Prévention de la fraude dans le commerce en ligne

Les personnes aspirant un tant soit peu à l’enrichissement personnel et affichant en outre une certaine affinité pour les technologies d’Internet et pour les valeurs teintées d’amoralité sont des candidats idéaux pour la cyber-criminalité organisée. La «course à l’armement» a commencé depuis longtemps – où en sommes-nous actuellement?

La cyber-sécurité, le piratage et la fraude sur Internet sont sur toutes les lèvres. Ces sujets ne sont pas seulement importants et urgents, mais également sexy et dans la tendance des médias sociaux, des influencers et des vrais et pseudos experts en sécurité. Aucun blockbuster, de James Bond à Wallander, ne s’en sortplus sans un cyber-espion. Et les USA, comme d’autres pays, ont déclaré le cyberespace zone militaire.

En Suisse, en matière de cybercriminalité à l’échelle de la Confédération, les pistes convergent en premier lieu chez MELANI [1] et Fedpol [2]. La Confédération intensifie actuellement ses efforts en termes de prévention et de lutte contre les cyber-risques par l’institution d’un «Monsieur Cyber» [3]. Florian Schütz, ancien collaborateur de RUAG et ancien responsable Security chez Zalando a pu être gagné à cette cause. Le thème de la cyber-criminalité n’intéresse donc pas seulement les scénaristes de séries TV policières, mais aussi un milieu beaucoup plus sérieux.

Comme son titre l’indique, le présent article traite en particulier de la prévention des activités d’escroquerie dans le commerce en ligne, mais pasd’autres méthodes de piratage, comme les ransomware et les chevaux de Troiecryptés. 99% des systèmes de commerce en ligne se basent sur le fait que le client se connecte avec son navigateur (Chrome, Firefox, Edge, Safari, MobileApp) à un site web pour sélectionner des produits et les faire livrer à son domicile.

Les pirates qui attaquent ces systèmes ont rapidement constaté que l’attaque directe de l’infrastructure des plateformes est laborieuse et difficile. Il y a certes toujours des articles sur des piratages d’entreprises réussis, des cartes de crédit volées, etc. au cours desquels les pirates ont trouvé le moyen d’accéder illégalement à l’infrastructure informatique des entreprises. Mais dans 99% des cas, les pirates tentent de tromper les personnes (utilisateurs finaux) et de s’enrichir via leurs PC, ordinateurs portables ou téléphones mobiles ou de paramétrer des paiements illégaux dans les systèmes en ligne.

Le thème revêt un risque crucial pour une plateforme commerciale dans la mesure où les navigateurs relèvent de la responsabilité des clients et souffrent, parfois, d’une carence en matière de maintenance ou de l’absence de mises à jour notamment. En d’autres mots, la plateforme commerciale doit considérer le terminal d’un client comme potentiellement dangereux et partir du principe que cet appareil est déjà utilisé par un cyber-criminel.

Qu’adviendrait-il si une plateforme commerciale pouvait enregistrer la manière dont une personne utilise un site web ou une application? À quelle vitesse la saisie d’un paiement est effectué ou l’ordre dans lequel une commande est passée? Si une plateforme commerciale détenait ces connaissances, les cyber-criminels n’auraient qu’à bien se tenir. L’analyse de la rapidité de saisie, du comportement en matière de clics et d’utilisation n’est pas une simple proposition théorique: elle est déjà utilisée par de nombreuses plateformes commerciales en ligne en tant que système de détection des fraudes. Un abus peut ainsi être empêché en analysant le comportement de l’utilisateur. C’est un outil de défense puissant. Mais le roman policier et la course à l’armement continuent, car les gains des pirates régressent et ils mettent tout en œuvre pour avoir une longueur d’avance à l’avenir et duper ce système de détection de la fraude.

Le suspense demeure – et nous n’en sommes qu’au début! Avec l’essor du digital et de l’utilisation d’algorithmes de machine learning, les opportunités croissent de façon exponentielle, tant pour les attaquants que pour les défenseurs. Pour la branche informatique, c’est une bonne affaire, d’une manière ou d’une autre. Les développeurs de logiciels sont les Michel-Ange et les pop-stars du futur. La sécurité est un processus – et nous ne pouvons pas rester les bras croisés. Les nombreuses opportunités de l’ère numérique ont leur prix et il convient de rappeler que le cyber-espace n’est qu’une reproduction de la réalité. L’histoire des escrocs a débuté avec la naissance de l’humanité. C’est sans doute le deuxième plus vieux modèle commercial. Restez à l’affût!

Ivan Bütler interviendra sur ce sujet à la Connecta à Berne.