Lutter contre l'usurpation d'identité sans nuire à l'expérience utilisateur : le casse-tête des retailers !
Qui a déjà perdu sa clé sait qu'il est préférable de changer de serrure pour éviter le cambriolage ! Sur Internet, les utilisateurs de sites marchands possèdent jusqu'à 150 comptes différents et pourtant 52% d'entre eux n'ont qu'un seul mot de passe.
Résultat, ils s’exposent à une méthode de piratage qui se répand comme une traînée de poudre, notamment ces derniers mois avec l’explosion des ventes en ligne liée à la crise sanitaire et une transformation digitale des entreprises souvent trop rapide : le credential stuffing. Si un mot de passe fuit, le pirate n’a plus qu’à l’essayer en masse sur de nombreux comptes jusqu’à ce que cela fonctionne.
Au-delà du tort causé aux internautes, ce phénomène peut coûter très cher aux sites attaqués, tant en termes d’image que de préjudice financier, car la CNIL veille… Alors, quelle parade mettre en place sans faire de son site un bunker dans lequel personne n’aura envie d’entrer ? C’est l’équation complexe que les retailers doivent aujourd’hui résoudre !
Le credential stuffing : un risque à prendre très au sérieux
Cette méthode est un véritable fléau pour les internautes, mais également pour les retailers qui doivent impérativement y faire face, la CNIL pouvant les considérer comme responsables si le niveau de sécurité mis en place est jugé trop faible.
Cela a notamment été le cas en début d’année d’une société et de son sous-traitant. Ils ont été sanctionnés par la CNIL à verser respectivement 150 000 et 75 000 euros d’amendes pour avoir enfreint l’article 32 du RGPD qui impose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté au risque ». Alertée par plusieurs dizaines de notifications de violation de données sur un site de e-commerce et après enquête, la CNIL a constaté que l’entreprise avait subi plusieurs vagues d’attaques de ce type sans les déclarer ni tenter de les contrer.
Des forteresses imprenables qui font fuir les internautes
De telles attaques se traduisent par une forte et soudaine affluence de tentatives de connexions sur un compte client. Les pirates profitent de moments critiques, tels que le Black Friday, le début des soldes ou le lancement d’un produit très attendu - qui génèrent des pics de connexions soudains très importants - pour se noyer dans la masse. Si la méthode est connue, les moyens de la contrer sont loin d’être évidents. On pourrait penser qu’une authentification multifacteurs, comme le font déjà les banques, pourrait être la solution mais les internautes n’en veulent pas ! Lorsqu’il s’agit d’acheter un livre ou un vêtement en ligne, ils souhaitent, en effet, aller vite et ne pas perdre 10 minutes à se loguer à leur compte client, renouveler leur mot de passe, ou remplir un captcha. Ils ont donc tendance à éviter les sites trop précautionneux, même si c’est pour leur sécurité.
Pour contourner ce problème, de nombreux retailers optent donc pour des techniques basées sur l’identification des IP, afin de bloquer celles qui semblent frauduleuses. Mais cette méthode a des limites. Car pour discriminer une IP, il faut être capable de différencier un hacker d’un utilisateur légitime. Or, leur comportement est souvent très similaire. D’autant que les caractéristiques de connexions peuvent facilement être contrefaites avec les outils modernes : la description du terminal utilisé pour se connecter peut être modifiée informatiquement, donnant l’illusion qu’un utilisateur se connecte depuis un iPhone alors qu’il s’agit en fait d’un pirate utilisant un bot sous Linux. Egalement, les hackers ont accès à des millions de passerelles IP pour un coût modique et peuvent donc en changer à loisir pour mener leur attaque.
Il s’agit donc de réussir à distinguer une connexion frauduleuse, alors qu’elle a eu lieu avec le bon login, le bon mot de passe, une IP proche géographiquement de la résidence de l’internaute, et le même type de terminal ! Enfin, le comportement des hackers évolue très vite et l’équipe de sécurité doit constamment adapter sa méthodologie de détection à de nouveaux schémas d’intrusions toujours plus sophistiqués.
Une riposte dynamique pour contrer la menace
Le premier niveau de protection consiste à observer le comportement d’une IP : fréquence de connexion des utilisateurs, comportement, zone géographique… Seulement, une fois l’IP bloquée, l’attaque pourra repartir de plus belle avec une autre. Il faut donc aller plus loin, en examinant à la loupe l’ensemble des données de connexion, afin de repérer les attaques qui sont passées sous les radars et adapter sa riposte. Bien entendu, on prendra soin de corréler cette analyse à l’activité de la société. Dans le cas d’un magasin de bricolage, par exemple, des tentatives de connexions massives entre 1 h et 3 h du matin sont suspectes et doivent alerter.
Cette vigilance pourra être renforcée par des systèmes de limitation, qui consistent à établir un seuil de tentatives de connexion ratées à partir duquel l’IP est bloquée. Mais là encore, il faudra prendre garde à bien le calculer, au risque de multiplier les faux positifs, c’est-à-dire de bloquer des utilisateurs qui voulaient réellement se rendre sur le site pour effectuer un achat.
Des méthodes plus élaborées peuvent ensuite être déployées tout en gardant en tête la nécessité d’une mise à jour permanente, et de performances suffisantes pour répondre à l’utilisabilité. Trouver le meilleur réglage est donc un savant équilibre entre une observation fine et une capacité à réagir vite aux changements de comportement des hackers, tout en tenant compte de l’activité du e-commerçant. La riposte reposera donc sur une architecture et un processus évolutif, pour répondre aux besoins de sécurité en cas de forte connexion (saisonnalité, événements particuliers…), et pour se tenir prêt à signaler à la CNIL, sans attendre, les tentatives de piratages.
Enfin, le recours à des experts métiers, capables de repérer les attaques et de les bloquer au fur et à mesure sera là aussi nécessaire. Une vigilance de chaque instant, donc, qui seule permettra de limiter les risques et d’éviter les sanctions, tout en préservant l’expérience utilisateur !