Gestion de la fraude: ce qu'a changé la crise sanitaire

La crise sanitaire liée au Covid-19 a fait le lit de la fraude. Au début du mois de janvier, 16000 nouveaux noms de domaines liés au coronavirus ont été enregistrés, selon l'éditeur CheckPoint, spécialisé dans la cybersécurité. En février 2020, le nombre moyen de faux domaines a décuplé par rapport à l'année précédente. L'éditeur a ainsi repéré des "offres spéciales coronavirus", liées à des logiciels malveillants ou des outils d'exploitation de vulnérabilité, vendus sur le Darknet sous l'appellation "coronavirus" ou "Covid19".

Attention à l'abus de la politique de retour

Plusieurs tendances de fraude ciblant les e-marchands ont pris de l'ampleur. À commencer par l'abus de politique de retour. De nombreux logisticiens ne demandaient plus de signature contre la remise des colis durant plusieurs mois, certains clients indélicats acceptaient donc le carton puis remplissaient une réclamation pour "colis non remis". "L'impact du Covid a varié en fonction de la taille des marchands, explique Yann Aubry , vice-président EMEA sales de Forter, éditeur spécialisé dans la vente de solutions de protection. Les plus touchés en Europe, surtout au Royaume-Uni, étaient les marketplaces mid-market orientées mode. Elles étaient plus affectées que les grandes marketplaces qui promeuvent des marques de luxe. Les acteurs les plus globaux sont apparus les moins affectés." Entre le premier semestre 2018 et le premier semestre 2019, l'éditeur note 33% d'augmentation d'abus de la politique de retour.

En parallèle, Forter a noté une hausse des livraisons vers des lieux inhabituels. De même, les nouveaux e-shoppers (concernés par l'achat de nourriture ou d'alcool) n'étaient pas nécessairement familiers de l'achat en ligne. "Pour notre réseau de marchands partenaires, le nombre de nouveaux clients se situe généralement entre 5 et 7%, explique Yann Aubry. Avec la crise sanitaire, ce taux est passé de 15 à 25%." Ces nouveaux consommateurs constituaient des cibles plus faciles pour le phishing et l'usurpation de compte. Par ailleurs, "les fraudeurs savent que certains outils de protection n'ont pas intégré les nouvelles pratiques d'achat et en profitent", renchérit Yann Aubry.

Un risque accru de hameçonnage pour les collaborateurs en télétravail

Plus largement, durant la première semaine du confinement, le groupement d'intérêt public Cybermalveillance, créé par l'Anssi et le ministère de l'Intérieur, et comptant parmi ses membres la Fevad, Google et Microsoft, a constaté une explosion des tentatives d'hameçonnage (+400?%). Même si chaque pays a subi au moins une attaque sur le thème Covid-19, la Chine, les États-Unis et la Russie étaient les plus ciblés, selon Fortinet, spécialisé dans la cybersécurité. Cependant, "les chercheurs affirment que moins de 2% du total des e-mails malveillants étaient liés à la pandémie et que le volume global des menaces n'a pas augmenté", nuance Christophe Auberger, cybersecurity evangelist France de Fortinet.

La pandémie n'aurait été au final qu'un moyen d'abuser plus facilement les victimes, notamment les télétravailleurs peu sensibilisés aux bonnes pratiques de sécurité. Ainsi, des acteurs tels que l'américain Barracuda Networks proposent la sécurisation de la messagerie professionnelle (applicable à des messageries dans le cloud, à l'instar de Microsoft 365), la sécurisation des accès web via des "Web application firewalls", ainsi que des solutions de back-up (récupération des données perdues en cas d'attaque par cryptage des fichiers) physiques ou dans le cloud.

Les mentalités changent et les responsables de la sécurité des systèmes d'information des retailers commencent à se faire entendre plus largement des comités de direction. L'Anssi (Agence nationale de la sécurité des systèmes d'information) a réalisé également un travail important de sensibilisation en direction des entreprises françaises, notamment via le MOOC "SecNum Académie". "Mais le travail est encore long et la liste des entreprises mises à mal par un simple ransomware [logiciel de cryptage des fichiers demandant une rançon pour les décrypter] ne cesse de s'allonger, conclut Christophe Auberger (Fortinet). Il reste du chemin à parcourir en termes de budgets alloués et de ressources humaines dédiées à la cybersécurité."

"Nous avons pris des mesures exceptionnelles dès mi-février"

Christophe Samson, directeur des systèmes d'information de Cdiscount, revient sur le dispositif anti-fraude mis en place par l'e-marchand dans le cadre de la crise sanitaire et explique plus largement comment réduire sa vulnérabilité aux attaques.

Comment avez-vous organisé la lutte contre la fraude liée au Covid-19?

Nous avons pris des mesures exceptionnelles. Dès mi-février, au regard de l'actualité en Chine et en Italie, et alors même que la France n'était pas encore en crise, nous avons implémenté des filtres automatiques spécifiques, doublés de contrôles humains renforcés, afin d'écarter de notre marketplace les offres à allégation de santé en lien avec le coronavirus. Depuis le 4 mars, nous avons interdit la vente de masques et de gels hydroalcooliques.

Avez-vous rencontré des problèmes d'usurpation de votre nom de marque/nom de domaine?

Comme un grand nombre de marques et enseignes grand public, nous avons pu faire face, notamment sur les réseaux sociaux (Twitter, Facebook...), à des usurpations de notre nom. Nos outils de veille et nos relations étroites avec les enseignes hébergeant nos comptes nous permettent de réagir très vite pour faire fermer ces comptes.

Comment analyser les traces et conséquences d'une attaque pour réduire sa vulnérabilité?

Nos systèmes sont extrêmement robustes: en plus de 20 ans d'existence, aucune attaque n'a remis en question le fonctionnement ou la disponibilité du site. Notre Security operation center travaille 24 heures sur 24 et 7 jours sur 7 à la détection, l'analyse et la prévention de risques, de levées d'alertes. Nos équipes de cybersécurité assurent une veille permanente, en particulier sur l'évolution des technologies de protection et des méthodologies des hackers. Elles se challengent régulièrement en organisant des exercices de "bug bounty", avec la plateforme Yogosha, notamment. Ces exercices sont destinés à mettre à l'épreuve nos systèmes de sécurité pour en assurer la robustesse. Par ailleurs, Cdiscount est le seul e-commerçant à être labellisé par la Cnil au titre de sa protection des données.