Partager l'article :

Ce billet est la 2e partie du dossier consacré à la cybercriminalité ciblant les e-commerçants.

Les 2 principaux délits auquel un commerçant vendant en ligne peut être confronté sont :

  1. le vol (la fraude au paiement en ligne)
  2. l’extorsion (souvent grâce à la détention de données sensibles)

1. Le vol

Le paiement en ligne: un risque plus pour le vendeur que pour l’acheteur

westernunionPaiement en ligneCe blog a précédemment abordé la problématique du paiement en ligne. Paradoxalement, en cas de paiement par carte de crédit, le consommateur a tendance à être nettement plus méfiant du vendeur que le contraire. Or, la législation protège le particulier consommateur en cas d’achat à distance, en obligeant l’émetteur de la carte de crédit à rembourser toute opération contestée, à moins évidemment que le vendeur puisse prouver que le détenteur de la carte a bien obtenu le produit / service commandé.

Par contre, le vendeur fait parfois une confiance aveugle à l’acheteur, sans prendre des précautions minimales, alors qu’il risque lui de ne pas être payé. Pourtant, on ne concevrait pas qu’un tenancier d’un magasin physique situé dans un lieu à forte fréquentation ait en permanence les yeux fermés ! Souvent il vérifiera rapidement si on ne lui remet pas un faux billet pour régler une dépense. Il veillera aussi à ce qu’on ne puisse pas faire des aller-venues dans sa boutique comme dans un moulin (ex: un passage obligé près des caisses pour sortir, un vigile….).

Ainsi la Police fédérale belge a dû traiter par exemple le cas d’un e-commerçant vendeur de matériel électronique. Alors qu’il venait de se lancer dans la vente en ligne, il a reçu très rapidement des commandes d’équipements parmi les plus coûteux du catalogue dans un temps très court, à livrer dans des kots d’étudiants. Il les a honorées sur le champ, sans procéder à une vérification de l’identité des acheteurs. Et l’e-commerçant ne s’est pas posé des questions sur le succès subit de son activité en ligne. Bilan: 200 000 euros perdus, les cartes de crédit utilisés se révélant avoir été volées. De plus le système d’enregistrement des opérations sur l’e-shop n’était guère fiable. Heureusement, l’enquête a quand même pu rapidement identifier les fraudeurs.

Des mesures peuvent être prises pour repérer l’usurpation d’identité et limiter la fraude aux moyens de paiement.

Au delà du risque de ne pas être payé, le vendeur s’expose à d’autres menaces.

2. L’extorsion à partir de données récoltées

Les données qui intéressent le plus les criminels sont bien entendu les identifiants et mots de passe liés à des opérations de paiement, mais aussi les données personnelles d’identification.

  1. les données liées à des moyens de paiement
    • la carte de crédit bien évidemment, mais aussi et surtout les systèmes de transferts d’argent non liés à des comptes bancaires, comme Western Union, ou qui nécessitent des moyens d’identification faibles et aisément usurpables comme Paypal (UserID qui est souvent une adresse e-mail et un mot de passe) ainsi que les systèmes nouveaux de monnaies virtuelles (ex: Webmoney, Ukash, Bitcoins)
  2. les données liés directement ou indirectement aux transactions, dans le but soit d’en tirer un profit ou du pouvoir (ex: espionnage économique), soit de mettre en difficulté une entreprise (faillite, discrédit dans les médias,…).

Concernant ce 2e point, il faut tenir compte de l’existence de forums de discussion privés, et même des places de marché en ligne, entre criminels qui récoltent des failles de sécurité permettant d’accéder au back-office de certaines plateformes d’e-commerce, des listes d’e-shops vulnérables, des clés d’accès, des logiciels malveillants à télécharger, des listes de cartes de crédits volées monnayées aux enchères, des mécanismes de blanchiment d’argent…

3 procédés sont les plus fréquemment utilisés par les cybercriminels :

1) Obtenir les données chez l’e-commerçant.

Une des méthodes consiste à installer sur l’ordinateur (ou le serveur) du vendeur, à son insu, un “trojan” (cheval de Troie).

Ce type d’outil informatique malveillant peut prendre le contrôle à distance d’un très grand nombre d’ordinateurs, récolter les informations stockées et échangées, et faire exécuter des actions (attaques d’un serveur,…).

Plutôt que d’exploiter directement les données récoltées, certains préfèrent exercer un “chantage”, sous une forme classique de rançon (payer pour que votre plateforme web puisse continuer à fonctionner), ou plus subtile, en menaçant l’e-commerçant par exemple que les visiteurs vont être alertés par un message signalant que des images pédopornographiques ont été repérées sur le site de l’e-commerçant.

2) faire en sorte que l’e-commerçant… livre ses données

S’il ne parvient pas à installer une “porte dérobée” pour pomper discrètement les données informatiques sur l’ordinateur du vendeur ou sur le serveur, le malfaiteur va tenter que ce soit le vendeur qui les le lui fournisse, naïvement.

Une méthode particulièrement vicieuse consiste à proposer un concours ou un nouveau service en ligne, qui semble être attractif (ex: application à lier à son compte Facebook), mais qui est en fait bidon, ceci dans le seul but de récolter des éléments d’identification (login, date de naissance…) et/ou d’installer un logiciel malicieux sur l’ordinateur de celui qui a fait une confiance en ce service. C’est par parenthèse la technique utilisée par un service secret étranger pour obtenir des données d’accès à des routeurs clés du principal réseau de transport de données belge.

3) Obtenir les données directement des visiteurs

S’il ne parvient pas à obtenir les données chez le vendeur, le malfaiteur sera probablement tenté de les récolter auprès directement des acheteurs en les piégeant.

La méthode principale employée est l’hameçonnage ou phishing. Les malfaiteurs créent une imitation du site d’e-commerce original afin de récolter les identifiants des clients, notamment les données de paiement.
Pour détourner la clientèle, 2 méthodes apparaissent fréquemment :

  1. des campagnes massives d’envoi d’e-mails
  2. des techniques élaborées de référencement naturel afin que le faux site soit mieux positionné dans les moteurs de recherche que l’authentique.

Les malfaiteurs se servent directement des données de paiement récoltées pour effectuer des achats ou retraits. Dans ce cas, l’e-commerçant n’est généralement pas directement lésé par la fraude. Par contre, l’impact au niveau de la réputation de la boutique en ligne peut être désastreux, puisque les personnes lésées étaient persuadées de faire leur achat sur sa boutique. Des articles dans la presse risquent de sortir. L’image qui en sortira est qu’il y a un risque de faire des achats en ligne auprès de ce commerçant, alors même que le site original est en réalité parfaitement fiable.

Si les opérations frauduleuses ont été réalisées en récoltant les données de cartes de crédit de particuliers, ceux-ci seront indemnisés par l’émetteur du moyen de paiement. Par contre, l’e-commerçant a intérêt à montrer qu’il a pris des mesures pour contrer un hameçonnage afin d’éviter de tenter l’émetteur de se retourner contre lui pour négligence.

Il arrive aussi que les cybercriminels utilisent les données récoltées comme moyen de chantage auprès du cybercommerçant, surtout s’il s’agit de données de clients déjà existants.

Des mesures au niveau de l’organisation et de la sécurité informatique peuvent être prises pour se protéger contre ces menaces

Partager l'article :
X