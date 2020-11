Achats sur internet : verrouiller ses comptes en ligne comme on verrouille sa maison !

novembre 2020 par Laurent Nezot, Directeur des ventes chez Yubico

Avec la situation sanitaire actuelle, que ce soit sur les principaux sites de vente en ligne ou via le « click and collect » des magasins de proximité, pour les Français qui cherchent à consommer « local », l’activité en ligne s’annonce dense en cette fin d’année. Alors que de nombreux consommateurs envisagent d’acheter une partie de leurs cadeaux de Noël sur Internet, les cybercriminels sont eux aussi prêts à faire leur shopping de données et à profiter de cette frénésie en ligne ; sans compter sur le Black Friday. Cette opération commerciale de grande ampleur a été repoussée au vendredi 4 décembre en France mais de nombreuses offres sont déjà disponibles.

Pour Laurent Nezot, Directeur des ventes chez Yubico, il faut verrouiller ses comptes en ligne comme on verrouille les portes de sa maison, et arrêter de penser que le vol de données personnelles et bancaires, ou encore l’usurpation d’identité, n’arrivent qu’aux autres :

« Les menaces de sécurité évoluent, mais les pirates informatiques prospèrent réellement lorsque les consommateurs sont plus susceptibles de négliger des détails et de commettre des erreurs. La combinaison du stress quotidien et de la pandémie constitue un scénario parfait. La preuve en est avec la nouvelle vague d’emails et de SMS de phishing qui a fait de nombreuses victimes en usurpant l’identité de La Poste, alors que le nombre de colis en circulation a augmenté ces dernières semaines avec le reconfinement. Le phishing, qui permet aux cybercriminels d’exploiter les informations obtenues pour accéder aux comptes en ligne et aux données bancaires de la victime, reste la cybermenace la plus répandue.

A l’approche des fêtes, la vigilance est de mise face au phénomène du « SIM Swapping ». Cette technique de piratage, de plus en plus utilisée par les cybercriminels, consiste à prendre le contrôle du numéro de téléphone d’un individu pour ensuite accéder à ses informations personnelles, y compris ses données bancaires. Dans la plupart des cas, le fraudeur appelle le service client de l’opérateur de téléphonie mobile, prétextant la perte ou le vol de la carte SIM, et demande à activer le numéro sur une nouvelle carte SIM, que lui possède. Pour convaincre l’opérateur, il donne les informations personnelles de sa victime. Une fois cette étape franchie, le cybercriminel a le contrôle de toutes les communications et données liées à ce numéro. Si la plupart des sites de vente en ligne utilisent le mot de passe à usage unique via SMS pour sécuriser les informations personnelles et les paiements des consommateurs, la technique plus récurrente du SIM Swapping met à mal cette couche de sécurité.

Malheureusement, nous continuons à commettre l’erreur séculaire de réutiliser des mots de passe, ce qui ouvre la voie royale aux techniques d’attaques telles que le credential stuffing, qui repose sur l’utilisation des identifiants volés d’un compte pour accéder de manière automatisée à tous ceux pour lesquels la victime utilise le même mot de passe. Pour empêcher les cybercriminels de mener à bien leurs attaques, les consommateurs peuvent prendre des mesures simples pour se protéger lorsqu’ils font leurs achats en ligne.

Il faut avant tout être vigilant, se méfier des offres qui sembleraient trop belles et ne jamais définir les mêmes mots de passe pour plusieurs comptes. Utiliser un gestionnaire de mots de passe est également une première étape simple. L’authentification à deux facteurs (2FA), qui nécessite une authentification supplémentaire au-delà du nom d’utilisateur et du mot de passe standard, offre par ailleurs un niveau de sécurité plus élevé. Toutefois, toutes les méthodes 2FA ne se valent pas et certaines, comme les mots de passe à usage unique envoyés par SMS, ne protègent pas les utilisateurs contre les techniques de phishing sophistiquées. Lorsque cela est possible, un dispositif d’authentification matériel, tel qu’une clé de sécurité, en plus des identifiants de connexion, est un moyen simple et fiable de sécuriser les comptes.

Les cybercriminels redoublent d’efforts en période de crise, profitant de la moindre faille. Les consommateurs ont donc tout intérêt à envisager ces protections supplémentaires pour éviter de devenir eux-mêmes des victimes. De telles attaques et arnaques peuvent en effet avoir des conséquences majeures, telles que des pertes d’argent importantes ou encore l’usurpation d’identité. Et si les Français se mettaient à considérer leur sécurité en ligne comme ils le font dans la sphère réelle ? S’il est impensable de quitter sa maison pour aller faire des achats en laissant les portes et les fenêtres ouvertes, il l’est tout autant avec les mauvaises pratiques de sécurité. Il est important d’avoir conscience des cyber-risques, de ne pas les considérer comme une fatalité et de ne pas laisser les cybercriminels gâcher ces fêtes de fin d’année. »