Cyber Monday – Il ne suffit pas de participer!

Rien n’oblige à suivre chaque tendance sur-le-champ. En Suisse, «par bonheur», on se fait plutôt prier deux fois qu’une avant d’adopter certaines modes. Ainsi, nous profitons des expériences que d’autres ont faites avant nous. Concrètement, il est question du Cyber Monday: s’il ne fait pas encore partie des incontournables de notre calendrier, dans l’espace économique anglo-saxon en revanche, il est désormais aussi important que le Black Friday. Pour les commerçants en ligne, c’est l’assurance de caisses bien remplies et de stocks vides pour l’exercice à venir.

Malheureusement, le «plus beau lundi de l’année» ne fait pas seulement la joie des clientes et des clients, mais aussi celle des cybercriminels. Dans le feu de l’action, les méthodes de ces derniers prospèrent en effet à l’envi, visant autant les clients que les prestataires. Pour comprendre les mécanismes bien rodés de ces attaques, un changement de perspective s’impose. Qu’espèrent obtenir les pirates lors d’une telle journée?

La machine à copier

Lors du Cyber Monday, de nombreux utilisateurs partent à la chasse aux bonnes affaires via les moteurs de recherche. Des annonces aux offres attrayantes viennent également se mêler à la liste des résultats de recherche. Qui penserait à une utilisation abusive des données, alors qu’il vient tout juste de dénicher un téléviseur flambant neuf pour la moitié du prix du marché? Le formulaire est rempli avec le plus grand zèle et les renseignements fournis sans la moindre retenue.

Mais les clients et les exploitants de boutiques en ligne peuvent ainsi être victimes d’une campagne d’hameçonnage (ou phishing), couplée à un piratage de l’adresse IP. Il ne s’agit alors qu’en apparence du site web du prestataire connu – c’est en réalité un faux site. Un code HTML est vite copié, de fausses publicités Google sont, elles, mises en ligne en l’espace de quelques secondes. Le criminel s’est non seulement épargné bien du travail, mais a aussi terni la réputation du prestataire par la même occasion. Il a en outre collecté les données de clients telles que l’adresse, les données de carte de crédit et les réponses aux questions de sécurité. Les données sont le nouveau pétrole, et ce n’est aucunement une belle phrase vide de sens. Plus il y en a et mieux c’est. Dans de grandes banques de données, d’innombrables points de données sont compilés pour constituer des identités numériques.

Le tueur à gages

Lorsque la boutique en ligne tourne déjà très bien ce (cyber) lundi matin, personne ne s’inquiète. Il semble tout d’abord que le service marketing ait fait du bon travail et que les offres attirent la clientèle. Jusqu’à ce que soudainement, l’assaut ne cesse de prendre de l’ampleur. Les demandes se déversent en torrent sur le serveur web jusqu’à ce que celui-ci rende son dernier soupir. Comme par hasard exprès ce jour-là!

Que s’est-il donc passé? L’entreprise a été victime d’une attaque par déni de service distribuée, ou DDoS. Une attaque ciblée sur la boutique en ligne provoquant une surcharge du serveur, qui refuse alors tout service (Denial of Service). Ce type d’action peut tout simplement être acheté sur le dark web, puis exécuté. Si cette procédure ne le rend bien entendu pas légal pour autant, elle est très difficile à localiser. Les boutiques en ligne soumises à une concurrence acharnée sont souvent la cible de ce genre de campagnes lors de journées telles que le Cyber Monday ou autre phénomène saisonnier comparable.

Le rusé

C’était cet e-mail que le chef avait parcouru rapidement entre deux réunions. Un lien vers une formidable résidence de vacances pour Noël que lui avait envoyé son fils. Mais ce mail, le chef l’a déjà oublié. En revanche, aujourd’hui, ce qu’il sait, c’est que sa boutique en ligne est hors ligne. L’accès aux données de ses clients, aux stocks et à l’interface de gestion a été bloqué – par un groupe de criminels. Moyennant une somme astronomique en bitcoins, son Cyber Monday pourrait encore être sauvé. Mais cela en vaut-il la peine?

Le problème: sa boutique en ligne a été victime d’une «attaque sophistiquée». Dans de tels cas, les bandes organisées (cette forme de criminalité étant quasiment impossible à réaliser seul) utilisent des informations accessibles publiquement afin d’infiltrer l’entreprise avec un petit logiciel malveillant. Dans ce cas, le CEO avait en l’occurrence un profil Facebook par lequel il était connecté à son fils et où il postait des photos de vacances. Au prix de quelques recherches, il était possible de rédiger un e-mail personnalisé à partir d’une fausse adresse e-mail et de l’introduire dans l’entreprise avec un lien ou une pièce jointe. Incognito. Jusqu’au jour où le programme serait exécuté.

Ces trois exemples visent à montrer de quelle manière s’opère la criminalité dans le domaine de l’e-commerce. Chaque jour, d’innombrables menaces font planer leur ombre sur le marché et ébranlent la confiance de la clientèle et des prestataires, entraînant des dommages coûteux et accaparant surtout beaucoup de temps. Un grand nombre de cas ne sont jamais élucidés. Les structures en arrière-plan sont trop complexes, les ressources des enquêteurs trop limitées et les assurances trop promptes à payer.

Si votre entreprise souhaite profiter de la journée du Cyber Monday en toute sécurité, nous vous conseillons d’appliquer les mesures suivantes:

1. Formez vos employés et vos cadres. La vigilance est la première et la plus essentielle des précautions pour un modèle commercial sûr.
2. Vérifiez les éventuelles failles de votre site web et éliminez-les sans attendre. Les tests d’intrusion devraient faire partie de l’«hygiène web» au même titre que les pare-feux et les filtres anti-spam.
3. Faites appel aux services de monitoring (y c. analyse de vulnérabilité) afin d’identifier à temps les comportements inhabituels sur le web.
4. Appliquez un processus de sauvegarde minutieux afin de disposer rapidement et sans grands dommages d’une version antérieure de vos données en cas d’incident.
5. Informez votre clientèle et instaurez ainsi une meilleure relation client.