Sites e-commerce, protégez les données de vos clients face aux nouveaux risques cyber
Les clients des sites de commerce en ligne ne le savent pas forcément, mais les cybercriminels ont bien affûté leurs techniques depuis les plateformes douteuses de paiement. Ils rivalisent d'ingéniosité pour dérober les données sensibles associées aux cartes de paiement de leurs victimes. Mais des solutions existent pour permettre aux sites e-commerce de protéger leur clientèle contre ces nouveaux risques.
Je m'abonneVol de données : menaces toujours plus sophistiquées pour les e-commerçants et leurs clients
Personnelles ou bancaires, les données des clients sur Internet intéressent vivement les fraudeurs et les cybercriminels. Ils ont écrémé les techniques au fil des ans pour peaufiner leur approche, auprès des acteurs du BtoC comme du BtoB. Les conséquences financières sont inestimables pour les professionnels, et les traumatismes conséquents pour les consommateurs.
Il faut dire que le secteur du e-commerce présente toujours de nombreuses fragilités, comme le soulignait déjà la Fevad (Fédération e-commerce et vente à distance) dans ses prévisions pour 2022 : 44 % des détaillants du monde entier ont ainsi été touchés par un ransomware en 2021, avec pour conséquence une augmentation des dépenses des RSSI en solutions de cybersécurité pour se protéger des cyberattaques et assurer la sécurité des informations de leurs clients. Et éviter aussi le bad buzz, les amendes des agences gouvernementales ou encore la chute des actions parfois quasi immédiate.
Pirates et cybercriminels : la fête est finie !
Finalement, peu importe les motivations des pirates du web : ce qui ne change pas, ce sont ses cibles. Dans ce contexte, les sites e-commerce s'affichent comme des géants aux pieds d'argile, pour de multiples raisons, qu'il conviendra de traiter à leur juste mesure (mauvaises pratiques, développeurs obligés de coder toujours plus vite, créativité accrue des cybercriminels), mais toujours pour protéger l'asset principal d'une entreprise : la donnée client.
Les sites e-commerce ne doivent donc pas tomber dans la fatalité ou le laxisme, s'ils veulent protéger leur clientèle et leurs propres revenus.
.Et c'est là que le standard PCI DSS entre en jeu, avec notamment sa nouvelle version qui permet aux e-commerçants d'entrer en conformité, pour faire face notamment aux attaques par écrémage ("skimming" ou "Magecart") qui ont le vent en poupe pour dérober les données sensibles associées aux cartes de paiement des victimes.
En cause, un langage JavaScript omniprésent et des formulaires web à la vulnérabilité avérée
En effet, l'évolution des attaques rend de plus en plus difficile la tâche pour les sites de commerce en ligne, alors que les fraudeurs sont capables d'exécuter des attaques via des sites web qui paraissent sûrs et légitimes. Les utilisateurs sont ainsi parfaitement incapables de savoir que leurs données confidentielles ont été dérobées. Il est parfois nécessaire de mettre en oeuvre des recherches importantes pour comprendre où se loge la faille, à savoir dans un script malveillant qui a été inséré sur une page de paiement en ligne, elle, bien légitime.
Cette vulnérabilité est intrinsèque aux formulaires web : les rapports de Verizon et IBM montrent ainsi que 90 % des fuites de données impliquaient en 2021 une application web, et 44 % incluaient des informations personnelles. Avec un langage JavaScript omniprésent sur Internet, le champ d'attaque est vaste, notamment au travers des parties tierces, applications ou services existants réutilisés dans la construction de nouveaux services ou sites web. De plus, un formulaire malveillant sera facilement exécuté au niveau du navigateur utilisateur pour extraire les données sensibles comme les informations bancaires.
Le standard PCI DSS v4 à la rescousse des e-commerçants
Pour faire face, les sites e-commerce ne doivent pas se contenter de concentrer leurs efforts côté serveur "interne", mais également assurer la sécurisation côté navigateur client, dans une logique de protection directe des utilisateurs et des activités de leur plateforme.
Les entreprises disposent à cette fin d'un standard mondial pour encadrer la protection des données bancaires contre les attaques illicites : la norme PCI DSS ( Payment Card Industry Data Security Standard).
Ce standard de sécurité, qui s'applique aux industries de carte de paiement, a pour objectif de protéger les données sensibles des titulaires de celles-ci. Face à la sophistication des attaques, elle propose même une version 4, laquelle est enrichie de pas moins de 64 nouvelles exigences. Deux sont incontournables pour prévenir et détecter les attaques par écrémage lancées sur les sites de vente en ligne.
Lire aussi : Les outils pour améliorer un site marchand
L'exigence 6.4.3 vise à réduire la surface d'attaque, en garantissant la nécessité des éléments JavaScript contenus dans une page de paiement, mais aussi qu'ils soient compris dans un inventaire et explicitement approuvés. L'exigence 11.6.1 concerne quant à elle, la détection de toute falsification du code JavaScript inclus dans les pages de paiement. Les modifications apportées aux scripts et aux en-têtes de page « http Headers » doivent pouvoir être détectées, et les alertes correspondantes générées. Il faudra aussi effectuer un contrôle dynamique périodiquement et/ou sur une fréquence de maximum 7 jours.
E-commerçants, comment se mettre en conformité ?
Les e-commerçants propriétaires de sites et les fournisseurs de services de paiement en ligne n'ont donc pas le choix, et c'est tant mieux. Ils doivent pouvoir assurer une visibilité et une gestion complètes des scripts chargés sur une page de paiement. La mise en conformité impliquera la mise en place de solutions et d'outils variés autour d'actions clés : générer un inventaire, autoriser les scripts présents, valider leur nécessité, garantir l'intégrité des scripts, alerter si nécessaire, vérifier les changements de contenu de page active qui pourraient affecter la procédure de paiement, ou encore détecter les changements d'en-têtes http.
Obligatoires à partir du 31 mars 2025, ces nouvelles exigences doivent être envisagées dès maintenant. Entrer dans le parcours de mise en conformité sans attendre est en effet la garantie d'un déploiement réussi et d'une capacité totale à lutter contre les cybercriminels. Forts d'un accompagnement adapté, les e-commerçants bénéficieront de nombreux atouts à s'y prendre "le plus tôt possible" : meilleure visibilité, capacité de gestion des risques accrue, et contrôle beaucoup plus fin du code JavaScript. Il serait dommage de ne pas être à la hauteur de la prochaine attaque par écrémage encore plus élaborée des fraudeurs du net quand la solution existe, fonctionne et protège à la clé données utilisateurs et réputation du commerçant.
![[Tribune] Paiement fractionné : à prendre ou à laisser ?](https://cdn.edi-static.fr/image/upload/c_scale,h_97/c_crop,w_97/f_auto,q_auto/v1/Img/BREVE/2021/12/367146/Tribune-Paiement-fractionne-prendre-laisser--L.jpg)
![[Tribune] DSP2 et parcours d'achat en ligne: pourquoi choisir entre sécurité et fluidité?](https://cdn.edi-static.fr/image/upload/c_scale,h_97/c_crop,w_97/f_auto,q_auto/v1/Img/BREVE/2021/5/360162/Tribune-DSP2-parcours-achat-ligne-pourquoi-choisir-entre-securite-fluidite-L.jpg)
![[Tribune] Trois erreurs courantes des commerçants concernant la directive DSP2](https://cdn.edi-static.fr/image/upload/c_scale,h_97/c_crop,w_97/f_auto,q_auto/v1/Img/BREVE/2021/3/358895/Tribune-Trois-erreurs-courantes-commer-ants-concernant-directive-DSP2-L.jpg)
