Aux États-Unis, après Thanksgiving, qui est toujours célébré un jeudi, on célèbre Black Friday, le vendredi, et Cyber Monday, le lundi. Deux jours qui marquent le début de la saison des achats de fêtes de fin d’année, grâce à des soldes et des promotions imbattables.
Cyber Monday est l’équivalent en ligne du Black Friday et a été créé afin de prolonger ce dernier. Pour la toute première fois, selon American Express, les consommateurs dépenseront plus d’argent lors du Cyber Monday que lors de Black Friday, et à en juger par la folie qui envahit les magasins le vendredi, ils ont certainement raison.
Pour parler de ce sujet, nous avons invité Angel Grant, une experte en sécurité chez RSA qui va nous parler des menaces les plus importantes auxquelles nous pourrions faire face en réalisant nos achats de fin d’année en ligne.
Angel, quel impact aura Cyber Monday – puisqu’il va être plus important que jamais – sur la sécurité des consommateurs et le compte en banque des cybercriminels ?
Cyber Monday sera assez important cette année puisqu’on attend une augmentation de 55% des recettes issues des achats en ligne. Cette année nous nous attendons à ce que plus de gens choisissent de réaliser leurs achats en ligne lors du Cyber Monday afin d’éviter les magasins bondés du Black Friday.
Il est donc important aussi bien pour les consommateurs que pour les vendeurs de faire attention à leur sécurité car les cybercriminels suivront l’argent, et les consommateurs doivent avoir conscience que nous nous attendons à une augmentation de 64% du taux d’activité cybercriminelle pendant cette saison.
Pour mettre les choses en perspective, grâce à la récente étude de RSA menée avec Ponemon, si un site de vente en ligne subit une attaque DDOS lors du Cyber Monday, en étant fermé pendant ne serait-ce qu’une heure, ce dernier pourrait perdre jusqu’à 500 000 dollars, ou 8000 dollars par minute.
Les attaques DDOS (qui permettent de rendre indisponible un site Web) sont une chose dont les vendeurs doivent s’inquiéter. Les consommateurs, eux, feront davantage face à des attaques d’hameçonnage. Quels types d’hameçonnage avez-vous observé cette année et fonctionnent-ils ?
Nous observons une augmentation importante du nombre d’attaques d’hameçonnage cette année. Par exemple, en octobre, l’AFCC (centre de commande anti-fraude) de RSA a observé une augmentation du nombre d’attaques de 84% par rapport à l’année dernière. Cela nous montre à quel point les cybercriminels sont prêts à commencer cette saison.
Il est également important de garder à l’esprit que la saison des achats en ligne ne concerne plus seulement les ordinateurs. Et cette année, nous nous attendons à ce que 20% de tous les achats en ligne soient effectués depuis un appareil mobile. Cela s’ajoute au fait que, cette années, 50% des e-mails envoyés ont été ouverts depuis un appareil mobile. Cela créé un environnement idéal pour les pirates qui savent que les vendeurs investissent énormément dans les applications mobiles, la création de promotions Internet exclusives et dans la publicité en ligne pendant cette période de l’année.
D’ailleurs, les tendances d’hameçonnage qui grandissent le plus rapidement ciblent toutes les appareils mobiles avec par exemple le phishing par SMS, qui consiste à envoyer un SMS contenant un lien qui redirigera l’utilisateur vers un site d’hameçonnage. Par exemple, une arnaque populaire consiste à envoyer un SMS indiquant à l’utilisateur qu’il a gagné une carte cadeau et quand ce dernier clique sur le lien, il sera redirigé vers un site Web lui demandant de fournir ses informations personnelles ou bancaires afin que les pirates puissent les utiliser plus tard. Pour éviter cela, il est conseillé aux utilisateurs de ne pas cliquer sur les liens contenus dans les SMS non sollicités, les e-mails ou même les publications sur les réseaux sociaux.
La tendance semble indiquer que l’hameçonnage s’écarte des ordinateurs traditionnels pour cibler les mobiles, mais à part l’hameçonnage, quelles sont les autres principales menaces auxquelles les utilisateurs font face quand ils effectuent des achats en ligne ?
Les consommateurs devront particulièrement faire attention à quatre menaces :
On trouve tout d’abord les applications frauduleuses, qui sont essentiellement des applications qui prétendent provenir de fournisseurs légitimes mais qui sont conçues pour voler les identifiants de compte ou offrir de fausses promotions et autres programmes de carte de fidélité. Quand les consommateurs téléchargent une application, ils doivent l’obtenir directement sur le site de son fournisseur – la plupart des banques, portefeuilles électroniques, détaillants, et réseaux sociaux, disposent de liens vers leur application sur leur site Internet. Et ceux qui utilisent des appareils Android devraient faire encore plus attention, car ce sont les plus ciblés.
Ensuite, les consommateurs devront également s’attendre à ce que les réseaux sociaux tels que Facebook ou Twitter soient la cible d’arnaques car les pirates savent que nous avons tendance à faire moins attention sur ces sites. Les criminels essaieront de vous inciter à télécharger des coupons de réduction infectés qu’ils auront postés sur le site ou qui vous auront soi-disant été envoyés par un « ami ». On vous demandera peut-être d’aimer une page ou de compléter un sondage afin de vous envoyer une carte cadeau après que vous ayez saisi vos informations.
Les consommateurs doivent également faire attention aux tests de carte bancaire : les cybercriminels profitent du grand nombre de transactions en ligne effectuées en cette saison pour tester les numéros de carte volés qu’ils ont achetés sur le marché noir. Il est donc très important de surveiller les transactions effectuées sur votre carte bancaire afin de vous assurer qu’elles sont bien légitimes.
Enfin, nous devons faire attention au spear phishing qui cible les entreprises dans lesquelles nous travaillons, car nombreux d’entre nous, effectueront leurs achats depuis le travail. Si vous avez l’intention de faire cela, vous devez faire très attention et ne pas oublier que si vous cliquez sur un lien infecté cela n’aura pas seulement un impact sur vous mais également sur l’entreprise pour laquelle vous travaillez.
Continuons un peu sur l’hameçonnage. Dans de nombreux cas, les hameçonneurs se feront passer pour des entreprises légitimes. Que cela soit avec un e-mail ou comme vous l’avez mentionné sur les réseaux sociaux grâce à un coupon de réduction malveillant, quelles responsabilités ont les détaillants envers leurs clients quand un criminel se fait passer pour eux ?
Pour commencer, aussi bien les consommateurs que les détaillants sont responsables. Néanmoins, les détaillants ont la responsabilité de protéger les cartes bancaires et les données personnelles des consommateurs et peuvent être pénalisés s’ils ne le font pas.
Il est aussi essentiel que les détaillants sachent si un client ou un criminel est en train d’effectuer une transaction ou d’interagir avec leur site Internet. Avoir davantage de visibilité et détecter les attaques avant qu’un incident ne se produise n’aident pas seulement à minimiser les éventuelles conséquences d’une fraude mais cela permet également de maintenir la relation entre leur enseigne et leurs clients. La perte de clients et les dommages de réputation peuvent coûter très cher : jusqu’à plus de 3,4 millions de dollars pour seulement une heure de perturbations.
D’un autre côté, pour en revenir aux cartes bancaires : quelle est la responsabilité du détaillant pour ce qui est de garantir que les paiements qu’il accepte en échange de biens ou de services proviennent bien de clients légitimes et non, comme vous l’avez expliqué avant, de personnes qui ont acheté des informations de carte bancaire sur Internet ?
Pour ce qui est du paiement, l’une des choses avec lesquelles les vendeurs ont toujours du mal est l’équilibre délicat entre le risque, le prix et la commodité d’assurer aux utilisateurs un paiement rapide avec un taux d’abandon peu élevé. Néanmoins, il existe des produits commercialement disponibles et des pratiques conseillées que les commerçants devraient suivre. Ils doivent prendre des précautions pour s’assurer que l’utilisateur qui achète sur leur site est légitime et s’assurer que le mécanisme de paiement est légitime. Ils peuvent faire cela en utilisant des services tels que Verify By Visa et SecureCode de Mastercard, qui aident à garantir que les paiements qu’ils acceptent proviennent bien de propriétaires de carte légitimes.
Afin de poursuivre sur le sujet, quelles sont les autre actions que les gens comme vous et les entreprises comme celle pour laquelle nous travaillons peuvent réaliser pour mettre fin à ce genre d’arnaques en ligne ?
Une chose à ne pas oublier est que les fraudeurs vont continuer de suivre l’argent et le nombre d’attaques va continuer à augmenter. Ils ne vont pas disparaitre. Les consommateurs savent qu’il existe des produits de sécurité en ligne mais la plupart de savent pas qu’ils sont protégés par les commerçants, car tout cela se passe en coulisse. Et c’est ce que RSA fait. De nombreuses solutions que nous fournissons se développent en coulisse. Nous protégeons des millions de transaction en ligne provenant des consommateurs mais la plupart ne le savent pas.
Par exemple, le service anti-hameçonnage et chevaux de Troie dans lequel les plus grands détaillants en ligne au monde sont protégés par des organisations qui identifient puis ferment les sites et les ressources qui utilisent des attaques d’hameçonnage et de chevaux de Troie, et qui mènent des travaux de recherche afin de retrouver les identifiants compromis – tels que les cartes bancaires volées.
J’allais vous demander si ces arnaques vont finir par disparaître, mais vous avez déjà répondu à cette question avec un non très clair. Donc, en considérant que le nombre total d’attaques est en augmentation et qu’en général le nombre de solutions de sécurité est également en augmentation, il y a -t- il davantage ou moins de victimes des arnaques en ligne ?
Nous détectons plus de victimes chaque année. Et c’est dommage. Les consommateurs et les détaillants ont besoin d’être plus vigilants mais ce type d’attaque devient également de plus en plus sophistiqué à cause des capacités de plus en plus élevées des fraudeurs. Nous avons donc besoin de penser un peu différemment afin d’aider les consommateurs lorsqu’ils réalisent des achats en ligne. Pour cela, nous avons besoin d’une meilleure collaboration pour mieux remarquer ces menaces afin de protéger davantage les consommateurs.
La communauté des fraudeurs est de plus en plus créative, les solutions de protection des consommateurs devront donc également être plus créatives.