MAGASINS EN LIGNE
Transcription
MAGASINS EN LIGNE
DOSSIER MAGASINS EN LIGNE UN PANIER DE CRABES ! Même les grandes enseignes d'e-shopping ne peuvent pas toujours garantir la sécurité des données de leurs clients. La moitié des 100 boutiques en ligne de notre test ont des problèmes de sécurité. Pour 36 d’entre elles, il s’agit même de failles graves. 6 T ES T C O N N E C T #01 E-SHOPPING & SECURITE DOSSIER Texte Tom Crauwels Tekst Tom Thysen Photo Karl Bruninx O FAILLES n attire souvent l’attention des consommateurs sur la nécessité d’être Nous avons chargé l’entreprise de sécurité conscients des données qu’ils laissent sur néerlandaise Onvio de tester cent boutiques internet et sur l’importance de bien les en ligne parmi les plus visitées de Belgique. protéger. Pour une personne désireuse de Onvio utilise une liste des dix failles les plus s’emparer de données personnelles, il est fréquentes (top 10 de l’OWASP). Pour chaque toutefois bien plus efficace d’en voler une boutique, ils vérifient scrupuleusement la grande quantité à la fois ; présence d’une ou de comme fin en soi ou pour les plusieurs de ces failles et les affecter à un autre usage. classent selon leur gravité. C’est le plus souvent de cette Première conclusion, de manière qu’un consommanombreux sites web envoient teur lambda est victime d’un des cookies et/ou des mots de vol de données. Etant donné passe non protégés. Une que les grandes boutiques en porte ouverte pour tous ceux ONT ACHETÉ EN LIGNE EN 2014 ligne représentent une cible qui parviennent à espionner de choix pour mettre la main votre trafic internet. Un sur les données d’un grand danger qui ne concerne nombre de personnes, nous toutefois que les personnes avons voulu en savoir plus sur dont l’ordinateur ou la MILLIARDS D'EUROS connexion a été piraté. leur sécurité. En effet, votre AURONT ÉTÉ DÉPENSÉS EN LIGNE mot de passe a beau être Plus dangereux, car tout le PAR LES BELGES EN 2015 performant, rien ne sert de monde peut en être victime : les "open redirects". Il fermer la porte si vous laissez est possible, entre autres, de une fenêtre ouverte. manipuler l’hyperlien vers BANQUE DE DONNÉES les sites de Mobistar, SmartNOUVELLES BOUTIQUES WEB Les boutiques en ligne photo et Selexion à des fins PAR AN stockent tous vos renseignefrauduleuses. On peut trouver ments dans une banque de ce genre de lien, par exemple, données : nom, date de dans un e-mail de publicité EN naissance, adresse électroaguicheur. L’adresse est nique, adresse postale, achats, légitime, toutefois en cliquant parfois données bancaires et sur l’hyperlien, vous n’êtes toute autre information saisie pas redirigé vers la boutique ELLES DÉPASSERONT web mais vers un site copié, lors de la visite sur le site web. LES MAGASINS PHYSIQUES Votre mot de passe y est où vous devenez une proie EN TERMES D'EFFECTIFS également sauvegardé, mais facile pour le hameçonneur. SOURCES : SPF ECONOMIE ET BE-COMMERCE de manière cryptée. Toute L’hameçonnage permet aux personne ayant accès à la escrocs d’obtenir des données banque de données a immépersonnelles, comme un nom diatement accès à l’ensemble des informad’utilisateur et un mot de passe, en se faisant tions stockées. C’est un peu comme à l’hôtel : passer pour une personne de confiance (en vous avez une clé personnelle pour accéder à l'occurrence un site connu). votre chambre et le directeur peut ouvrir Nous avons également trouvé un "open toutes les portes avec son passe-partout. redirect" sur le site de Test-Achats. 6 MILLIONS DE BELGES 7 5000 2020 7 T ES TC O N N E C T #01 Nous vendons des guides pratiques sur notre site et collectons des informations personnelles (comme votre consommation et fournisseur d’énergie). Une fois au courant, notre équipe web est immédiatement passée à l’action pour réparer cette faille. Le problème est désormais résolu. DICK SNEL Chef de l’entreprise de sécurité Onvio et pirate éthique. Que fait un pirate éthique ? Un pirate éthique ("white hat") tente de pénétrer des systèmes à la demande de tiers dans le seul but d’améliorer leur sécurité. Il utilise les mêmes techniques et ressources qu’un pirate malveillant ("black hat"). Mais ce dernier pirate pour faire des dégâts : atteinte à la réputation du site, chantage auprès du propriétaire, utilisation frauduleuse des données volées... Comment restez-vous informé des dernières techniques de piratage ? Notamment par le biais de collègues travaillant pour des entreprises, et en suivant des congrès. Nous consultons aussi des sites spécialisés en sécurité pour comprendre le fonctionnement des virus les plus récents. Ils conduisent souvent à des failles exploitables par les pirates. Nous suivons également des forums et le site exploit-db.com, qui est le premier à rapporter les failles. ADMINISTRATEUR PIRATÉ Encore plus surprenant, pas moins de 33 sites (en gris foncé dans le tableau) peuvent être piratés par une faille XSS ("cross site scripting"). Ici aussi, on utilise un hyperlien manipulé, mais le piratage est plus poussé et sophistiqué. Vous n’êtes en effet pas redirigé vers un autre site, mais simplement sur la page de la boutique web. Ce que vous ne voyez pas, c’est le code supplémentaire que les pirates informatiques ont ajouté au site. Ils insèrent par exemple des malwares ou, dans le pire des cas, piratent votre session à distance sans même devoir connaître le mot de passe. Les administrateurs des sites sont aussi souvent vulnérables. Un pirate informatique peut se faire passer pour un client qui a besoin d’aide. Si l’administrateur clique sur l’hyperlien correspondant, sa session peut être piratée. Le piratage d’un compte administrateur est naturellement le plus intéressant, puisqu’il permet souvent de subtiliser des données clients. Les administrateurs d’Amazon et de Coolblue ont détecté cette faille automatiquement grâce à notre enquête et y ont remédié en quelques jours sans intervention de notre part. LE FICHIER COMPLET DU CLIENT Chez outspot, nous avons eu accès à une liste d'e-mails de plaintes de clients (en ce compris leurs adresses mail). Pour deux boutiques web – la pharmacie en ligne Farmaline.be et la librairie Proxis – les résultats sont encore plus stupéfiants. Toutes les données des clients sont à portée de main ! Une grave négligence dans la sécurité de leur base de données permet de télécharger l’ensemble de leur fichier client, ainsi que toutes leurs commandes. COMMISSION DE LA VIE PRIVÉE Qu’une grande partie des sites testés soit aussi facile à pirater suscite évidemment des questions sur le cadre légal de la confidentialité en ligne. En Belgique, la Commission Vie privée surveille votre anonymat numérique. Toute entité stockant des informations sensibles (concernant la santé et les préférences politiques et sociales) est tenue d’introduire un dossier pour expliquer comment elle compte garantir la sécurité des données. Les exemples de Farmaline et Proxis montrent à quel point c’est difficile en pratique. Toutes deux ont introduit un dossier auprès de la Commission Vie privée et indiquent sur le site que les données clients sont protégées. Nous avons néanmoins retrouvé d’anciennes commandes de nos rédacteurs chez Proxis. Plus grave encore, chez Farmaline, on peut lire intégralement notre profil (créé pour l’occasion), y compris les antécédents médicaux. DES LABELS DE QUALITÉ PEU SÉCURISANTS Outre une déclaration de confidentialité, un certain nombre de boutiques web arborent aussi un label de qualité. Seuls quelques-uns des labels de qualité rencontrés imposent des exigences techniques à leurs membres concernant la sécurité de leur boutique et pas uniquement celle du système de paie- LABELS DE QUALITÉ Une grande partie des boutiques en ligne testées portent un label de qualité, ce qui ne signifie pas que la sécurité des données des clients soit garantie. 8 T ES T C O N N E C T #01 E-SHOPPING & SECURITE DOSSIER LA MOITIÉ DES BOUTIQUES EN LIGNE ÉCHOUENT AU TEST DE SÉCURITÉ Notre sélection se fonde sur le top 100 des principales boutiques web belges élaboré par BeShopping. L’enquête relative à la sécurité a eu lieu en juillet/août 2015. Les magasins en ligne sont classés de "exclu" (noir) à "bon" (vert). esprit.be outspot.be ● ● amazon.com asadventure.com ● baby-walz.be ● base.be bax-shop.nl ● blokker.be eurocenter.be exellent.be ● futurumshop.nl eldi.be groupon.be kruidvat.be hema.be ● inno.be ● nike.com kleertjes.com ● pabo.be krefel.be photobox.be ● laredoute.be pixmania.be ● lego.com conrad.be ● smartphoto.be coolblue.be ● ticketmaster.be mediamarkt.be dmlights.be vikingco.com neckermann.com drive.be wijnvoordeel.be ● peterhahn.be dx.com 123inkt.nl ● pizza.be fnac.be albelli.be just-eat.be alternate.be klingel.be selexion.be ● materiel.net ● ● artencraft.be asos.com ● redcoon.be ● rueducommerce.fr showroomprive.be spartoo.be medion.com blancheporte.be ● spreadshirt.be nespresso.com bol.com newpharma.be ● ● proximus.be ● ● ● priceminister.com bartsmit.com lensonline.be ● massimodutti.com apple.com leenbakker.be ● mobistar.be ● ● ● ibood.com bpost.be kinepolis.be ● fotokonijnenberg.be banden-pneus-online.be large.be auto5.be bakker-be.com torfs.be unigro.be proxis.com 3suisses.be ● teleticketservice.be farmaline.be ● brantano.be ● telenet.be ● vandenborre.be ● ● pharmaclic.be c-and-a.com vente-exclusive.com phonehouse.be collectandgo.be yoox.com pixum.be collishop.be yves-rocher.be ● ● ● decathlon.be zalando.be sherpa.be delhaize.be zara.com snapstore.be dreamland.be zazzle.be replacedirect.be EXCLU : Faille très grave qui donne un accès direct aux données. MEDIOCRE : Faille de type “open redirect” et/ou envoi de mots de passe non/mal protégés. MAUVAIS : Faille grave. Possibilité de pirater les sessions des utilisateurs et administrateurs ou de modifier le site web. BON : Aucune faille du top 10 de l'OWASP. ● Le magasin en ligne dispose d'un ou plusieurs labels de qualité belges ou néerlandais (BeCommerce, Unizo e-commerce, SafeShops.be, Trusted e-shops, Qshops, EMOTA ou Thuiswinkel Waarborg). 9 T ES TC O N N E C T #01 DOSSIER E-SHOPPING & SECURITE NOUS EXIGEONS UN CONTRÔLE PLUS STRICT ! Le consommateur a tout intérêt à se montrer prudent car il n’est pas suffisamment protégé. Non seulement la moitié des marchands testés tiennent trop peu compte de la sécurité de vos données, mais en plus le contrôle est insuffisant. Pourtant, une sécurité optimale pourrait donner le coup de pouce nécessaire à la vente en ligne belge, à la traîne par rapport aux pays voisins. Nous avons informé de notre enquête les magasins qui connaissent des problèmes, ainsi que la Commission Vie privée. Nous plaidons en outre en faveur d’un contrôle plus strict et surtout d’exigences plus concrètes. En tenant compte, par exemple, des dispositions de l’OWASP (organisation internationale indépendante visant à améliorer la sécurité des logiciels) ou en veillant à ce que tout le trafic sensible passe par une connexion sécurisée (HTTPS). Les pouvoirs publics ont les cartes en main pour mieux protéger l’acheteur en ligne. La balle est dans leur camp ! ment. De plus, nous constatons tout autant de problèmes de sécurité dans les boutiques en ligne détentrices d’un label de qualité que dans celles qui en sont dépourvues. Quelle est donc l’utilité de ces labels de qualité ? La plupart garantissent le respect d’un code de conduite reconnu pour protéger les droits des consommateurs. Il s’agit donc le plus souvent d’accords concernant la disponibilité d’informations correctes sur les prix et procédures, la mise à disposition d’une procédure de réclamation et le respect des dispositions légales. Une méthode de résolution des litiges est également souvent prévue. Un label de qualité bien géré qui suit ses membres constitue donc une valeur ajoutée. Vérifiez toujours que le détenteur d’un label de qualité figure effectivement sur le site web du label. Lisez également ce que cela implique précisément. ver sur de tels sites, saisissez toujours vous-même l’adresse de la boutique dans la barre d’adresse au lieu de cliquer sur le lien. » Ne vous laissez pas aveugler par des offres trop belles pour être vraies. » Ne transmettez aucune donnée superflue et n’autorisez jamais le site en question à stocker les données de votre carte de crédit. La plupart des boutiques web utilisent des services de paiement externes et mieux protégés comme Ogone, PayPal ou Sofort Banking. Le plus souvent, ces boutiques web ne stockent pas vos données, ce qui est plus sûr. Si vous tombez quand même sur un site n’utilisant pas de tels services, envisagez une alternative ou payez par virement bancaire. » Conservez les mails échangés avec les magasins. Ils seront essentiels en cas de litige. QUE PUIS-JE FAIRE DE MON CÔTÉ ? La majorité des boutiques web testées ne font pas de votre sécurité une priorité. Mieux vaut donc prendre soi-même quelques mesures de précaution. Règle numéro un : utilisez un mot de passe distinct pour chaque boutique web. Et surtout, ne réutilisez jamais le mot de passe de votre adresse électronique. En accédant à votre messagerie, un pirate informatique peut faire beaucoup de dégâts. » Lors de vos achats rendez-vous unique- » Empêchez les pirates informatiques » Vérifiez également toujours vos extraits de » d’épier votre connexion internet. Soyez particulièrement vigilant quand vous utilisez une connexion internet inconnue (dans un hôtel ou un espace public) pour effectuer des achats en ligne. Protégez aussi votre réseau domestique avec un mot de passe. » Outre l’installation d’un bon antivirus, il est important que votre système d’exploitation, ainsi que des outils comme Acrobat Reader et Adobe Flash disposent des dernières mises à jour. Une grande partie d’entre elles concernent en effet la sécurité et vont souvent plus loin qu’un antivirus. » Bon nombre des failles détectées vous redirigent vers des sites d’enseignes connues copiés ou modifiés. Pour ne pas vous retrou- 10 T ES T C O N N E C T #01 ment sur des sites utilisant une connexion cryptée (HTTPS). La barre d’adresse doit être verte et afficher un petit cadenas. » Si vous voulez passer commande auprès d’une boutique reprise en gris ou noir dans notre liste, demandez-leur d’abord s’ils ont réparé la faille. Vous contribuerez ainsi à sensibiliser les commerçants. compte. Si vous avez des doutes concernant une transaction, faites rapidement bloquer votre carte. ET SI ÇA TOURNE QUAND MÊME MAL ? Des paiements en ligne frauduleux ont été effectués avec vos données alors que votre carte est toujours en votre possession ? Appelez immédiatement Card Stop (070 344 344) pour la faire bloquer. Et avertissez l’émetteur de votre carte de la transaction suspecte dans les plus brefs délais. Le montant volé vous sera intégralement remboursé. Si vous n’avertissez pas Card Stop, tous les coûts seront à votre charge. Vous trouverez plus d’informations dans l’article "Comment se faire rembourser", paru dans le B&D 240 de mai/juin 2015.