MAGASINS EN LIGNE

DOSSIER
MAGASINS EN LIGNE
UN PANIER DE CRABES !
Même les grandes enseignes d'e-shopping ne peuvent pas toujours garantir la sécurité des
données de leurs clients. La moitié des 100 boutiques en ligne de notre test ont des problèmes
de sécurité. Pour 36 d’entre elles, il s’agit même de failles graves.
6
T ES T C O N N E C T #01
E-SHOPPING & SECURITE DOSSIER
Texte Tom Crauwels
Tekst Tom Thysen
Photo Karl Bruninx
O
FAILLES
n attire souvent l’attention des consommateurs sur la nécessité d’être
Nous avons chargé l’entreprise de sécurité
conscients des données qu’ils laissent sur
néerlandaise Onvio de tester cent boutiques
internet et sur l’importance de bien les
en ligne parmi les plus visitées de Belgique.
protéger. Pour une personne désireuse de
Onvio utilise une liste des dix failles les plus
s’emparer de données personnelles, il est
fréquentes (top 10 de l’OWASP). Pour chaque
toutefois bien plus efficace d’en voler une
boutique, ils vérifient scrupuleusement la
grande quantité à la fois ;
présence d’une ou de
comme fin en soi ou pour les
plusieurs de ces failles et les
affecter à un autre usage.
classent selon leur gravité.
C’est le plus souvent de cette
Première conclusion, de
manière qu’un consommanombreux sites web envoient
teur lambda est victime d’un
des cookies et/ou des mots de
vol de données. Etant donné
passe non protégés. Une
que les grandes boutiques en
porte ouverte pour tous ceux
ONT ACHETÉ EN LIGNE EN 2014
ligne représentent une cible
qui parviennent à espionner
de choix pour mettre la main
votre trafic internet. Un
sur les données d’un grand
danger qui ne concerne
nombre de personnes, nous
toutefois que les personnes
avons voulu en savoir plus sur
dont l’ordinateur ou la
MILLIARDS D'EUROS connexion a été piraté.
leur sécurité. En effet, votre
AURONT ÉTÉ DÉPENSÉS EN LIGNE
mot de passe a beau être
Plus dangereux, car tout le
PAR LES BELGES EN 2015
performant, rien ne sert de
monde peut en être victime : les "open redirects". Il
fermer la porte si vous laissez
est possible, entre autres, de
une fenêtre ouverte.
manipuler l’hyperlien vers
BANQUE DE DONNÉES
les sites de Mobistar, SmartNOUVELLES BOUTIQUES WEB
Les boutiques en ligne
photo et Selexion à des fins
PAR AN
stockent tous vos renseignefrauduleuses. On peut trouver
ments dans une banque de
ce genre de lien, par exemple,
données : nom, date de
dans un e-mail de publicité
EN
naissance, adresse électroaguicheur. L’adresse est
nique, adresse postale, achats,
légitime, toutefois en cliquant
parfois données bancaires et
sur l’hyperlien, vous n’êtes
toute autre information saisie
pas redirigé vers la boutique
ELLES DÉPASSERONT web mais vers un site copié,
lors de la visite sur le site web.
LES MAGASINS PHYSIQUES
Votre mot de passe y est
où vous devenez une proie
EN TERMES D'EFFECTIFS
également sauvegardé, mais
facile pour le hameçonneur.
SOURCES : SPF ECONOMIE ET BE-COMMERCE
de manière cryptée. Toute
L’hameçonnage permet aux
personne ayant accès à la
escrocs d’obtenir des données
banque de données a immépersonnelles, comme un nom
diatement accès à l’ensemble des informad’utilisateur et un mot de passe, en se faisant
tions stockées. C’est un peu comme à l’hôtel :
passer pour une personne de confiance (en
vous avez une clé personnelle pour accéder à
l'occurrence un site connu).
votre chambre et le directeur peut ouvrir
Nous avons également trouvé un "open
toutes les portes avec son passe-partout.
redirect" sur le site de Test-Achats.
6 MILLIONS
DE BELGES
7
5000
2020
7
T ES TC O N N E C T #01
Nous vendons des guides pratiques sur notre
site et collectons des informations personnelles (comme votre consommation et
fournisseur d’énergie). Une fois au courant,
notre équipe web est immédiatement passée
à l’action pour réparer cette faille. Le problème est désormais résolu.
DICK SNEL
Chef de l’entreprise de
sécurité Onvio et pirate
éthique.
Que fait un pirate
éthique ?
Un pirate éthique ("white
hat") tente de pénétrer des
systèmes à la demande de
tiers dans le seul but
d’améliorer leur sécurité.
Il utilise les mêmes
techniques et ressources
qu’un pirate malveillant
("black hat"). Mais ce
dernier pirate pour faire
des dégâts : atteinte à la
réputation du site, chantage auprès du propriétaire, utilisation frauduleuse des données volées...
Comment restez-vous
informé des dernières
techniques de piratage ?
Notamment par le biais de
collègues travaillant pour
des entreprises, et en
suivant des congrès. Nous
consultons aussi des sites
spécialisés en sécurité
pour comprendre le
fonctionnement des virus
les plus récents. Ils
conduisent souvent à des
failles exploitables par les
pirates. Nous suivons
également des forums et le
site exploit-db.com, qui est
le premier à rapporter les
failles.
ADMINISTRATEUR PIRATÉ
Encore plus surprenant, pas moins de 33 sites
(en gris foncé dans le tableau) peuvent être
piratés par une faille XSS ("cross site scripting"). Ici aussi, on utilise un hyperlien
manipulé, mais le piratage est plus poussé et
sophistiqué. Vous n’êtes en effet pas redirigé
vers un autre site, mais simplement sur la
page de la boutique web. Ce que vous ne
voyez pas, c’est le code supplémentaire que
les pirates informatiques ont ajouté au site. Ils
insèrent par exemple des malwares ou, dans
le pire des cas, piratent votre session à
distance sans même devoir connaître le mot
de passe. Les administrateurs des sites sont
aussi souvent vulnérables. Un pirate informatique peut se faire passer pour un client qui a
besoin d’aide. Si l’administrateur clique sur
l’hyperlien correspondant, sa session peut
être piratée. Le piratage d’un compte administrateur est naturellement le plus intéressant, puisqu’il permet souvent de subtiliser
des données clients. Les administrateurs
d’Amazon et de Coolblue ont détecté cette
faille automatiquement grâce à notre enquête
et y ont remédié en quelques jours sans
intervention de notre part.
LE FICHIER COMPLET DU CLIENT
Chez outspot, nous avons eu accès à une liste
d'e-mails de plaintes de clients (en ce compris
leurs adresses mail). Pour deux boutiques
web – la pharmacie en ligne Farmaline.be et
la librairie Proxis – les résultats sont encore
plus stupéfiants. Toutes les données des
clients sont à portée de main ! Une grave
négligence dans la sécurité de leur base de
données permet de télécharger l’ensemble de
leur fichier client, ainsi que toutes leurs
commandes.
COMMISSION DE LA VIE PRIVÉE
Qu’une grande partie des sites testés soit aussi
facile à pirater suscite évidemment des
questions sur le cadre légal de la confidentialité en ligne. En Belgique, la Commission Vie
privée surveille votre anonymat numérique.
Toute entité stockant des informations
sensibles (concernant la santé et les préférences politiques et sociales) est tenue
d’introduire un dossier pour expliquer
comment elle compte garantir la sécurité des
données. Les exemples de Farmaline et
Proxis montrent à quel point c’est difficile en
pratique. Toutes deux ont introduit un dossier
auprès de la Commission Vie privée et
indiquent sur le site que les données clients
sont protégées. Nous avons néanmoins
retrouvé d’anciennes commandes de nos
rédacteurs chez Proxis. Plus grave encore,
chez Farmaline, on peut lire intégralement
notre profil (créé pour l’occasion), y compris
les antécédents médicaux.
DES LABELS DE QUALITÉ PEU SÉCURISANTS
Outre une déclaration de confidentialité, un
certain nombre de boutiques web arborent
aussi un label de qualité. Seuls quelques-uns
des labels de qualité rencontrés imposent des
exigences techniques à leurs membres
concernant la sécurité de leur boutique et
pas uniquement celle du système de paie-
LABELS DE QUALITÉ
Une grande partie des boutiques en ligne testées portent un label de qualité, ce qui ne signifie pas
que la sécurité des données des clients soit garantie.
8
T ES T C O N N E C T #01
E-SHOPPING & SECURITE DOSSIER
LA MOITIÉ DES BOUTIQUES EN LIGNE ÉCHOUENT AU TEST DE SÉCURITÉ
Notre sélection se fonde sur le top 100 des principales boutiques web belges élaboré par BeShopping. L’enquête relative à la sécurité a eu lieu
en juillet/août 2015. Les magasins en ligne sont classés de "exclu" (noir) à "bon" (vert).
esprit.be
outspot.be
●
●
amazon.com
asadventure.com
●
baby-walz.be
●
base.be
bax-shop.nl
●
blokker.be
eurocenter.be
exellent.be
●
futurumshop.nl
eldi.be
groupon.be
kruidvat.be
hema.be
●
inno.be
●
nike.com
kleertjes.com
●
pabo.be
krefel.be
photobox.be
●
laredoute.be
pixmania.be
●
lego.com
conrad.be
●
smartphoto.be
coolblue.be
●
ticketmaster.be
mediamarkt.be
dmlights.be
vikingco.com
neckermann.com
drive.be
wijnvoordeel.be
●
peterhahn.be
dx.com
123inkt.nl
●
pizza.be
fnac.be
albelli.be
just-eat.be
alternate.be
klingel.be
selexion.be
●
materiel.net
●
●
artencraft.be
asos.com
●
redcoon.be
●
rueducommerce.fr
showroomprive.be
spartoo.be
medion.com
blancheporte.be
●
spreadshirt.be
nespresso.com
bol.com
newpharma.be
●
●
proximus.be
●
●
●
priceminister.com
bartsmit.com
lensonline.be
●
massimodutti.com
apple.com
leenbakker.be
●
mobistar.be
●
●
●
ibood.com
bpost.be
kinepolis.be
●
fotokonijnenberg.be
banden-pneus-online.be
large.be
auto5.be
bakker-be.com
torfs.be
unigro.be
proxis.com
3suisses.be
●
teleticketservice.be
farmaline.be
●
brantano.be
●
telenet.be
●
vandenborre.be
●
●
pharmaclic.be
c-and-a.com
vente-exclusive.com
phonehouse.be
collectandgo.be
yoox.com
pixum.be
collishop.be
yves-rocher.be
●
●
●
decathlon.be
zalando.be
sherpa.be
delhaize.be
zara.com
snapstore.be
dreamland.be
zazzle.be
replacedirect.be
EXCLU : Faille très grave qui donne un accès direct aux données.
MEDIOCRE : Faille de type “open redirect” et/ou envoi de mots de
passe non/mal protégés.
MAUVAIS : Faille grave. Possibilité de pirater les sessions des
utilisateurs et administrateurs ou de modifier le site web.
BON : Aucune faille du top 10 de l'OWASP.
● Le magasin en ligne dispose d'un ou plusieurs labels de qualité belges ou néerlandais (BeCommerce,
Unizo e-commerce, SafeShops.be, Trusted e-shops, Qshops, EMOTA ou Thuiswinkel Waarborg).
9
T ES TC O N N E C T #01
DOSSIER E-SHOPPING & SECURITE
NOUS EXIGEONS
UN CONTRÔLE
PLUS STRICT !
Le consommateur a tout
intérêt à se montrer
prudent car il n’est pas
suffisamment protégé. Non
seulement la moitié des
marchands testés tiennent
trop peu compte de la
sécurité de vos données,
mais en plus le contrôle est
insuffisant.
Pourtant, une sécurité
optimale pourrait donner le
coup de pouce nécessaire à
la vente en ligne belge, à la
traîne par rapport aux pays
voisins.
Nous avons informé de
notre enquête les magasins
qui connaissent des
problèmes, ainsi que la
Commission Vie privée.
Nous plaidons en outre en
faveur d’un contrôle plus
strict et surtout d’exigences
plus concrètes. En tenant
compte, par exemple, des
dispositions de l’OWASP
(organisation internationale
indépendante visant à
améliorer la sécurité des
logiciels) ou en veillant à ce
que tout le trafic sensible
passe par une connexion
sécurisée (HTTPS). Les
pouvoirs publics ont les
cartes en main pour mieux
protéger l’acheteur en ligne.
La balle est dans leur camp !
ment. De plus, nous constatons tout autant de
problèmes de sécurité dans les boutiques en
ligne détentrices d’un label de qualité que
dans celles qui en sont dépourvues.
Quelle est donc l’utilité de ces labels de
qualité ? La plupart garantissent le respect
d’un code de conduite reconnu pour protéger
les droits des consommateurs. Il s’agit donc le
plus souvent d’accords concernant la disponibilité d’informations correctes sur les prix et
procédures, la mise à disposition d’une
procédure de réclamation et le respect des
dispositions légales. Une méthode de résolution des litiges est également souvent prévue.
Un label de qualité bien géré qui suit ses
membres constitue donc une valeur ajoutée.
Vérifiez toujours que le détenteur d’un label
de qualité figure effectivement sur le site web
du label. Lisez également ce que cela implique
précisément.
ver sur de tels sites, saisissez toujours
vous-même l’adresse de la boutique dans la
barre d’adresse au lieu de cliquer sur le lien.
» Ne vous laissez pas aveugler par des offres
trop belles pour être vraies.
» Ne transmettez aucune donnée superflue
et n’autorisez jamais le site en question à
stocker les données de votre carte de crédit.
La plupart des boutiques web utilisent des
services de paiement externes et mieux
protégés comme Ogone, PayPal ou Sofort
Banking. Le plus souvent, ces boutiques web
ne stockent pas vos données, ce qui est plus
sûr. Si vous tombez quand même sur un site
n’utilisant pas de tels services, envisagez une
alternative ou payez par virement bancaire.
» Conservez les mails échangés avec les
magasins. Ils seront essentiels en cas de litige.
QUE PUIS-JE FAIRE DE MON CÔTÉ ?
La majorité des boutiques web testées ne font
pas de votre sécurité une priorité. Mieux vaut
donc prendre soi-même quelques mesures de
précaution.
Règle numéro un : utilisez un mot de
passe distinct pour chaque boutique web. Et
surtout, ne réutilisez jamais le mot de passe
de votre adresse électronique. En accédant à
votre messagerie, un pirate informatique
peut faire beaucoup de dégâts.
» Lors de vos achats rendez-vous unique-
» Empêchez les pirates informatiques
» Vérifiez également toujours vos extraits de
»
d’épier votre connexion internet. Soyez
particulièrement vigilant quand vous utilisez
une connexion internet inconnue (dans un
hôtel ou un espace public) pour effectuer des
achats en ligne. Protégez aussi votre réseau
domestique avec un mot de passe.
» Outre l’installation d’un bon antivirus, il
est important que votre système d’exploitation, ainsi que des outils comme Acrobat
Reader et Adobe Flash disposent des dernières mises à jour. Une grande partie d’entre
elles concernent en effet la sécurité et vont
souvent plus loin qu’un antivirus.
» Bon nombre des failles détectées vous
redirigent vers des sites d’enseignes connues
copiés ou modifiés. Pour ne pas vous retrou-
10
T ES T C O N N E C T #01
ment sur des sites utilisant une connexion
cryptée (HTTPS). La barre d’adresse doit être
verte et afficher un petit cadenas.
» Si vous voulez passer commande auprès
d’une boutique reprise en gris ou noir dans
notre liste, demandez-leur d’abord s’ils ont
réparé la faille. Vous contribuerez ainsi à
sensibiliser les commerçants.
compte. Si vous avez des doutes concernant
une transaction, faites rapidement bloquer
votre carte.
ET SI ÇA TOURNE QUAND MÊME MAL ?
Des paiements en ligne frauduleux ont été
effectués avec vos données alors que votre
carte est toujours en votre possession ?
Appelez immédiatement Card Stop (070
344 344) pour la faire bloquer. Et avertissez
l’émetteur de votre carte de la transaction
suspecte dans les plus brefs délais. Le
montant volé vous sera intégralement
remboursé. Si vous n’avertissez pas Card
Stop, tous les coûts seront à votre charge.
Vous trouverez plus d’informations dans
l’article "Comment se faire rembourser",
paru dans le B&D 240 de mai/juin 2015.