Alors que la période des fêtes de fin d'année approche, et avec elle des promotions à la pelle avec le Black Friday, les chercheurs en sécurité informatique de Proofpoint se sont penchés sur les niveaux de protection des principaux sites marchands en France. D'après leurs résultats, plus de la moitié des sites de e-commerce ne proposent pas de systèmes efficaces pour protéger les clients contre les arnaques de phishing.

Comme vous le savez, le Black Friday doit débuter ce vendredi 24 novembre 2023. Pour des millions de Français, ce sera l'occasion de faire de bonnes affaires en amont des fêtes de Noël. Seulement, cette période représente également pour les pirates l'occasion rêvée d'arnaquer les clients des principaux sites marchands, notamment avec des attaques de phishing ou par courriel.

Pour ceux qui l'ignorent encore, le phishing fait partie des 7 escroqueries en ligne les plus répandues. Généralement, cela consiste en de faux mails qui usurpent l'identité d'un service public (comme le site des amendes, le fameux Compte personnel de formation ou encore la vignette Crit'Air), d'une personne connue ou bien d'une entreprise. Le but étant de vous amener à cliquer sur un lien vérolé ou vous amener sur une fausse page pour dérober vos informations personnelles ou vos coordonnées bancaires.

58 % des sites marchands n'offrent pas de protection suffisantes contre le phishing

Alors que les utilisateurs s'apprêtent à déferler sur les sites de e-commerce en quêtes d'affaires en or, les chercheurs en sécurité de Proofpoint ont mené une étude sur les niveaux de protection cyber des principaux sites marchands en France. D'après les résultats obtenus, 58 % des sites les plus consultés dans l'Hexagone n'ont toujours pas mis en place de mesures de cybersécurité de base pour lutter contre les arnaques de type phishing.

Pour parvenir à cette conclusion, les experts de Proofpoint se sont basés sur la présence ou non d'un enregistrement DMARC par les e-commerçants. Pour résumer, DMARC est un standard international qui constitue encore à ce jour l'arme la plus puissante contre ce genre d'attaque et le domain spoofing (soit l'usurpation de nom de domaine). Il faut savoir que le DMARC comporte trois niveaux de traitements des courriels :

• Surveillance
• Quarantaine
• Rejet

Le dernier niveau offre le plus de protection, puisqu'il garantit que des mails suspects n'arriveront jamais dans la boite mail des clients. Or, 58 % des sites analysés ne proposent pas le niveau Rejet de la protection DMARC, laissant donc une brèche aux pirates pour piéger les utilisateurs avec de faux mails. D'après Proofpoint, on retrouve cette tendance sur les sites de la liste avec une extension .fr (sur les 24 sites en .fr figurant dans la liste, seulement 12 affichent le niveau de protection recommandé Rejet).

10 % des sites n'utilisent pas DMARC

En outre, 90 % des principaux sites marchands en France ont publié un enregistrement DMARC de base (10 % des sites n'ont donc aucune protection). “Le courrier électronique reste le vecteur le plus courant de compromission de la sécurité informatique, dans tous les secteurs d'activité, mais tout particulièrement dans le commerce électronique lorsqu'il s'agit de cibler des particuliers”, explique Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint.

Il poursuit : “DMARC reste la seule technologie ouverte capable de protéger contre l'usurpation de nom de domaine […] Il est urgent pour les e-commerçants de s'armer, pour que leurs clients puissent effectuer leurs achats en toute sérénité”. 

A lire également : Les pirates cherchent à exploiter Google Agenda pour voler vos informations personnelles

Comment faire ses achats en toute sécurité

A l'approche du Black Friday, Proofpoint partage en sus quelques conseils aux utilisateurs pour renforcer leur sécurité et éviter d'être victime des ces arnaques en ligne :

• Protéger vos mots de passe : varier les mots de passe en utilisant un gestionnaire de mots de passe et activer l'authentification à multiples facteurs
• Méfiez-vous des sites factices : gare aux sites frauduleux qui imitent l'interface de ceux de marques réputées. Cherchez d'éventuelles anomalies comme des fautes d'orthographe, des logos en basse qualité, un nom de domaine étrange ou inhabituel, etc.
• Ne cliquez jamais sur des liens contenus dans des mails ou des SMS : en cas de doute sur l'origine d'un SMS ou un mail promotionnel, ne cliquez jamais sur les liens présents et entrez directement l'adresse du site web connu dans votre navigateur pour accéder aux offres proposées
• Prenez toujours le temps de lire les commentaires lorsque vous vous apprêtez à télécharger une nouvelle application ou un site web connu. Cela reste une méthode efficace pour détecter une arnaque ou une fraude

Rappelons que dès février 2024, les comptes qui envoient un nombre important de mails (entreprises, services publics, organismes de santé, etc.) devront faire authentifier les courriels avant de pouvoir les envoyer sur les adresses Gmail et Yahoo. Il s'agit d'une décision prise par les deux géants du web pour renforcer la lutte contre le spam et les escroqueries en ligne.