Les fraudeurs n’ont plus besoin de vrais t\u00e9l\u00e9phones pour vider des comptes bancaires. Des smartphones virtuels h\u00e9berg\u00e9s dans le cloud, louables quelques centimes de l’heure, imitent sans probl\u00e8me de vrais appareils et passent sous le radar des syst\u00e8mes anti-fraude.<\/p>\n
Group-IB vient de publier un rapport qui fait froid dans le dos. Des plateformes comme GeeLark, Redfinger ou LDCloud proposent de louer des smartphones Android virtuels h\u00e9berg\u00e9s dans des datacenters, pour 0,10 \u00e0 0,50 dollar de l’heure. \u00c0 la base, ils sont pr\u00e9vus pour tester des apps ou g\u00e9rer plusieurs comptes.<\/p>\n
Sauf que les fraudeurs ont tr\u00e8s vite compris l’int\u00e9r\u00eat du truc. Ces t\u00e9l\u00e9phones fant\u00f4mes reproduisent tout ce qui fait un vrai smartphone : identifiant unique, adresse IP locale, g\u00e9olocalisation cr\u00e9dible, et m\u00eame des donn\u00e9es de capteurs comme l’acc\u00e9l\u00e9rom\u00e8tre ou le gyroscope.<\/p>\n
Votre banque croit parler \u00e0 un iPhone \u00e0 Paris. En r\u00e9alit\u00e9, c’est un serveur quelque part en Asie. Et le pire, c’est que \u00e7a marche. Les syst\u00e8mes anti-fraude qui se basent sur l’empreinte de l’appareil n’y voient que du feu.<\/p>\n
L\u00e0 o\u00f9 \u00e7a devient concret, c’est quand on regarde ce qui se vend sur les forums criminels. Des comptes bancaires pr\u00e9-v\u00e9rifi\u00e9s sur Revolut ou Wise, cr\u00e9\u00e9s via ces cloud phones, s’\u00e9changent entre 50 et 200 dollars.<\/p>\n
On parle de comptes mules utilis\u00e9s pour recevoir et faire transiter de l’argent vol\u00e9. Le tout \u00e0 \u00e9chelle industrielle. C\u00f4t\u00e9 chiffres, c’est vertigineux : 485 millions de livres de pertes li\u00e9es \u00e0 la fraude au Royaume-Uni en 2022.<\/p>\n
Aux \u00c9tats-Unis, Deloitte projette 14,9 milliards de dollars d’ici 2028, contre 8,3 milliards en 2024. Et la France n’est pas \u00e9pargn\u00e9e, avec 618 millions d’euros de fraude bancaire au premier semestre 2025, en hausse de 7 % par rapport \u00e0 2024.<\/p>\n
Group-IB a quand m\u00eame identifi\u00e9 quelques indices. Un cloud phone n’a en g\u00e9n\u00e9ral aucune application par d\u00e9faut install\u00e9e. Sa batterie reste bloqu\u00e9e \u00e0 100 %. Et surtout, les capteurs de mouvement ne bougent jamais, ce qui est impossible avec un vrai t\u00e9l\u00e9phone que quelqu’un tient dans la main.<\/p>\n
Le probl\u00e8me, c’est que ces indices sont marginaux face \u00e0 l’ampleur du ph\u00e9nom\u00e8ne. Les solutions propos\u00e9es passent par de l’analyse comportementale, de la mod\u00e9lisation par graphes et une meilleure corr\u00e9lation entre l’appareil et son environnement r\u00e9seau.<\/p>\n
Les banques vont devoir arr\u00eater de se fier uniquement \u00e0 l’empreinte du t\u00e9l\u00e9phone pour v\u00e9rifier que vous \u00eates bien vous.<\/p>\n
Le mod\u00e8le de s\u00e9curit\u00e9 des banques bas\u00e9 sur l’identification de l’appareil est en train de prendre l’eau. Ces cloud phones sont en location libre, parfaitement l\u00e9gaux, et n’importe qui peut en louer un.<\/p>\n
Et puis il faut le dire, les n\u00e9obanques qui ont mis\u00e9 \u00e0 fond sur la fluidit\u00e9 d’ouverture de compte se retrouvent avec le revers de la m\u00e9daille. Quand ouvrir un compte prend deux minutes depuis un t\u00e9l\u00e9phone virtuel \u00e0 50 dollars, on imagine bien que les fraudeurs ne se privent pas.<\/p>\n