Comment détecter les abus d'essai gratuit et empêcher les utilisateurs SaaS de créer plusieurs comptes

Pour détecter les abus d’essai gratuit et empêcher les utilisateurs SaaS de créer plusieurs comptes, vous devez :

• Mettre en œuvre des méthodes de vérification d’identité
• Surveiller une large gamme de données utilisateur et de schémas comportementaux
• Limiter stratégiquement votre offre gratuite pour décourager les abus
• Communiquez clairement vos conditions d'utilisation aux utilisateurs

Pour ce faire, décomposez le processus en étapes pratiques :

Avant de mettre en œuvre une solution technique, évaluez les besoins de votre entreprise. La bonne stratégie allie l'expérience utilisateur à la sécurité. Un processus à forte friction peut réduire les inscriptions, tandis qu'un processus à faible friction peut encourager la fraude aux essais gratuits. Posez-vous les questions suivantes pour trouver votre équilibre :

• Quelle est la valeur de votre niveau gratuit ? Plus la valeur est élevée (par exemple, des limites d'API généreuses, des fonctionnalités étendues), plus l'incitation à l'abus est grande et plus vos méthodes de prévention doivent être robustes.
• Quelle est votre tolérance à la friction utilisateur ? Exiger un numéro de téléphone ou une carte de crédit aliénera-t-il votre public cible ? A Logiciel B2B pourrait rencontrer moins de résistance qu'une solution destinée aux consommateurs jeu vidéo.
• Quelle est la capacité technique de votre équipe ? Votre équipe de développement peut-elle créer et maintenir un système complexe de détection des fraudes, ou avez-vous besoin d'une solution tierce ?
• Quel est le coût des abus ? Calculez les coûts de serveur, le temps d’assistance et la perte de revenus potentielle d’un seul utilisateur abusif. Si le coût de la fraude d’abonnement est élevé, il est justifié d’investir dans une prévention plus efficace.

Vous pouvez utiliser un tableau simple pour noter différentes stratégies en fonction de vos réponses.

L'objectif de la vérification est d'augmenter l'effort requis pour créer plusieurs comptes. Commencez par les bases et ajoutez des couches en fonction du niveau de abus d'essai gratuit votre expérience. Un partenaire intégré peut décharger la complexité de la gestion de ces processus, il est donc utile de comprendre le rôle d'un Merchant of Record vs. un prestataire de services de paiement dans ce contexte. 

1.1. Commencez par la vérification par e-mail : Ceci est l'étape la plus élémentaire. Après l'inscription d'un utilisateur, envoyez un e-mail automatisé contenant un lien unique sur lequel il doit cliquer pour activer son compte. Cela confirme qu'il a accès à l'adresse e-mail et filtre les bots utilisant de faux e-mails non fonctionnels.

1.2. Ajouter un numéro de téléphone ou une vérification OAuth Si vous voyez des utilisateurs créer plusieurs comptes avec des emails jetables, ajoutez une deuxième couche de vérification.

• Vérification par téléphone (SMS) : Exigez un numéro de téléphone valide et envoyez un code unique par SMS. Obtenir plusieurs numéros de téléphone est plus difficile et plus coûteux pour les abuseurs.
• OAuth : Permettez aux utilisateurs de s'inscrire avec leurs comptes Google, GitHub ou LinkedIn. Cela externalise la vérification d'identité initiale vers une plateforme de confiance.

1.3. Envisager une vérification de haute assurance pour les services sensibles Pour les SaaS à forte valeur ajoutée ou ceux des secteurs réglementés (par exemple, la FinTech), vous pourriez avoir besoin d'une preuve d'identité plus solide.

• Vérification du numéro de TVA : Validation de l'identifiant de taxe de vente (pour les SaaS B2B).
• Vérification d'identité : L'utilisateur télécharge une copie de sa pièce d'identité (pour les entreprises SaaS à haut risque ou lorsque la vérification de l'âge est nécessaire).
• Vérification du mode de paiement : L'utilisateur doit lier une carte de crédit valide ou un compte PayPal.

Identifiez de manière proactive les activités suspectes en surveillant les données au-delà de l'inscription initiale. Créez un système d'indicateurs ou un score de risque qui augmente à mesure qu'un compte présente des comportements suspects.

2.1. Suivre les points de données fondamentaux : Combinez plusieurs points de données pour créer une signature unique pour la session d'un utilisateur.

• Adresse IP : Enregistrer l'adresse IP lors de l'inscription et des connexions ultérieures. Utiliser une base de données GeoIP pour vérifier si l'adresse IP appartient à un centre de données, un proxy ou un nœud de sortie Tor connu - une tactique courante pour la fraude aux essais gratuits. Selon des données récentes, plus de 30 % des internautes ont utilisé un VPN. Une adresse IP provenant d'un fournisseur VPN est donc un indicateur, mais pas une preuve définitive d'abus.
• Cookies : Placer un cookie persistant dans le navigateur de l'utilisateur avec un ID unique. Si un utilisateur supprime les cookies et s'inscrit immédiatement à nouveau à partir de la même adresse IP, augmenter son score de risque.

2.2. Analyser les modèles comportementaux Rechercher les actions qui s'écartent du comportement d'un utilisateur authentique.

• Délai d'action: À quelle vitesse un nouveau compte effectue-t-il une action à valeur élevée (par exemple, télécharger un fichier, utiliser une fonctionnalité clé) ? Les comptes qui le font en quelques secondes sont probablement automatisés.
• Vitesse d'utilisation: L’activité d’un utilisateur légitime dans un logiciel ou un jeu vidéo aura un rythme naturel. Un compte qui atteint immédiatement 100 % de ses limites d’utilisation (par exemple, en maximisant les appels d’API dès la première heure) est suspect.
• Sessions concurrentes: Signaler les comptes auxquels on accède à partir de plusieurs adresses IP géographiquement éloignées en même temps.

Surveiller le comportement des utilisateurs avec l'IA : Pour une approche proactive de la fraude aux essais gratuits, surveillez les modèles d'activité des utilisateurs. Les comportements suspects, tels que la création rapide de comptes depuis différentes géolocalisations ou des pics d'utilisation inhabituels, peuvent être signalés pour examen.

La mise en œuvre de systèmes de détection des fraudes basés sur l'apprentissage automatique et l'IA peut automatiser ce processus. Ces systèmes analysent de vastes quantités de données pour identifier des schémas d'abus sophistiqués qui seraient difficiles à détecter pour un humain. Au fil du temps, le modèle d'IA peut apprendre et s'adapter aux nouvelles tactiques d'abus.

La structure de votre forfait gratuit peut être votre meilleure défense. L'objectif est de rendre le niveau gratuit utile pour une évaluation légitime, mais peu attrayant pour une utilisation intensive à long terme. Pour bien faire les choses, vous avez besoin d'un chemin clair pour que les utilisateurs puissent effectuer une mise à niveau, ce qui implique de comprendre le processus de mise en œuvre d'une tarification par paliers.

3.1. Limitez les fonctionnalités, pas seulement l'utilisation : Au lieu de simplement limiter le nombre d'actions (par exemple, 5 téléchargements), limitez les fonctionnalités qui vous coûtent le plus cher ou qui offrent le plus de valeur.

3.2. Offrir un essai gratuit limité dans le temps: Au lieu d'une formule gratuite permanente, proposez un essai gratuit de 3 ou 7 jours. Cela crée un sentiment d'urgence et empêche les utilisateurs de rester indéfiniment sur une formule gratuite. Pour optimiser cette approche, consultez ces Meilleures pratiques pour les essais gratuits de SaaS pour maximiser les conversions. Bien que les abuseurs déterminés puissent toujours créer de nouveaux comptes, cela les oblige à migrer leurs données et à recommencer leur travail tous les quelques jours, ce qui représente une contrainte importante.

C'est l'un des moyens les plus efficaces d'empêcher les abus de comptes.  Cela simplifie également la transition vers un abonnement payant, car le système peut mettre en place des paiements récurrents sans autre action de l'utilisateur. En exigeant une carte de crédit valide pour démarrer un essai gratuit, vous créez un obstacle important à la création de comptes multiples.

Enfin, Soyez transparent. Vos conditions d'utilisation Il convient de souligner que la création de plusieurs comptes pour contourner les limitations de l'offre gratuite est interdite. Bien que cela n'empêche pas les fraudeurs en quête de gratuité, cela vous donne une justification claire pour suspendre les comptes et définit les attentes pour les utilisateurs légitimes.