Découvrez la forme la plus sordide d’usurpation d’identité et comment protéger votre entreprise des fraudeurs.
Avez-vous déjà été victime d’une usurpation d’identité post-mortem, aussi appelée « ghosting » ?
Si le terme de « ghosting » définit généralement la disparition soudaine et inexplicable d’un prétendant potentiel, ce même terme renvoie à quelque chose de bien plus sinistre dans le contexte d’une escroquerie ; il s’agit du vol et de l’utilisation frauduleuse des données personnelles d’une personne décédée.
L’un des cas les plus célèbres de ghosting s’est produit en 2016 en Floride. Deux arnaqueurs ont réussi à pirater un système informatique et à accéder aux dossiers des personnes décédées. Ils ont notamment recueilli leurs nom, adresse, date de naissance et numéro de sécurité sociale qu’ils ont ensuite utilisés à des fins de fraude fiscale.
En remplissant plusieurs fausses déclarations de revenus, les deux escrocs ont reçu des chèques de remboursement indus d’une valeur de plusieurs millions de dollars. Le tout aux dépens du fisc américain, qui ne savait absolument pas que ces identités avaient été falsifiées, ni même que ces personnes étaient décédées.
Bien que l’on ne sache pas réellement combien de comptes ont été piratés, les fraudeurs ont été condamnés à rembourser plus de 1,26 million de dollars et à des peines respectives de 11 et 12 ans de prison.
Aussi incroyable soit-elle, cette histoire n’est pas un cas isolé. Avec l’augmentation du coût de la vie, le ghosting ou vol d’identité post-mortem devient de plus en plus courant.
Qu’est-ce que le ghosting ?
Le ghosting est le terme utilisé pour décrire une forme d’usurpation d’identité, par laquelle les auteurs se font passer pour une personne décédée à des fins lucratives.
Les fraudeurs utilisent le nom, l’adresse et d’autres données personnelles d’une personne décédée pour ouvrir des lignes de crédit, contracter des prêts ou (comme dans l’exemple ci-dessus) réclamer de l’argent aux impôts.
Le ghosting est rendu possible par des mécanismes de contrôle interne, de gestion des dossiers ou de suivis défaillants, ainsi que par des retards dans la mise à jour des bases de données. Au Royaume-Uni, les proches ont ainsi jusqu’à douze mois pour déclarer un décès.
Pire encore, dans certains pays, les organismes de prêt n’apprennent le décès d’un client qu’après avoir reçu l’appel d’un proche — ce qui est rarement la priorité d’une famille en deuil. En l’absence de notification officielle, les organismes de prêt gardent alors pendant des années les lignes de crédit ouvertes, tout en facturant des intérêts.
Mais plutôt que les proches des personnes décédées, ce sont les entreprises qui ont le plus à craindre. Contrairement à la fraude sentimentale, le vol d’identité post-mortem ne repose pas sur l’ingénierie sociale, mais plutôt sur la connaissance du client.
Nous en reparlerons plus loin.
Quels sont les différents types d’usurpations d’identité post-mortem ?
Dans le domaine du ghosting, il existe trois types de fraudes dont il faut se méfier.
La fraude au crédit
Celle-ci peut fonctionner de deux manières. La première implique un proche du défunt, qui dispose d’un accès physique aux comptes. Dans ce cas, le malfaiteur commence simplement à utiliser les cartes de crédit de la personne décédée sans en informer l’émetteur.
La deuxième peut se produire lorsque des escrocs s’emparent des coordonnées de la personne décédée. En accédant à des informations telles que le nom, la date de naissance et le numéro de sécurité sociale, ils disposent de toutes les informations nécessaires pour demander l’ouverture de nouveaux comptes.
Aux États-Unis, environ 800 000 cas de ghosting ont lieu chaque année dans le but d’ouvrir de nouvelles lignes de crédit.
Les entreprises les plus concernées par la fraude au crédit sont les établissements de crédit, tels que les banques ou les organismes de prêt. En l’absence de contrôles d’identité spécifiques ou d’un outil permettant de détecter les signaux suspects, ces institutions financières sont celles qui ont le plus à perdre.
La fraude fiscale
Les autorités fiscales du monde entier peuvent également être ciblées par le ghosting. En se procurant les coordonnées de personnes décédées, les criminels remplissent ainsi de fausses déclarations d’impôts afin d’obtenir des chèques de remboursement.
La fraude fiscale à l’aide de « coordonnées post-mortem » affecte principalement l’administration fiscale du pays où elle se produit. Cette année, le fisc américain a identifié environ 12 617 cas de fraude fiscale par vol d’identité aux États-Unis, avec des pertes chiffrées à plus de 6,3 milliards de dollars. Et il est fort probable qu’il ne s’agisse que de la partie émergée de l’iceberg, un grand nombre de cas restant indétectables.
La fuite de données d’entreprise
Ce n’est peut-être pas ce qui vient à l’esprit en premier lorsqu’on parle de ghosting, mais il existe un risque élevé de fuite de données au décès d’un employé.
Retour en arrière : en 2020, une fuite de données très médiatisée chez Twitter cause plus de 800 000 dollars de pertes et une chute du cours de l’action. Les fraudeurs avaient convaincu les employés qu’ils faisaient partie de l’équipe de sécurité et qu’ils devaient procéder à une vérification d’identité à l’aide des mots de passe lors du passage au travail à distance. Ils ont ensuite tweeté des liens vers des arnaques à la cryptomonnaie à partir des comptes piratés de personnalités et de célébrités, générant ainsi des centaines de milliers de dollars de bénéfices.
Dans le même registre, les escrocs peuvent tout à fait utiliser les identifiants d’employés décédés si leurs comptes n’ont pas été fermés par leurs employeurs.
Outre les possibles conséquences financières, subir une attaque de ghosting peut également nuire à la réputation de l’entreprise et faire fuir les nouveaux clients.
Les grandes entreprises ne peuvent pas simplement attendre un avis de décès ou compter sur un logiciel d’authentification tiers. Ce n’est que par une démarche de surveillance continue qu’elles parviendront à empêcher les accès frauduleux.
Quels sont les principaux défis posés par le ghosting pour les entreprises ?
Si la grande majorité des fraudeurs sont des professionnels aguerris, d’autres peuvent être des membres de la famille qui cherchent à tirer profit du décès de leur proche, ce qui rend la fraude encore plus difficile à détecter.
L’une des principales difficultés rencontrées par les entreprises est que certains escrocs peuvent facilement contourner des méthodes d’authentification obsolètes (par ex. : saisie de la date de naissance et du numéro de sécurité sociale).
C’est un point qui doit les alerter et les inciter à rapidement mettre à jour leurs systèmes de vérification d’identité afin de prendre en compte le risque de vol d’identité post-mortem — entre autres menaces telles que le blanchiment d’argent.
Comment détecter et prévenir les usurpations d’identité après le décès ?
Si les registres des personnes décédées en sont encore à l’âge de pierre, ce n’est pas une raison pour que votre entreprise le soit aussi.
Confiez la détection et la prévention du ghosting à une plateforme spécialisée dans la vérification d’identité et la prévention de la fraude telle que IDnow.
Notre protocole de vérification des données se divise en six volets :
- Rapport de solvabilité
- Patrimoine immobilier
- Contrôle de vulnérabilité financière
- Analyse de la demande
- Cohérence des revenus (en fonction du pays)
- Et sans oublier les données de mortalité, pour s’assurer que le demandeur n’est pas décédé et qu’il est donc bien celui qu’il prétend être.
Outre les données relatives à la mortalité, IDnow procède à des contrôles KYC pour dresser un profil complet de vos clients.
Une surveillance continue, grâce à un mécanisme d’authentification forte, permet à nos clients de respecter toutes les exigences réglementaires en vigueur. Nos services de vérification d’identité associent quant à eux des données biométriques (ex. : reconnaissance faciale ou empreinte digitale), des possessions (telles qu’un code envoyé sur le téléphone portable) et des questions spécifiques, pour une meilleure validité des contrôles d’identité.
Par
Ellie Burns
Team Lead Product Marketing chez IDnow
Rejoignez Ellie sur LinkedIn