2020 a clairement bousculé les habitudes des consommateurs mais également des commerçants. À l’heure du confinement, la digitalisation est devenue vitale pour garder un semblant d’activité. Mais à vouloir mettre la charrue avant les boeufs, les sites de e-commerce sont devenus la cible parfaite des hackers. Explication avec Adrien Guinault, associé chez XMCO.
Pourquoi les sites de e-commerce sont-ils les proies privilégiées des pirates ?
Il faut d’abord comprendre que le e-commerce a explosé ces dernières années. En 2020, les ventes de produits et services en ligne ont connu une hausse de 8,5% par rapport à 2019. Avec la crise sanitaire et les confinements successifs, beaucoup d’acteurs ont dû opérer une transformation numérique rapide. Ils ont mis en place des solutions de e-commerce ou du click and collect en urgence. Si bien qu’ils ont parfois fait passer le business avant la sécurité. Certains propriétaires de sites de e-commerce ne réalisent pas que des milliers de pirates surveillent chaque jour le web en quête de proies faciles. Un peu comme un criminel qui, lorsqu’il souhaite voler une voiture, tente d’ouvrir la portière de toutes celles qu’il croise dans la rue…. C’est la même chose sur le web.
Comment les pirates s’y prennent-ils pour choisir leur cible ?
L’objectif qui se cache derrière la majorité des cyberattaques est lucratif. Les hackers choisissent leurs cibles en fonction du temps qu’ils veulent allouer aux attaques et de leurs objectifs. Ils font un compromis entre les cibles les plus faciles et celles où il est plus difficile d’entrer. Les cibles faciles permettent de travailler dans la masse, d’attaquer plein de petits sites web et récupérer beaucoup de petites sommes. D’autres verront plus d’intérêt à attaquer une plus grosse cible avec beaucoup de données.
Comment arrivent-ils à détourner les systèmes de sécurité ?
Il existe plusieurs attaques à destination des e-commerçants. Fréquemment, le pirate, lorsqu’il trouve une faille sur un site, va chercher à modifier les demandes d’informations qui y figurent. Il ajoute un code qui conduit à une copie silencieuse et automatique des coordonnées fournies par l’internaute. Ces coordonnées sont alors directement envoyées au pirate. C’est ce qu’on appelle du « web skimming ». C’est très courant sur les sites de e-commerce.
Autre attaque que nous constatons : celle dite par « rebond » ou par « phishing ». Cela se passe en deux étapes. Le pirate attaque un site et dérobe les données de la victime. Une fois qu’il dispose de l’adresse mail de l’internaute, il peut le contacter directement, se faire passer pour quelqu’un qu’il connaît ou un site sur lequel il a l’habitude de se rendre. Avec les informations dont il dispose, il créé une relation de confiance grâce à laquelle il peut pousser la victime à cliquer sur un lien et lui extorquer ses coordonnées bancaires. Les techniques de fraude sont de plus en plus sophistiquées et la sensibilisation n’est pas suffisante. La France se hisse d’ailleurs à la 7e place des pays les plus touchés par le phishing (FBI).
Les pirates peuvent aussi et plus simplement revendre les données volées. Sur le dark web, les informations de cartes bancaires se revendent entre 10 et 30 € et entre 100 et 250 € pour un compte PayPal.
Quels sont vos conseils pour sécuriser de manière optimale un site e-commerce ?
Notre premier conseil est de se faire épauler par des professionnels compétents. Il existe toutefois une liste d’actions simples pour réduire les risques : tenir ses serveurs à jour, éviter d’exposer l’interface d’administration sur internet, réaliser des audits de ses systèmes d’information pour vérifier qu’il n’y a pas de failles exploitables, sensibiliser les collaborateurs d’un site aux risques cyber…. Pour aller plus loin, nous conseillons aux sites de e-commerce de se mettre en conformité avec le PCI DSS. Il s’agit d’un standard mis en place par les marques de carte bancaires. Ce standard énumère les bonnes pratiques à mettre en place. Il s’agit d’exigences de sécurité techniques ou organisationnelles pour sécuriser l’ensemble de la chaîne. Certains organismes, comme le nôtre, ont la possibilité de délivrer ce certificat. Certificat qui informe l’internaute qu’il peut se rendre sur le site en question de façon sereine.
Comment rassurer les clients vis-à-vis de la sécurité de leurs données personnelles ?
Le maître mot est la communication. Hors attaque, un site de e-commerce a tout intérêt à expliquer comment il traite et sécurise la donnée qu’il possède. Que ce soit à travers le PCI DSS ou le RGPD. Ces derniers s’inscrivent aujourd’hui comme des arguments de vente.
Après un incident, il s’agit d’avoir une communication de gestion de crise. Il est important que les réactions à adopter soient planifiées en amont, de savoir quel organisme contacter immédiatement (la banque ? la CNIL ?…). Lorsqu’un vol intervient directement sur le compte de l’internaute c’est, pour lui, très angoissant. Cela crée inévitablement une rupture de confiance. Le site doit reconnaître son erreur, gérer la situation, rassurer le client et lui apporter de la confiance. Tout cela ne peut pas se faire dans l’urgence. Il est impératif d’anticiper.
Tout à fait d'accord : il faut préparer sa communication de crise et se faire assister en amont, pendant et après la crise par des experts comme ceux de www.nitidis.com
Par Comcrise, le 07 avril 2021