fraude, la corrélation des empreintes d'appareils s'intègre aux flux de travail de gestion des comptes existants. La sortie est une association entre comptes : ces comptes partagent une empreinte d'appareil et sont probablement opérés par la même personne réelle. L'équipe examine ensuite l'association et prend des mesures selon sa propre politique : fermeture de compte, blocage de fonds ou demande de vérification renforcée.
En savoir plus sur le device fingerprinting de cside et la corrélation entre comptes.
Comment l'intelligence de domaine email capture les comptes que le device fingerprinting manque
Réponse rapide : Un opérateur suffisamment sophistiqué pour utiliser un appareil différent pour chaque inscription multi-comptes a résolu le problème du fingerprinting mais n'a pas résolu le problème de l'email. Il a encore besoin d'adresses email pour la vérification de compte, et l'infrastructure qu'il utilise pour générer ces adresses laisse des signaux au niveau du domaine. L'intelligence de domaine email de cside, les listes de fournisseurs jetables, les signaux de domaine resolver-v2 et l'analyse LLM Brontar, capture les domaines fraîchement enregistrés, l'infrastructure d'hébergement partagé et les domaines imitant des entreprises que le device fingerprinting ne peut pas voir.
Un opérateur suffisamment sophistiqué pour utiliser un appareil différent pour chaque inscription multi-comptes a résolu le problème du fingerprinting mais n'a pas résolu le problème de l'email. Il a encore besoin d'adresses email pour la vérification de compte, et l'infrastructure qu'il utilise pour générer ces adresses laisse des signaux au niveau du domaine.
La couche 2 de l'intelligence de domaine email de cside capture les cas évidents : Mailinator, Guerrilla Mail, Temp Mail, 10 Minute Mail et des centaines de fournisseurs d'email jetables similaires sont bloqués immédiatement sur correspondance de domaine. Pour les fournisseurs de courrier jetable bien connus, c'est rapide et fiable.
Le schéma plus sophistiqué est celui des domaines fraîchement enregistrés. Un opérateur qui enregistre appworklist.com deux jours avant le début de sa campagne multi-comptes passera toutes les vérifications de liste noire. resolver-v2 capture cela en évaluant l'âge d'enregistrement WHOIS parallèlement à la qualité de configuration DNS/MX/SPF/DMARC et à la réputation de l'ASN d'hébergement de l'IP résolue. Un domaine enregistré il y a 48 heures sur un fournisseur d'hébergement à mauvaise réputation présente un profil de risque matériellement différent d'un domaine enregistré il y a deux ans auprès d'un fournisseur de messagerie bien établi.
La couche Brontar gère le milieu ambigu : les domaines qui ne sont pas assez récents pour que resolver-v2 les signale avec confiance, mais qui ne représentent toujours pas de vraies entreprises en exploitation. Brontar effectue une recherche web sur le domaine pour évaluer si une présence commerciale cohérente existe, résout le domaine vers son IP, effectue un DNS inverse sur cette IP pour identifier les domaines co-hébergés, et les corrèle contre le corpus d'infrastructure associée à la fraude de cside. Un opérateur qui a enregistré son domaine il y a trois mois mais n'a pas de présence web et partage un environnement d'hébergement avec quinze autres domaines enregistrés dans la même semaine a un profil très différent d'une vraie entreprise.
Le résultat opérationnel est que l'intelligence de domaine email de cside capture les opérateurs multi-comptes lors de l'inscription sur la base de leur infrastructure email, même lorsque leurs signaux d'appareil semblent propres. Combinées au device fingerprinting, les deux couches couvrent les stratégies d'évasion les plus courantes : même appareil avec email différent (le fingerprinting le capture), appareil différent avec le même schéma d'infrastructure email (l'intelligence email le capture).
Pour les équipes gérant des populations de comptes existantes, la combinaison permet également une analyse rétroactive : exécuter les vérifications d'intelligence de domaine email sur les adresses email historiques dans la base de données de comptes identifie des clusters de comptes qui ont été créés avec les mêmes signaux d'infrastructure email, même si ces signaux n'ont pas été évalués au moment de l'inscription.
Ce que cela signifie pour les équipes fraude et croissance
Réponse rapide : La détection multi-comptes chez cside opère lors de l'inscription et sur les populations de comptes existantes. Lors de l'inscription, l'intelligence de domaine email et le fingerprinting de session navigateur empêchent la création de comptes en double. Sur les comptes existants, la corrélation des empreintes d'appareils identifie les comptes qui ont déjà été créés depuis le même matériel. Les deux sorties s'alimentent dans le même signal de risque sur lequel l'équipe fraude agit déjà.
La détection au moment de l'inscription est l'intervention à l'effet de levier le plus élevé. Le bon moment pour arrêter un opérateur multi-comptes est avant que son deuxième compte n'existe. Chaque compte créé avant la détection étend la période pendant laquelle l'opérateur peut extraire de la valeur, et chaque compte nécessite un travail de remédiation après coup. Les signaux de cside au moment de l'inscription, l'intelligence de domaine email et le fingerprinting de session navigateur, s'exécutent avant que la création de compte ne soit terminée, donnant à l'équipe fraude la possibilité de bloquer ou de signaler l'inscription avant que la valeur ne soit accessible.
La corrélation entre comptes adresse les comptes qui existent déjà. Dans toute population de comptes avec des données d'inscription historiques, la corrélation des empreintes d'appareils sur les comptes créés dans la même fenêtre temporelle identifie des clusters d'opérateurs multi-comptes probables. C'est particulièrement utile pour les plateformes qui ont implémenté la détection après qu'une campagne de multi-comptage ait déjà commencé : l'analyse rétroactive identifie quels comptes existants réviser.
La question de calibration du risque diffère significativement entre la fintech et le SaaS. Une plateforme fintech grand public où le multi-comptage génère des paiements de bonus directs a une urgence élevée et une faible tolérance aux faux positifs. Un SaaS d'outils développeur où le farming d'essais gratuits retarde la conversion mais ne génère pas de pertes directes a une urgence différente et une tolérance différente. Le seuil de confiance de Brontar et la gestion des verdicts à faible confiance peuvent être ajustés au profil de risque spécifique de chaque plateforme.
Pour les équipes croissance, l'intégration avec la gestion des programmes de parrainage est particulièrement pertinente. La détection de fraude de parrainage nécessite les mêmes signaux que la détection multi-comptes : la corrélation des empreintes d'appareils entre comptes identifie les boucles d'auto-parrainage ; l'intelligence de domaine email identifie les destinataires d'invitations de parrainage qui opèrent depuis la même infrastructure email que le parrain. La détection à l'étape de parrainage plutôt qu'après le paiement de la récompense est matériellement moins coûteuse opérationnellement.
Dans la surveillance des empreintes entre comptes de cside, le schéma multi-comptes le plus constant est la même empreinte d'appareil apparaissant sur des inscriptions qui utilisent différents fournisseurs d'email sur des domaines créés dans la même fenêtre de 72 heures. La rotation de l'infrastructure email est quasi universelle parmi les opérateurs organisés ; la rotation du matériel est rare. Cette asymétrie est ce qui fait de la corrélation des empreintes d'appareils entre comptes la couche de détection au signal le plus élevé pour les campagnes de multi-comptage organisées, particulièrement dans les contextes fintech et SaaS où les règles de vélocité ont déjà été contournées.
La question de gestion des faux positifs est importante pour les plateformes où l'utilisation multi-appareils est attendue. La corrélation des empreintes d'appareils de cside distingue entre un seul utilisateur sur plusieurs appareils (contexte utilisateur cohérent entre les empreintes, même zone géographique, mêmes schémas de session) et plusieurs opérateurs sur ce qui se présente comme un seul compte (profils d'appareils distincts, zones géographiques potentiellement différentes, comportements de session différents). La sortie du score de confiance route les cas limites, comme un foyer où deux membres de la famille partagent un abonnement, vers une file d'attente de révision plutôt qu'un blocage automatique.
cside est certifié SOC 2. La posture de sécurité complète est documentée sur trust.cside.com.
