Les cybercriminels utilisent régulièrement la méthode de l’usurpation de domaine pour se faire passer pour des organismes gouvernementaux, des institutions respectées et des marques connues, en envoyant un email à partir d’une adresse d’expéditeur supposée légitime. Ces emails sont conçus pour inciter les gens à cliquer sur des liens ou à partager des informations personnelles qui peuvent ensuite être utilisées pour voler de l’argent ou des identités et il peut être presque impossible pour un internaute ordinaire d’identifier un faux expéditeur d’un vrai.

Si la France est confinée pour la seconde fois, l’arrivée de grands temps forts de consommation tels que Black Friday et les fêtes de Noël s’annoncent bénéfiques pour les sites de vente en ligne. Comme chaque année, l’approche des fêtes de fin d’année entraîne un pic annuel de ventes sur les sites de e-commerce. D’après les chiffres communiqués par la Fédération du e-commerce et de la vente à distance (Fevad), les ventes sur Internet, qui augmentent de plus de 10% chaque année, ont dépassé 100 milliards d’euros en 2019. Pas moins de 40 millions de Français ont effectué des achats en ligne l’année passée. Le moment est donc choisi par les cybercriminels pour mettre en place de nouvelles menaces et piéger les consommateurs. Pourtant, 1 seul des 10 premiers sites d’e-commerce en France protège les internautes contre la fraude par email.

L’email étant le principal vecteur utilisé par les cybercriminels pour propager une cyberattaque, vérifier le niveau de sécurité de ce canal est un bon indicateur du niveau de protection et du risque encouru pour une marque. Dans ce sens, l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, a publié un guide à ce sujet agrémenté de recommandations et de bonnes pratiques, pour accompagner les entreprises dans leur démarche, en préconisant notamment la mise en place de standards comme DMARC pour combattre le fléau de la fraude par email, le principal vecteur d’attaque aujourd’hui. Considéré comme l’équivalent d’un contrôle de passeport dans le monde de la sécurité des emails, le standard DMARC est utilisé aujourd’hui comme une arme puissante pour lutter contre le spoofing (usurpation d’identité) et le phishing (hameçonnage).

Les principales conclusions de la recherche :

• Seuls 5 des 10 premiers sites de vente en ligne (50 %) en France ont publié un enregistrement DMARC, ce qui signifie que les 50 % restants exposent encore leurs clients à la fraude par email.

• 9 des 10 premiers sites de vente en ligne (90%) en France n’ont pas mis en œuvre le niveau de protection DMARC recommandé. Cette politique de protection la plus stricte est connue sous le nom de « Reject » et permet de bloquer les emails frauduleux avant qu’ils n’atteignent leur cible. Cela signifie qu’un seul site de vente en ligne sur dix protège de manière proactive leurs clients des emails frauduleux usurpant leur nom de domaine.

• Au niveau européen, seuls 12 des 20 principaux sites de vente en ligne (soit 60 %) ont publié un enregistrement DMARC, ce qui signifie que 40 % continue d’exposer les clients aux risques de fraude par email.

• Malgré cela, seuls 4 sur 20 (20 %) ont mis en place l’intégralité de la protection DMARC, ce qui signifie que 80 % d’entre eux ne bloquent pas de manière proactive l’accès des clients des emails frauduleux.

« Les cybercriminels usurpent régulièrement l’identité du nom de domaine de marques hautement reconnues, entraînant des cyberattaques massives contre les consommateurs. La pandémie de Covid-19 a d’ailleurs accentué ce phénomène, les acteurs de la menace n’ont pas hésité à profiter de l’anxiété ambiante pour propager leurs menaces à des utilisateurs plus vulnérables. » explique Loïc Guézo, Directeur Senior, Stratégie Cybersécurité, SEMEA chez Proofpoint. « Il est de la responsabilité des sites de vente en ligne de s’armer contre ces menaces et de protéger leurs clients via l’adoption et la mise en œuvre des pratiques d’authentification par emails standardisés. Par ailleurs, en période de temps forts de la consommation tels que Black Friday ou les fêtes de fin d’année, les consommateurs doivent redoubler de vigilance et vérifier la légitimité de tous les emails »

Afin d’effectuer ses achats en ligne en toute sécurité, Proofpoint recommande aux consommateurs d’adopter certains reflexes :

1. Utilisez des mots de passe forts : Ne réutilisez pas deux fois le même mot de passe. Pensez à adopter un gestionnaire de mots de passe pour rendre votre expérience en ligne agréable, en toute sécurité
2. Évitez les réseaux WiFi non protégé : Le WiFi en accès libre n’est pas sécurisé - les cybercriminels peuvent intercepter des données transférées sur une zone WiFi non protégée, y compris les numéros de cartes bancaires, les mots de passe, les informations personnelles de compte, etc.
3. Attention aux sites "lookalike" : Les cybercriminels créent des sites « lookalike » imitant les marques connues. Ces sites frauduleux vendent des produits contrefaits (ou inexistants), ils sont infectés par des logiciels malveillants et volent de l’argent ou des identifiants.
4. Évitez les attaques potentielles de phishing et SMiShing : le phishing par email mène à des sites Web non sécurisés qui volent les données personnelles, tels que des identifiants et des données de carte bancaires. Méfiez-vous également du phishing par SMS (SMiShing) et des messages envoyés via les réseaux sociaux.
5. Ne cliquez pas sur les liens : Allez à la source en tapant l’adresse du site Web connue directement dans votre navigateur. Pour les codes avec des offres spéciales, entrez-les lors du paiement pour vous assurer de leur légitimité.
6. Vérifiez avant d’acheter : Les publicités malveillantes, les sites Web et les applications mobiles peuvent être difficiles à repérer. Lorsque vous téléchargez une nouvelle application ou visitez un site inconnu, prenez le temps de lire les commentaires en ligne et les plaintes des clients.

A propos de DMARC :
Pour de nombreuses entreprises, la voie vers la réduction du risque de fraude par email est pavée de DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocole par emails adopté à l’échelle mondiale similaire au contrôle des passeports. Il vérifie que le domaine supposé de l’expéditeur ne soit pas usurpé. La vérification de DMARC s’appuie sur les normes DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) établies pour s’assurer que l’email n’usurpe pas le domaine. Cette authentification protège les employés, les clients et les partenaires contre les cybercriminels qui cherchent à se faire passer pour un domaine de confiance.
Pour en savoir plus sur DMARC : https://www.proofpoint.com/fr/products/email-fraud-defense

Méthodologie : Afin d’évaluer le record DMARC des e-commerçants en France, Proofpoint a réalisé une analyse des principaux domaines d’activité des 10 premiers e-commerçants, tels que décrits par la FEVAD. L’analyse des 10 plus grands vendeurs en ligne d’Europe a été effectuée sur la base des 100 plus grands sites commerciaux d’Europe selon Retail-Index. Toutes les analyses ont été effectuées en novembre 2020.