Partager l'article :

Ce billet est la 3e partie du dossier consacré à la cybercriminalité ciblant les e-commerçants.

Détecteur faux billetIl rassemble quelques mesures pour se prémunir et pour réduire les menaces potentielles d’être victime, en tant que commerçant en ligne, d’actes criminels. Il indique aussi quelques mesures à prendre en cas d’infraction

a) Quelques mesures préventives contre les cyber-criminels:

1) Eviter l’usurpation d’identité de l’acheteur

Les transactions s’établissant sans rencontre physique (visuelle) entre les 2 parties, il est important pour l’e-commerçant de pouvoir correctement identifier ses clients.

L’attention doit être redoublée si le client communique une adresse webmail (outlook.com, yahoo.fr, gmail.com…) ou un identifiant d’un réseau social.

La bonne pratique consiste à combiner plusieurs éléments d’identification, et donc de ne pas se contenter uniquement d’un numéro de carte de crédit, d’un relevé d’identité bancaire (RIB), d’un identifiant d’un compte virtuel (ex: Paypal, HiPay…) ou d’un ID Facebook (identifiant propre à ce réseau social en ligne).
Pour des transactions plus sensibles, il peut être judicieux de prévoir une opération supplémentaire de validation de la commande par le client, par exemple via l’envoi d’un e-mail au client avec un lien personnalisé à cliquer et/ou l’échange d’un code par SMS.

En Belgique, un site web permet de vérifier en ligne si le document d’identité qui est présent par le client n’a pas été déclaré comme volé (http://www.checkdoc.be)

2) Mesures liées aux opérations de validation de commande

Mettre en place des procédures minimales d’alertes. Par exemple :

  • alerte en cas d’opérations importantes dans un délai court, avec contrôle de l’identité de l’acheteur
  • alerte en cas d’achats successifs avec une adresse IP identique

Vérifier le lieu de livraison et s’assurer d’une preuve de livraison.

L’attention doit être renforcée en cas de non concordance avec le pays de l’adresse IP de transaction.

3) Mesures contre le phishing :

Il est recommandé que l’e-commerçant vérifie régulièrement le fonctionnement de son site à partir d’une adresse externe, contrôle son référencement sur les moteurs de recherche (pour identifier des sites qui tenteraient de se faire passer pour l’original) et utilise des certificats de sécurité

4) Mesures contre les logiciels malveillants :

Il est recommandé de prévoir :

  • des procédures de mise à jour automatique des firewalls et logiciels anti-virus de tous les postes de travail,
  • une politique interne de règles de sécurité en interne pour tous les employés,
  • une politique spécifique pour les personnes ayant accès aux postes d’administration du réseau.

5) Mesures liées à la sécurité du serveur e-commerce

Il est recommandé de prévoir des tests de vulnérabilité notamment contre des attaques Botnet ou des SQL injections, politique de mots de passe complexes,…).

A noter que l’e-commerçant est civilement responsable en cas de négligence, si quelqu’un qui a consulté le site a subi un dommage (virus,…), ou si des données personnelles ont été dévoilées. Des poursuites pénales sont d’ailleurs aussi possibles. Si le serveur est géré par un sous-traitant. Celui-ci est-il suffisamment couvert (assurance RC,…) en cas d’incident ? (quoi qu’il en soit, en cas de problème l’e-commerçant sera d’abord le premier cité).

  • Une politique de prévention, mais aussi des procédures de réaction en cas d’incident doivent être établies.
  • Ne traiter que les données strictement nécessaires aux opérations de vente, et sur un serveur distinct de celui-ci qui fait tourner la plateforme de vente en ligne. Ne pas stocker des données d’identification des clients (et évidemment les données bancaires) sur ses propres serveurs. Sous-traiter auprès de spécialistes, mais ne pas les mettre dans les nuages, surtout si la société opératrice n’a pas son siège social en Europe.

6) Se réserver des preuves au cas où

de mettre en place un système fiable de traçabilité des opérations en ligne de manière à aider si nécessaire les enquêteurs dans leurs investigations.

b) Quelques mesures palliatives

En cas de problème, il est recommandé :

1) Récolter toutes les données :

  1. fichiers d’accès (log) avec horodatage
  2. coordonnées bancaires / comptes virtuels
  3. profil client

2) Alerter les autorités

En Belgique, contacter un point de contact régional de la Computer Crime Unit ou le siège fédéral (Notelaarstraat 211, 1000 Bruxelles Tel: 02 743 74 74)

3) Continuité du service sans perdre les preuves

Le cas échéant tenter de remettre en service le site sur un autre serveur, tout en veillant à conserver les preuves de l’infraction sur l’ancien serveur, et en procédant à des contrôles manuels approfondis des opérations tant que des mesures structurelles n’ont pu être prises pour résoudre le problème rencontré.

Partager l'article :
X