Les ventes en ligne, une activité en pleine expansion mais vulnérable

Lorsque la France s'est confinée pour la deuxième fois en octobre dernier, certains commerces de détail traditionnels ont été jugés "non essentiels" et ont dû fermer leurs portes. Cette décision a provoqué une baisse marquée des ventes et une forte augmentation des transactions en ligne.

En effet, les soldes du Black Friday et la période des fêtes de fin d’année ont battu des records en France avec une augmentation annuelle de 11 % des ventes en ligne selon le spécialiste français du ciblage de la publicité sur internet, Criteo. Alors que les soldes d’hiver ont démarré le 20 janvier dernier, et que les restrictions imposées aux magasins physiques sont maintenues, de nombreux propriétaires de commerces s’empressent de mettre en place des services de « click & collect ». Toutefois, le recours au commerce électronique exige une certaine prudence. Les acteurs du commerce électronique doivent veiller à ce que l’expérience de l’acheteur soit positive, tout en appliquant de bonnes pratiques en matière de sécurité pour éviter que les escrocs ne tirent profit des ventes en ligne.

Selon le site de suivi du commerce électronique, Fevad, les ventes en ligne de commerces traditionnels ont augmenté de 41 % en 2020 par rapport à 2019. Les achats en ligne ont permis aux Français de rester fidèles à leurs magasins locaux tout en respectant les règles du confinement. Les résultats sont positifs pour l’économie. Toutefois, la confidentialité et la sécurité des données figurent désormais parmi les priorités tant des consommateurs que des commerçants. Dans un monde en pleine mutation et en pleine pandémie, les commerçants qui pratiquent le commerce électronique ne doivent pas laisser les cyber-risques insoupçonnés compromettre leur croissance, ni affecter la confiance des consommateurs dans les achats en ligne.

Ne soyez pas une cible facile

Les cybercriminels sont constamment à la recherche de victimes dans le domaine du commerce électronique. Si le secteur financier a mis en place de solides stratégies de sécurité pour protéger les opérations bancaires en ligne, de nombreux sites de commerce électronique en sont encore au stade du développement de la sécurité et pourraient privilégier l’expérience de l’utilisateur au détriment des mesures de sécurité. Il en résulte que la protection des données des consommateurs fait parfois l’objet d’une réflexion après coup.

Les commerçants en ligne, en particulier lors des périodes de forte affluence comme les soldes d’hiver, retardent souvent la mise hors ligne d’un site pour appliquer des correctifs aux systèmes. Au lieu de cela, des solutions IT temporaires sont appliquées pour éviter les pannes de système. Cette situation est susceptible de déboucher sur des risques et des vulnérabilités supplémentaires, puisque la sécurité n’est pas considérée comme une composante du processus de maintenance. Cette incapacité à garantir une sécurité adéquate donne aux escrocs la possibilité de voler des données, en particulier les informations relatives aux cartes de crédit qui sont partagées lors des transactions, offrant ainsi aux attaquants une double opportunité de profit : ils peuvent utiliser les informations eux-mêmes pour effectuer des achats ou vendre les données à d’autres criminels sur le dark web.

Repérer les pièges cachés des cyber-risques

Un investissement dans des systèmes de sécurité offrant une meilleure visibilité et un solide contexte de risque peut s’avérer très bénéfique pour les commerçants. Cette approche permet aux équipes de sécurité de déterminer les vulnérabilités qui sont activement exploitées par les criminels et qui doivent donc être corrigées immédiatement, par opposition à celles qui ne font pas partie de l’arsenal des attaquants et dont la résolution peut attendre le prochain cycle de correctifs.

Parmi les attaques les plus courantes visant les sites d’e-commerce, on trouve les attaques par injection de code SQL. Les attaquants détournent les champs du portail que les consommateurs utilisent pour fournir leurs données personnelles, rechercher des biens et accéder à d’autres fonctions. Par exemple, certains sites comportent des zones de texte libre dans lesquelles les consommateurs saisissent des informations, telles que leur adresse ou des instructions de livraison, une opération qui est répétée des millions de fois chaque jour, sur des milliers de portails de commerce électronique. Les criminels repèrent ces zones de texte et y insèrent un code malveillant destiné à exploiter les vulnérabilités du logiciel back-end. Les commerçants ont intérêt à procéder à une évaluation rigoureuse de leurs systèmes back-end afin d’identifier tout système vulnérable qui constitue une cible potentielle pour les attaquants cherchant à dérober les données des consommateurs. Après avoir identifié les vulnérabilités qui existent dans ces systèmes, les commerçants doivent veiller à corriger les systèmes lorsque des mises à jour sont disponibles, ou à limiter l’accès aux systèmes non corrigés, afin de réduire le risque qu’un attaquant ne les exploite.

Risques liés aux tiers

Autre possibilité pour les cybercriminels : exploiter les vulnérabilités dissimulées dans les plugins qui servent à alimenter les sites de commerce électronique. À titre d’exemple, on peut citer la faille de sécurité du plugin WooCommerce, qui aurait été installé sur 40 000 sites web, ainsi que le célèbre skimmer de cartes Magecart, qui a infecté plus de 2 000 sites web. Il est essentiel de repérer ces failles connues et d’y remédier avant qu’un attaquant ne les découvre.

Pour compliquer encore la situation en matière de sécurité, de nombreuses équipes de sécurité dans le domaine du e-commerce ont toujours recours à de vieux systèmes qui n’offrent pas une visibilité complète sur la surface d’attaque des environnements IT modernes. Cela engendre des zones d’ombre qui échappent au contrôle des responsables de la sécurité. Les commerçants devraient plutôt se tourner vers des solutions qui leur apportent un contexte et des conseils de sécurité. Cela inclut les vulnérabilités des applications web à haut risque, les vulnérabilités du code personnalisé et les composants tiers utilisés pour concevoir des applications web de commerce électronique. Les équipes de sécurité devraient également relever les éventuelles erreurs de configuration susceptibles d’accroître l’exposition aux risques.

Le cyber-risque a pris une ampleur considérable, en partie parce que de nombreux commerçants ont été contraints de procéder à d’importants développements technologiques du jour au lendemain en réponse à la pandémie qui sévit actuellement. Les commerçants doivent à présent protéger leur activité et leurs clients contre les cybermenaces. Ce n’est qu’alors que les risques opérationnels - tels que la perte de données et de confiance des clients - pourront être maîtrisés et que le commerce électronique pourra prospérer en toute sécurité.