Passer au contenu

Les failles des sites marchands

Consciemment ou involontairement, nous confions aux sites d’e-commerce bien plus d’informations personnelles que de raison. Que font-ils de ces données et que font-ils pour les protéger ?

En 2009, Albert Gonzales, un jeune Américain de 28 ans, s’est rendu tristement célèbre en dérobant 130 millions de numéros de cartes de crédit. De tels vols sont hélas devenus monnaie courante. Il y a quelques semaines, le site anglais de cosmétique Lush préférait fermer momentanément son accès après avoir découvert que ses serveurs avaient été compromis, et les identités et informations bancaires de ses clients, volées. Ces vols ne sont pas le fruit d’un phishing savamment orchestré, ni de keyloggers installés à l’insu des utilisateurs sur leurs machines pour voler leurs mots de passe. Ils sont le résultat d’attaques directement menées sur les infrastructures des sites d’e-commerce.

Des cookies dans l’ordi

Les informations bancaires sont loin d’être les seules informations personnelles manipulées par les e-commerçants. Ces sites Web ont pris l’habitude de mémoriser toute une foule de données relatives à vos habitudes de consommation, à vos recherches et à votre position géographique. Elles sont ensuite utilisées pour vous proposer des promotions pertinentes ou vous suggérer des articles en fonction de votre profil.En réalité, nombre d’informations ainsi collectées ne sont pas sauvegardées dans les bases de données de ces marchands mais sont simplement stockées sur vos propres disques ou terminaux mobiles via les fameux cookies des navigateurs. Cela évite les risques de vol massif et permet aux sites français de rester en conformité avec la Commission nationale informatique et libertés (Cnil) qui leur impose de déclarer les données à caractère personnel qu’elles conservent dans leurs bases, de justifier du caractère nécessaire de ces informations et d’en assurer la sécurité.En théorie, hormis les identifiants, les informations capitales sont rarement stockées à même les serveurs Web, trop exposés aux attaques. Elles sont enregistrées dans un back office, hébergé au sein des murs de l’entreprise et protégé de façon plus drastique.En pratique, hélas, seuls les plus gros sites hébergent ainsi leur back office. La plupart des petits e-commerçants sous-traitent la quasi-totalité de leur activité à des services spécialisés (ShopFactory, PrestaShop, PowerBoutique, Magento, etc.), se fiant à leur compétence pour protéger les informations des clients. En la matière, force est de constater que chaque commerçant a son propre mode de fonctionnement, qu’il garde secret. Si la majorité d’entre eux ont un RSSI (responsable de la sécurité des systèmes d’information), les différents acteurs de la sécurité interrogés nous ont confirmé que bien peu d’entreprises mettaient en œuvre des solutions de “ prévention des fuites de données ”, même si les récents événements autour de Wikileaks ont suscité une certaine prise de conscience. Ces outils se révélant complexes et chers, les entreprises cherchent d’abord à adopter des mesures de bon sens pour mieux protéger nos informations personnelles. Des mesures qui s’appuient sur quatre principes de base : déterminer avec précision quelles sont les informations personnelles récoltées (avec l’évolution rapide des solutions Internet, nombre d’entreprises ont perdu de vue le contenu de leur base et l’endroit où sont stockées certaines données), réduire ces informations aux seules vraiment utiles, mettre en place des processus d’effacement
des données périmées et enfin renforcer
les protections sur les données
conservées. Différentes méthodologies
sont là pour les aider ensuite à évaluer la
résistance de leurs applications Web et
de leurs infrastructures aux intrusions
des pirates.

Surveillance des cartes bancaires

Bien évidemment, les données les plus
convoitées et les plus sensibles sont
liées aux informations de paiement.
Heureusement, en la matière, les choses
sont bien plus réglementées et plus
contrôlées que pour les autres informations. Les sites qui acceptent les paiements
par carte de crédit doivent
aujourd’hui se conformer à une norme
(PCI-DSS) établie par les principaux
organismes de délivrance de cartes
(Visa, Mastercard, American Express,
etc.). L’application de cette norme
repose sur un principe pyramidal : les
organismes de cartes l’imposent aux
banques, qui l’imposent aux fournisseurs
de services de paiement, qui l’imposent
aux e-commerçants. En France,
les entreprises ont traîné les pieds et
tardé à adopter ce standard, mais elles
se retrouvent désormais poussées dans
cet engrenage vertueux.Aujourd’hui, les paiements ne devraient
plus jamais être gérés par les sites eux-mêmes,
mais par des services directement proposés par des banques. Cela fait
des années que ces dernières subissent
des attaques, et la sécurité est autant
leur grande priorité que leur spécialité.
En théorie, donc, les services des boutiques en ligne n’enregistrent ni ne transmettent
aucune information bancaire. Si
elles utilisent des logiciels d’e-commerce
qui gèrent et transmettent des numéros
de cartes de crédit (comme il en existe en
grand nombre en open source), elles doivent
alors s’assurer que leur hébergement (
à la fois le prestataire, ses logiciels
et ses serveurs) respecte le lourd cahier
des charges de PCI-DSS.

Repérage des incohérences

La sécurité est une remise en cause permanente.
Hackers et fraudeurs ne cessent
de trouver de nouvelles méthodes
d’attaque, obligeant les acteurs de la
sécurité à rester toujours en éveil. Et il
faut conforter la confiance des internautes
acheteurs, en mettant en oeuvre
régulièrement de nouvelles procédures.
On voit ainsi se multiplier des solutions
de paiement qui demandent en quelque
sorte une double authentification, généralement
basée sur des codes obtenus
par le biais de votre téléphone mobile :
3D Secure de Visa, SecureCode de MasterCard
ou Verisign Identity Protection
en sont quelques exemples.On voit aussi se développer des solutions
moins connues du grand public, comme ThreatMetrix qui permet aux sites de
vérifier que les visiteurs sont bien ce
qu’ils prétendent en repérant les incohérences
de leur comportement. Une carte
bancaire française, une adresse de
connexion en Ukraine, l’utilisation d’un
proxy d’anonymisation, une adresse de
livraison à Londres… le système utilise
plus de 160 points de comparaison pour
repérer les incohérences. Cela permet
notamment de protéger des gens qui ont
été victimes de phishing et se sont fait
usurper leur identité. Il évite aussi l’affichage
de données personnelles “ avancées ”
si le visiteur n’a pas été reconnu
comme fiable.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Christofer Ciminelli, Loïc Duval, et Christophe Gauthier
Les dernières actualités
Dji Power 1000 2
Après les drones, DJI se lance dans les stations électriques portables
Iphone Daisy Recyclage
Recyclage : Apple détruirait des iPhone en état de fonctionner
Google Logo Flou
Google licencie des employés après des manifestations contre le « Projet Nimbus »
Huawei Pura 70
Huawei met en vitrine sa nouvelle gamme Pura 70
Drapeau européen
Le régulateur européen émet de fortes réserves sur le système « Payer ou Consentir » : quelles conséquences pour Meta ?
Nothing Ear (a) Une 1
Nothing Ear et Ear (a) : les écouteurs sans fil à moins de 150 euros repartent de zéro
Nouveau Robot Atlas Boston Dynamics
N’ayez pas peur, Boston Dynamics présente son nouveau robot humanoïde
Iphone 15 Apple
Vendu au prix de l’occasion, cet iPhone 15 neuf va partir comme des petits pains 🥖
Top téléchargements