Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Black Friday et Fêtes de fin d’année : Une étude révèle que le risque de cyberattaques pèse sur le E-commerce français

novembre 2021 par Proofpoint, Inc.

Proofpoint, Inc publie une étude indiquant que 60% des 20 premiers site de ventes en ligne Français ne protègent pas de manière proactive leurs clients utilisateurs dès lors qu’ils n’adoptent pas le niveau de protection le plus strict recommandé par DMARC (Domain-based Message Authentication, Reporting & Conformance). Ce protocole empêche les cybercriminels d’usurper l’identité d’une entreprise ou d’une marque et réduit le risque de fraude par email des clients utilisateurs.

Les cybercriminels utilisent régulièrement la méthode de l’usurpation de domaine pour se faire passer pour des organismes gouvernementaux, des institutions respectées et des marques connues, en envoyant un email à partir d’une adresse d’expéditeur supposée légitime. Ces emails sont conçus pour inciter les gens à cliquer sur des liens ou à partager des informations personnelles qui peuvent ensuite être utilisées pour voler de l’argent ou des identités et il peut être presque impossible pour un internaute ordinaire d’identifier un faux expéditeur d’un vrai.

Alors que l’activité économique reprend petit à petit son cours en France, l’arrivée de grands temps forts de consommation tels que Black Friday et les fêtes de Noël s’annonce bénéfique pour les sites de vente en ligne. Comme chaque année, l’approche des fêtes de fin d’année entraîne un pic annuel de ventes sur les sites de e-commerce. D’après les chiffres communiqués par la Fédération du e-commerce et de la vente à distance (FEVAD), 42 millions de consommateurs ont acheté en ligne durant le deuxième trimestre 2021, soit 1 million de plus que l’année précédente à la même période, selon l’Observatoire des usages internet de Médiamétrie. Ainsi, pas moins de 46,8 millions d’internautes français ont consulté au moins une application ou un site web appartenant au top 20 chaque mois au cours du deuxième trimestre 2021. Le moment est donc choisi par les cybercriminels pour diffuser de nouvelles menaces afin de dérober les données d’un plus grand nombre de consommateurs en ligne.

L’email étant le principal vecteur utilisé par les cybercriminels pour propager une cyberattaque, vérifier le niveau de sécurité de ce canal est un bon indicateur du niveau de protection et du risque encouru pour une marque. C’est d’ailleurs une bonne pratique que recommande vivement l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, dans un guide à ce sujet pour accompagner les entreprises dans leur démarche, en préconisant notamment la mise en place de standards comme DMARC pour combattre le fléau de la fraude par email, le principal vecteur d’attaque aujourd’hui. Considéré comme l’équivalent d’un contrôle de passeport dans le monde de la sécurité des emails, le standard DMARC est utilisé aujourd’hui comme une arme puissante pour lutter contre le spoofing (usurpation d’identité) et le phishing (hameçonnage).

Les principales conclusions de la recherche :

• 17 sur 20 des premiers sites de vente en ligne (85%) en France ont publié un enregistrement DMARC, ce qui signifie que 15 % ne prennent aucune mesure pour protéger leurs clients contre les emails provenant de domaines frauduleux.
• Cependant, seuls 8 sur 20 (40%) ont adopté le niveau le plus strict et le plus recommandé de DMARC (Reject mode), ce qui laisse les clients de 60 % des principaux sites marchands français largement exposés à la fraude par email.

Comment se situe la France par rapport à l’échelle globale ? En prenant un peu de hauteur, on peut constater grâce à l’étude menée par Forbes Global 2000 que la même tendance persiste, avec un faible taux d’adoption du plus haut niveau de protection DMARC pour les plus grandes enseignes de e-commerce à échelle mondiale.

En effet en comparant avec le secteur du commerce de détail du Forbes Global 2000 (analyse menée sur la base de 70 entreprises au total) :
• 21 sur 70 (30 %) des détaillants du Forbes Global 2000 n’ont pas d’enregistrement DMARC et sont largement exposés à la fraude par email et à l’usurpation d’identité.
• 70 % ont atteint un certain niveau de mise en œuvre de DMARC.
• 14 sur 70 (20 %) ont atteint le plus haut niveau de protection et bloquent de manière proactive les emails frauduleux pour préserver leurs clients, partenaires, fournisseurs et employés.

« Les cybercriminels usurpent régulièrement le nom de domaine de marques hautement reconnues, entraînant des cyberattaques massives contre les consommateurs. Les acteurs de la menace n’ont pas perdu de temps avec la reprise de l’activité pour propager leurs menaces à des utilisateurs en ligne, certes de plus en plus nombreux et fidèles, mais aussi plus vulnérables car exposés à de grands risques. » explique Loïc Guézo, Directeur Senior, Stratégie Cybersécurité, SEMEA chez Proofpoint. « Il est de la responsabilité des sites de vente en ligne de s’armer contre ces menaces et de protéger leurs clients via l’adoption et la mise en œuvre des pratiques d’authentification par emails standardisés. Par ailleurs, durant les temps forts de consommation tels que Black Friday ou les fêtes de fin d’année, les consommateurs doivent redoubler de vigilance et vérifier la légitimité de tous les emails ».

Afin d’effectuer ses achats en ligne en toute sécurité, Proofpoint recommande aux consommateurs d’adopter certains reflexes :

1. Utilisez des mots de passe forts : Ne réutilisez pas deux fois le même mot de passe. Pensez à adopter un gestionnaire de mots de passe pour rendre votre expérience en ligne agréable, en toute sécurité
2. Attention aux sites "lookalike" : Les cybercriminels créent des sites « lookalike » imitant les marques connues. Ces sites frauduleux vendent des produits contrefaits (ou inexistants), ils sont infectés par des logiciels malveillants et volent de l’argent ou des identifiants.
3. Évitez les attaques potentielles de phishing et SMiShing : le phishing par email mène à des sites Web non sécurisés qui volent les données personnelles, tels que des identifiants et des données de carte bancaires. Méfiez-vous également du phishing par SMS (SMiShing) et des messages envoyés via les réseaux sociaux.
4. Vérifiez avant d’acheter : Les publicités malveillantes, les sites Web et les applications mobiles peuvent être difficiles à repérer. Lorsque vous téléchargez une nouvelle application ou visitez un site inconnu, prenez le temps de lire les commentaires en ligne et les plaintes des clients.




Voir les articles précédents

    

Voir les articles suivants