Alors que les prévisions de consommation en ligne pour la saison des fêtes confirment cette année une hausse de 11 %, les sites marchands continuent d’être une cible privilégiée pour favoriser la diffusion de nouvelles cyberattaques ultra ciblées.
60% des 20 premiers sites de ventes en ligne français ne protègent pas proactivement leurs clients contre les potentielles fraudes par email.
En effet, selon une récente étude les cyberattaquants visent le secteur du e-commerce avec 57 % des attaques menées par des bots en 2021, contre 33 % pour toutes les autres industries. L’activité automatisée des robots est une menace omniprésente pour le e-commerce. En 2021, le volume des attaques mensuelles de robots sur les sites de vente en ligne a augmenté de 13 % par rapport à 2020.
Proofpoint, spécialiste de la cybersécurité et de la conformité, publie aujourd’hui une étude indiquant que 60 % des 20 premiers site de ventes en ligne Français ne protègent pas de manière proactive leurs clients utilisateurs dès lors qu’ils n’adoptent pas le niveau de protection le plus strict recommandé par DMARC. Pour tous les consommateurs qui seront au rendez-vous en ligne, le risque de se faire piéger par un email frauduleux reste ainsi très élevé.
Les cybercriminels utilisent régulièrement la méthode de l’usurpation de domaine pour se faire passer pour des organismes gouvernementaux, des institutions respectées et des marques connues, en envoyant un email à partir d’une adresse d’expéditeur supposée légitime. Ces emails sont conçus pour inciter les gens à cliquer sur des liens ou à partager des informations personnelles qui peuvent ensuite être utilisées pour voler de l’argent ou des identités et il peut être presque impossible pour un internaute ordinaire d’identifier un faux expéditeur d’un vrai.
Alors que l’activité économique reprend petit à petit son cours en France, l’arrivée de grands temps forts de consommation tels que Black Friday et les fêtes de Noël s’annonce bénéfique pour les sites de vente en ligne. Comme chaque année, l’approche des fêtes de fin d’année entraîne un pic annuel de ventes sur les sites de e-commerce. D’après les chiffres communiqués par la Fédération du e-commerce et de la vente à distance (FEVAD), 42 millions de consommateurs ont acheté en ligne durant le deuxième trimestre 2021, soit 1 million de plus que l’année précédente à la même période, selon l’Observatoire des usages internet de Médiamétrie. Ainsi, pas moins de 46,8 millions d’internautes français ont consulté au moins une application ou un site web appartenant au top 20 chaque mois au cours du deuxième trimestre 2021. Le moment est donc choisi par les cybercriminels pour diffuser de nouvelles menaces afin de dérober les données d’un plus grand nombre de consommateurs en ligne.
Les principales conclusions de la recherche :
- 17 sur 20 des premiers sites de vente en ligne (85 %) en France ont publié un enregistrement DMARC, ce qui signifie que 15 % ne prennent aucune mesure pour protéger leurs clients contre les emails provenant de domaines frauduleux.
- Cependant, seuls 8 sur 20 (40 %) ont adopté le niveau le plus strict et le plus recommandé de DMARC (Reject mode), ce qui laisse les clients de 60 % des principaux sites marchands français largement exposés à la fraude par email.
Comment se situe la France par rapport à l’échelle globale ? En prenant un peu de hauteur, on peut constater grâce à l’étude menée par Forbes Global 2000 que la même tendance persiste, avec un faible taux d’adoption du plus haut niveau de protection DMARC pour les plus grandes enseignes de e-commerce à échelle mondiale.
En effet en comparant avec le secteur du commerce de détail du Forbes Global 2000 (analyse menée sur la base de 70 entreprises au total) :
- 21 sur 70 (30 %) des détaillants du Forbes Global 2000 n’ont pas d’enregistrement DMARC et sont largement exposés à la fraude par email et à l’usurpation d’identité.
- 70 % ont atteint un certain niveau de mise en œuvre de DMARC.
- 14 sur 70 (20 %) ont atteint le plus haut niveau de protection et bloquent de manière proactive les mails frauduleux pour préserver leurs clients, partenaires, fournisseurs et employés.
« Les cybercriminels usurpent régulièrement le nom de domaine de marques hautement reconnues, entraînant des cyberattaques massives contre les consommateurs. Les acteurs de la menace n’ont pas perdu de temps avec la reprise de l’activité pour propager leurs menaces à des utilisateurs en ligne, certes de plus en plus nombreux et fidèles, mais aussi plus vulnérables car exposés à de grands risques. » explique Loïc Guézo, Directeur Senior, Stratégie Cybersécurité, SEMEA chez Proofpoint. « Il est de la responsabilité des sites de vente en ligne de s’armer contre ces menaces et de protéger leurs clients via l’adoption et la mise en œuvre des pratiques d’authentification par emails standardisés. Par ailleurs, durant les temps forts de consommation tels que Black Friday ou les fêtes de fin d’année, les consommateurs doivent redoubler de vigilance et vérifier la légitimité de tous les mails ».
Afin d’effectuer ses achats en ligne en toute sécurité, Proofpoint recommande aux consommateurs d’adopter certains reflexes :
- Utilisez des mots de passe forts : Ne réutilisez pas deux fois le même mot de passe. Pensez à adopter un gestionnaire de mots de passe pour rendre votre expérience en ligne agréable, en toute sécurité
- Attention aux sites “lookalike” : Les cybercriminels créent des sites « lookalike » imitant les marques connues. Ces sites frauduleux vendent des produits contrefaits (ou inexistants), ils sont infectés par des logiciels malveillants et volent de l’argent ou des identifiants.
- Évitez les attaques potentielles de phishing et SMiShing : le phishing par email mène à des sites Web non sécurisés qui volent les données personnelles, tels que des identifiants et des données de carte bancaires. Méfiez-vous également du phishing par SMS (SMiShing) et des messages envoyés via les réseaux sociaux.
- Vérifiez avant d’acheter : Les publicités malveillantes, les sites Web et les applications mobiles peuvent être difficiles à repérer. Lorsque vous téléchargez une nouvelle application ou visitez un site inconnu, prenez le temps de lire les commentaires en ligne et les plaintes des clients.
A propos de DMARC :
Pour de nombreuses entreprises, la voie vers la réduction du risque de fraude par email est pavée de DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocole par emails adopté à l’échelle mondiale similaire au contrôle des passeports. Il vérifie que le domaine supposé de l’expéditeur ne soit pas usurpé. La vérification de DMARC s’appuie sur les normes DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) établies pour s’assurer que l’email n’usurpe pas le domaine. Cette authentification protège les employés, les clients et les partenaires contre les cybercriminels qui cherchent à se faire passer pour un domaine de confiance.