Alors que Le ministre de l’Économie Bruno Le Maire a demandé hier aux acteurs de la distribution de reporter le Black Friday et que certains appellent plutôt à un encadrement de cette opération promotionnelle voire à une réouverture anticipée des commerce physiques, il peut être légitime de se demander si les consommateurs ne seront pas cette année, encore plus nombreux à se connecter aux sites de e-commerce pour faire leurs achats.
Tribune – Importé des Etats-Unis, le Black Friday est devenu avec les soldes et les fêtes de Noël un grand temps fort de la consommation, avec souvent des ventes records pour les sites de vente en ligne.
Si les professionnels s’interrogent sur les modalités de cette opération en plein confinement, les cybercriminels se posent eux, moins de questions pour mettre en place de nouvelles menaces et tenter de piéger les consommateurs à cette occasion.
Proofpoint, spécialiste de la cybersécurité et de la conformité, publie aujourd’hui une étude indiquant que 50% des 10 plus grands sites de vente en ligne en France exposent encore leurs clients à la fraude par mail.
Pour tous les consommateurs qui seront au rendez-vous en ligne, le risque de se faire piéger par un mail frauduleux est donc très fort.
Les principales conclusions de la recherche :
- Seuls 5 des 10 premiers sites de vente en ligne (50 %) en France ont publié un enregistrement DMARC, ce qui signifie que les 50 % restants exposent encore leurs clients à la fraude par mail.
- 9 des 10 premiers sites de vente en ligne (90%) en France n’ont pas mis en œuvre le niveau de protection DMARC recommandé. Cette politique de protection la plus stricte est connue sous le nom de « Reject » et permet de bloquer les mails frauduleux avant qu’ils n’atteignent leur cible. Cela signifie qu’un seul site de vente en ligne sur dix protège de manière proactive leurs clients des mails frauduleux usurpant leur nom de domaine.
- Au niveau européen, seuls 12 des 20 principaux sites de vente en ligne (soit 60 %) ont publié un enregistrement DMARC, ce qui signifie que 40 % continuent d’exposer les clients aux risques de fraude par mail.
« Les cybercriminels usurpent régulièrement le nom de domaine de marques hautement reconnues, entraînant des cyberattaques massives contre les consommateurs. La pandémie de Covid-19 a d’ailleurs accentué ce phénomène et les acteurs de la menace n’ont pas hésité à profiter de l’anxiété ambiante pour propager leurs menaces à des utilisateurs plus vulnérables. » explique Loïc Guézo, Directeur Senior, Stratégie Cybersécurité, SEMEA chez Proofpoint. « Il est de la responsabilité des sites de vente en ligne de s’armer contre ces menaces et de protéger leurs clients via l’adoption et la mise en œuvre des pratiques d’authentification par mails standardisés. Par ailleurs, en période de temps forts de la consommation tels que Black Friday ou les fêtes de fin d’année, les consommateurs doivent redoubler de vigilance et vérifier la légitimité de tous les mails »
Afin d’effectuer ses achats en ligne en toute sécurité, Proofpoint recommande aux consommateurs d’adopter certains réflexes :
- Utilisez des mots de passe forts : Ne réutilisez pas deux fois le même mot de passe. Pensez à adopter un gestionnaire de mots de passe pour rendre votre expérience en ligne agréable, en toute sécurité
- Évitez les réseaux WiFi non protégé : Le WiFi en accès libre n’est pas sécurisé – les cybercriminels peuvent intercepter des données transférées sur une zone WiFi non protégée, y compris les numéros de cartes bancaires, les mots de passe, les informations personnelles de compte, etc.
- Attention aux sites “lookalike” : Les cybercriminels créent des sites « lookalike » imitant les marques connues. Ces sites frauduleux vendent des produits contrefaits (ou inexistants), ils sont infectés par des logiciels malveillants et volent de l’argent ou des identifiants.
- Évitez les attaques potentielles de phishing et SMiShing : le phishing par mail mène à des sites Web non sécurisés qui volent les données personnelles, tels que des identifiants et des données de carte bancaires. Méfiez-vous également du phishing par SMS (SMiShing) et des messages envoyés via les réseaux sociaux.
- Ne cliquez pas sur les liens : Allez à la source en tapant l’adresse du site Web connue directement dans votre navigateur. Pour les codes avec des offres spéciales, entrez-les lors du paiement pour vous assurer de leur légitimité.
- Vérifiez avant d’acheter : Les publicités malveillantes, les sites Web et les applications mobiles peuvent être difficiles à repérer. Lorsque vous téléchargez une nouvelle application ou visitez un site inconnu, prenez le temps de lire les commentaires en ligne et les plaintes des clients.