[Tribune] Quand l'essor de l'e-commerce profite aux cybercriminels
Déploiement de bots automatisés pour acheter des stocks en promotion, credential stuffing: retour sur les cyber-risques en lien avec la croissance des ventes en ligne.
Je m'abonneD'après le dernier rapport sur l'e-commerce, publié début février par la Fevad, les ventes en ligne ont progressé de 8,5% en 2020 avec un chiffre d'affaires de 112 milliards d'euros. Le secteur, qui représentait 9,8% du commerce de détail en 2019, a atteint les 13,4% en 2020, avec 17400 sites e-commerce supplémentaires, et 1,8 milliard de transactions enregistrées. Boosté par les restrictions sanitaires et le basculement des clients des points de vente physiques vers les plateformes d'achats en ligne, l'e-commerce a connu sa meilleure année en 2020, et a joué un rôle crucial dans le maintien de l'activité économique en France.
En parallèle, nous avons assisté à un nombre croissant d'escroqueries en ligne, avec des acteurs malveillants prêts à tirer profit de ce pic de trafic en ligne. Dans ce contexte, et alors que de plus en plus de consommateurs se digitalisent, le commerçant se retrouve face à des défis majeurs: comment poursuivre son activité de manière attractive et productive, tout en se prémunissant -ainsi que ses client - contre les attaques? Comment investir dans des outils robustes de prévention des fraudes sans compliquer ni altérer l'expérience client, au risque de causer de l'attrition ou de l'abandon de panier?
La généralisation des attaques de bots
Le paysage de la cybersécurité dans lequel évoluent les e-commerçants évolue en permanence, de nouvelles menaces émergent constamment, les cybercriminels redoublant d'efforts pour innover dans le domaine. Or, le déploiement d'armées de bots automatisés émergent comme un dénominateur commun mis en avant par les commerçants.
Ce type d'attaques contre les sites de vente en ligne se manifeste de plusieurs manières. Traditionnellement, des armées de bots achètent un stock complet d'articles populaires ou très demandés afin de les revendre plus tard avec bénéfices. Des bots scannent ainsi les plateformes d'e-commerce du monde entier. Dès l'instant où un article est mis en vente, ils alertent alors leurs créateurs afin que ces derniers prennent les consommateurs de vitesse. Certains achètent même le produit automatiquement, soit plus vite qu'un être humain. Cela s'est notamment produit en temps réel lorsque les dernières consoles Nintendo Switch sont apparues sur eBay, courant 2020, pour des centaines d'euros de plus que le prix initial, provoquant la frustration de joueurs à travers le monde.
L'identité, sésame des cybercriminels
Bon nombre de bots fondent leurs attaques sur l'identité, en se faisant passer pour des utilisateurs légitimes. Par exemple, les attaques de "credential stuffing", où les hackers exploitent des informations de connexion volées, se sont multipliées ces dernières années. Plus spécifiquement, pour perpétrer ces attaques, ils exploitent des listes de noms d'utilisateurs et de mots de passe issues de piratages antérieurs et dont un nombre important est disponible gratuitement sur Internet. Partant du principe que les utilisateurs ont tendance à réutiliser leurs mots de passe, les cybercriminels peuvent ainsi exploiter les milliards d'identifiants volés qui circulent actuellement sur le dark web, comme ce fut le cas dernièrement avec les comptes Gmail ou encore les données de santé de près de 500000 français dérobées auprès de laboratoires. Les e-commerçants sont particulièrement exposés à ces attaques.
Des méthodes existent pour contrer les bots sans affecter l'expérience des clients réels. Étant donné que la plupart des fraudes en matière d'e-commerce prennent la forme d'attaques d'authentification frauduleuse, où les escrocs se font passer pour des utilisateurs légitimes, la solution consiste forcément à confirmer l'identité des utilisateurs.
L'authentification multi-facteurs (MFA) exige que les utilisateurs prouvent qu'ils sont bien qui ils prétendent être, en fournissant une forme de vérification supplémentaire, en plus de la combinaison classique nom d'utilisateur/mot de passe. Il s'agit de la défense la plus efficace contre les attaques fondées sur l'identité ou l'authentification. Les méthodes MFA courantes incluent les codes uniques envoyés à l'adresse e-mail d'un utilisateur, et les identifications biométriques telles que les empreintes digitales.
Cependant, certains commerçants se sont montrés réticents à l'adoption de ces méthodes, notamment par crainte que l'authentification multi-facteurs n'introduise trop d'obstacles dans le parcours d'achat des clients et ne conduise à l'abandon de panier. Pourtant, grâce aux évolutions, les normes de MFA actuelles sont en réalité plus simples et plus rapides.
Lutter contre la fraude pour fidéliser
Les consommateurs sont de plus en plus exigeants et volatils. Ainsi, pour assurer leur engagement et leur fidélité, tout en limitant le risque de friction, il est nécessaire d'éviter d'imposer aux clients existants d'avoir à prouver leur identité à chacun de leur achat.
Les commerçants en ligne peuvent plutôt recourir à une méthode d'authentification multi-facteurs progressive ou adaptative, qui requiert des justificatifs supplémentaires uniquement en cas de comportement suspect ou à haut risque. Vérifier l'identité d'un client peut par exemple s'avérer nécessaire s'il se connecte avec un nouvel appareil, ou s'il passe une commande au-delà d'une certaine valeur. Avec les escroqueries de plus en plus nombreuses et sophistiquées, les commerçants ont plus que jamais besoin d'un moyen d'empêcher ces transactions frauduleuses de se produire -avant de recevoir un appel de la banque du client pour une annulation. Pour les y aider, des outils qui signalent automatiquement les comportements suspects sont disponibles sur le marché.
Si les commerçants peuvent forcer les utilisateurs à changer leurs mots de passe en cas de vol, ils ne peuvent cependant pas empêcher la réutilisation de ces derniers. Or, bien qu'ayant un niveau de sécurisation actuellement optimal, la MFA ne peut être utilisée et efficace qu'avec le consentement des utilisateurs, cela oblige le commerçant à recourir à la persuasion pour favoriser son recours. Face aux risques de pertes de clients que cela peut induire, une défense efficace contre les attaques repose donc sur la sécurité multicouche. En effet, si la prévention totale de la fraude dans l'e-commerce n'est aujourd'hui pas une réalité, la mise en oeuvre conjointe de ces techniques permet indéniablement d'améliorer la protection. Les acteurs malveillants cherchent la facilité, et lorsque ces outils de protection sont en place, les entreprises ne sont ainsi plus considérées comme une proie facile, et les attaquants passent à une autre cible plus facile.
2020 a marqué un tournant pour l'e-commerce. Commerçants et clients ont adapté leurs pratiques d'achats à la vente en ligne, et établi ainsi une nouvelle norme de consommation, pressentie pour s'installer dans le temps, au-delà de la pandémie. Ce sont autant d'opportunités pour les criminels d'utiliser les identités des consommateurs à des fins malveillantes. C'est pourquoi, se contenter d'une simple solution de connexion traditionnelle n'est plus envisageable pour les commerçants. Trouver le juste équilibre entre la vérification des identités des utilisateurs et l'expérience client optimale constituera l'un des défis de l'e-commerce du futur, et jouera un rôle prédominant dans la fidélisation des clients.
L'auteur
Kris Imbrechts occupe les fonctions de directeur régional Europe du Nord et du Sud chez Auth0. Depuis le début de sa carrière, il s'est concentré sur le développement d'équipes et d'entreprises dans le secteur de la sécurité. Acteur impliqué dans le secteur de l'informatique depuis plus de dix ans, il est spécialisé sur des sujets liés à la gestion des identités et des accès des clients (CIAM) pour les entreprises au sein de la région Emea. Kris Imbrechts est par ailleurs passionné par les thématiques relatives à la sécurité des clients, de leurs partenaires et des consommateurs.