Les rapports de crimes d’identité au Centre de ressources sur le vol d’identité ont continué de diminuer en 2024 à partir de 2023. Cependant, les victimes qui signalent leurs crimes subissent des pertes financières plus que jamais, selon le Rapport des tendances de l’identité de l’ITRC en 2025, publié mardi.
Le COO de l’ITRC, James E. Lee, a déclaré à Technewsworld qu’il existe un certain nombre de facteurs contribuant à la baisse des rapports et à l’augmentation des pertes. Un de ces facteurs est que les victimes sont arnaquées plus d’une fois. Le rapport a noté que le nombre de personnes présentant de multiples incidents liés à l’identité est passé de 15% en 2023 à 24% en 2024. « Nous pensons que c’est le résultat de l’emploi de l’IA par les cybercriminels », a déclaré Lee.
À mesure que le contenu généré par l’IA devient plus réaliste, il devient plus difficile d’identifier et de bloquer les tentatives frauduleuses, a expliqué le rapport. Ces voleurs ne demandent pas seulement de l’argent. Ils travailleront pour obtenir autant d’identifiants personnels que possible pour reprendre les comptes existants, en établir de nouveaux ou vendre les informations pour gagner de l’argent.
De plus, l’IA a permis à Digital Desperadoes d’affiner leurs efforts. «Les cybercriminels sont devenus beaucoup plus chirurgicaux en ciblant des individus de grande valeur ou en exploitant de grands ensembles de données avec une automatisation sophistiquée», a expliqué Ensar Seker, directeur de la sécurité de l’information de Socradar, une société de renseignement sur les menaces, à Newark, Del.
« Au lieu d’attaques larges et bruyantes, nous voyons maintenant des campagnes de phishing de lance et de rembourrage des diplômes alimentées par l’IA qui drainent tranquillement les comptes avec une détection minimale », a-t-il déclaré à Technewsworld. «Les victimes ne réalisent souvent même pas qu’elles ont été compromises tant que les dommages financiers sont déjà causés, et à ce moment-là, certains estiment que les reportages ne vous aideront pas.»
« L’IA est devenue un changement de jeu dans le vol d’identité », a-t-il ajouté. «De la création de courriels de phishing crédibles à la génération de documents de fraude vocale et d’identité DeepFake, les acteurs de la menace utilisent désormais des outils d’IA génératifs pour évoluer la tromperie à un coût proche de zéro. Ces outils réduisent considérablement les obstacles techniques pour les criminels novices tout en amplifiant l’efficacité de groupes assaisonnés. La fraude à l’identité n’est plus un processus manuel.
La fatigue des victimes reportait
Rosario Mastrogiacomo, vice-président de la stratégie et de l’ingénierie des solutions chez Sphere Technology Solutions, une société de logiciels et de services de gouvernance des données à Hoboken, NJ, a expliqué que les cybercriminels utilisent des données violées, des reconnaissances de l’IA-a-AI et des marchés Web sombres pour se concentrer sur des individus et des références de grande valeur AI. « Cela conduit à moins d’incidents globaux signalés, mais chaque attaque réussie a un impact financier plus important », a-t-il déclaré à Technewsworld.
« Il y a aussi une barrière psychologique croissante aux rapports à mesure que le public devient désensibilisé aux violations », a-t-il ajouté.
En effet, un autre facteur cité dans le rapport contribuant à la baisse des rapports sur la criminalité est la «fatigue des victimes» associée au rythme incessant des violations de données et des cyberattaques, créant un sentiment de désespoir et d’impuissance. « Les gens sont juste paralysés (psychologiquement), et ils ne savent pas quoi faire, donc ils ne font rien », a déclaré le Lee de l’ITRC.
« Selon la nature du crime dont ils sont victimes, souvent, ils l’entraînent, et ils ne le signalent pas du tout », a-t-il poursuivi. «Ils sont gênés. Ils ressentent la honte. Ils ressentent la culpabilité. Ils ne se tournent donc vers personne pour une aide.»
« Compte tenu de la quantité d’attaques que la personne typique éprouve – par exemple, certaines des escroqueries récentes et agressives non rémunérées qui entrent par e-mail ou par SMS – il est naturel que les gens passent moins de temps à signaler les attaques qu’auparavant », a ajouté Erich Kron, Avocat de sensibilisation à la sécurité chez Knowbe4, un fournisseur de formation de sensibilisation de la sécurité, à Clearwater, Fla.
« Ajouter à la fréquence accrue, le mauvais record de l’arrestation des personnes responsables et vous avez la formule parfaite pour l’apathie », a-t-il déclaré à Technewsworld.
James Maude, CTO de Beyondtrust, un fabricant de solutions de gestion de compte privilégiées et de gestion de la vulnérabilité à Carlsbad, en Californie, a ajouté que les organisations ont également les raisons de ne pas signaler le vol d’identité. «De nombreuses organisations orientées client, en particulier dans le commerce de détail, radabiliseront rapidement les pertes associées aux identités de clients compromises, car elles ont accepté que l’ajout de (plus) une sécurité qui protégerait les comptes des clients n’augmenterait que la friction et réduirait la probabilité d’achats futurs», a-t-il déclaré à Technewsworld.
« À l’ère des achats en ligne et de la gratification instantanée, tout mécanisme de sécurité pour défier un utilisateur et vérifier son identité peut être considéré comme un désavantage concurrentiel », a-t-il déclaré.
Les moteurs de recherche obscurcissent les ressources de rapport
Un autre contributeur à la baisse des rapports est l’état actuel de la recherche sur Internet. « Historiquement, tout le monde a découvert où ils pouvaient aller chercher de l’aide en faisant une recherche Google ou en utilisant un autre moteur de recherche », a expliqué Lee. «Aujourd’hui, en raison de la façon dont les retours de recherche sont formulés et affichés, les organisations vers lesquelles vous vous tournez ne sont pas affichées dans ces moteurs de recherche.»
« Vous devez donc faire défiler le chemin vers le bas pour découvrir la source réelle des informations ou l’organisation réelle », a-t-il déclaré. « Cela a un impact sur la FTC. Cela a un impact sur l’ITRC. Cela a un impact sur le FBI. Cela a un impact sur l’application des lois locales. Parce que nous n’achetons pas d’annonces, et nous ne payons pas pour un retour de recherche plus haut, nous sommes enterrés. »
« Notre trafic Web est considérablement en baisse, et nous entendons l’anecdote de personnes qui nous contactent qu’ils ont eu du mal à nous trouver à cause du défilement », a-t-il ajouté. « Nous savons donc que ce soit, et en parlant à d’autres groupes de pairs et à d’autres organisations, ils vivent la même chose. Ce n’est pas unique à l’ITRC, mais c’est un phénomène qui a un impact sur les organisations qui ont historiquement dépendante des rendements de recherche organique pour les gens pour les trouver. »
Le rapport ITRC a également noté une augmentation d’une année à l’autre du vol de documents. Par exemple, les rapports de vol de permis de conduire sont passés à 22% en 2024, contre 20% en 2023; Le vol de cartes de sécurité sociale est passé à 20% par rapport à 18%; et le vol de certificat de naissance est passé à 8% contre 1%.
Dans l’ensemble, il y a eu une augmentation de 71% des rapports de documents volés avec des informations personnelles. Lee a expliqué que le type d’activité criminelle se produit généralement lorsqu’il y a une catastrophe naturelle à grande échelle et que les gens perdent leurs documents fondamentaux.
Le Seker de Socradar a ajouté que l’augmentation des documents fondamentaux volés, tels que les SSN et les certificats de naissance, découle probablement de violations ciblées de portails gouvernementaux, de prestataires de soins de santé et de systèmes scolaires où de tels dossiers sont archivés. « Ces documents sont les clés de la création de l’identité synthétique, ils sont donc devenus des cibles principales pour les bagues de fraude qui construisent des escroqueries à long terme », a-t-il déclaré.
« Les identifiants gouvernementaux volés sont les clés d’or pour ouvrir de nouvelles lignes de crédit, de faux emplois et même des escroqueries d’immigration », a ajouté Rob Shavell, co-fondateur et PDG de DeleteMe basé à Boston, un service de confidentialité qui aide les utilisateurs à supprimer leurs informations personnelles des sites Web de courtiers de données.
« Les criminels n’ont pas besoin de pirater des bases de données », a-t-il déclaré à Technewsworld. «Ils peuvent reconstituer suffisamment votre identité à partir de sites de courtiers, de dossiers publics et de vieilles violations pour poser de manière convaincante comme vous ou créer une version synthétique.»
Le manque d’orientation alimente les risques d’identité
Shavell a noté que le rapport ITRC fait un travail important pour mettre en lumière les dommages croissants causés par les crimes d’identité, mais le rapport ne s’adresse pas à l’image complète. « Il se concentre fortement sur les événements de violation mais manque l’exposition persistante des données personnelles qui permet des menaces modernes en premier lieu », a-t-il déclaré.
« Aujourd’hui, les attaquants n’ont pas besoin de se tuer pour vous usurrer », a-t-il poursuivi. «Ils grattent simplement votre adresse personnelle, votre numéro de téléphone et vos détails de famille à partir de sites de courtier et y vont. Le rapport aborde également l’IA mais ne déballe pas entièrement comment il accélère la fraude en tant que service et les escroqueries axées sur les perfares.»
« Le plus critique », a-t-il ajouté, « le rapport manque de conseils pratiques. Les organisations et les individus ont besoin d’étapes claires et proactives, pas seulement de sensibilisation. »
