Début décembre 2020, la Poste alertait les Français du risque accru de cyberattaques par phishing alors en pleine recrudescence. 

Dans ce contexte, les commerçants se retrouvent dans une position difficile : ils doivent proposer des solutions en ligne à leurs clients sans pour autant s’exposer à des attaques. Pour parvenir à concilier ces deux impératifs, les acteurs de la vente en ligne doivent considérer la mise en place de solides outils de prévention de la fraude afin de tirer le meilleur parti possible de leur offre, tout en se protégeant des cybercriminels.

La fraude basée sur les bots est omniprésente dans l’e-commerce

Les commerçants qui veulent se prémunir contre les menaces de cybersécurité doivent d’abord en identifier la nature. Cette liste est en constante évolution, et en 2020, si plusieurs types d’attaques ont coexisté, la plupart d’entre elles ont utilisé des armées de bots automatisés. Dans une enquête réalisée en 2020 par la société de cybersécurité Kount, 81 % des entreprises ont déclaré avoir eu souvent ou très souvent affaire à des bots malveillants. 25 % d’entre elles estiment un coût s’élevant à plus de 500 000 dollars sur une année, pour une seule attaque.

Les attaques de bots ciblant les commerçants peuvent prendre de multiples formes. Dans l’une d’entre elles, des armées de bots achètent la totalité du stock d’articles très demandés pour les revendre plus tard avec une marge bénéficiaire. Cette technique est couramment utilisée depuis des années pour les places de concert par exemple. Les enseignes courent le risque que les clients visitent leur site à la recherche d’un produit particulier et, si celui-ci n’est pas disponible, se tournent vers la concurrence.

De nombreuses attaques de bots exploitent l’identité comme vecteur d’attaque, ce qui signifie qu’ils s’introduisent dans la fenêtre de connexion en se faisant passer pour des utilisateurs légitimes. Dans le cadre d’une attaque par « credential stuffing », les pirates se servent des identifiants de connexion compromis pour s’introduire sur d’autres sites. Ces attaques ont gagné en ampleur ces dernières années, car beaucoup de gens réutilisent leurs mots de passe, et des milliards de ces identifiants volés circulent actuellement sur le dark web.

Les enseignes qui pratiquent l’e-commerce sont particulièrement exposées à ce type de fraude, notamment en raison de la popularité croissante du système de « click and collect », qui permet d’acheter en ligne puis de récupérer sa commande en magasin. Par le passé, les fraudeurs devaient se faire envoyer les marchandises volées par la poste, ce qui augmentait la probabilité que la transaction soit interrompue ou qu’ils se fassent prendre. Mais grâce à la mise à disposition en magasin ou en bordure de trottoir, ils peuvent commander des marchandises et les récupérer avant que quelqu’un ne s’en aperçoive.

Même si les attaques de bots ne parviennent pas à exécuter des transactions frauduleuses, elles peuvent faire crasher un site Internet en l’inondant de demandes. Lors d’une attaque par « credential stuffing », le trafic d’un site peut en effet être multiplié par 180.

Les outils essentiels dans la lutte contre la fraude à l’e-commerce

Il existe aujourd’hui des méthodes efficaces qui permettent de repousser les bots sans pour autant créer d’obstacles inutiles pour les utilisateurs légitimes. Comme la plupart des fraudes à l’e-commerce prennent la forme d’attaques par authentification brisée, une méthode employée par les fraudeurs qui se font passer pour des utilisateurs légitimes, les solutions consistent toutes à pouvoir vérifier de manière plus précise l’identité des utilisateurs.

L’authentification multi-facteurs

L’authentification multi-facteurs (MFA) représente la défense la plus efficace contre les attaques basées sur l’identité ou l’authentification. Elle exige que les utilisateurs prouvent leur véritable identité, en apportant une forme supplémentaire de vérification, au-delà de la simple combinaison nom d’utilisateur-mot de passe. Les méthodes de MFA les plus courantes comprennent l’envoi des codes uniques aux utilisateurs et les scans biométriques, comme les empreintes digitales.

Toutefois, l’adoption de l’authentification multi-facteurs progresse lentement. Cette tendance s’explique en partie par le fait que les acteurs du e-commerce redoutent que la MFA ne génère trop de difficultés et ne pousse les clients à abandonner leur panier. Néanmoins, les pratiques évoluent constamment pour gagner en transparence et en sécurité. De son côté, Microsoft a récemment recommandé à ses clients de ne pas utiliser les SMS comme méthode d’authentification forte, car les lignes de téléphones portables sont exposées à de multiples formes d’attaques.

Protection contre les attaques

Pour limiter les risques de fraude, les sites de vente en ligne ont besoin d’outils qui détectent automatiquement les comportements suspects. Cependant, aucune de ces technologies n’est infaillible, ni conçue pour fonctionner de manière isolée. Certains cybercriminels ont appris à usurper de fausses adresses IP pour dissimuler des attaques par force brute.

En outre, les CAPTCHAs, tests qui permettent de différencier de manière automatisée un utilisateur humain d'un ordinateur, peinent toujours à devancer les bots sophistiqués qui sont capables d’imiter le comportement humain. Et si les e-commerçants peuvent obliger les utilisateurs à changer leur mot de passe en cas de violation, ils ne sont pas en mesure de résoudre le problème sous-jacent posé par la réutilisation des mots de passe. Même la MFA, qui constitue le fondement d’une stratégie de sécurité avisée, ne fonctionne que si le commerçant arrive à convaincre, ou contraindre, ses clients à y adhérer.

Cependant, même s’il n’existe pas de solution miracle pour prévenir la fraude, la combinaison de ces différentes solutions propose une protection accrue. Les escrocs recherchent généralement la voie de la moindre résistance, et lorsqu’un site dispose de tous ces outils, il n’est pas perçu comme une cible facile.

Prévenir la fraude en mettant à jour les contrôles d’accès des clients

Pour de nombreux commerçants, la solution consiste à s’associer avec un fournisseur tiers de gestion des identités et des accès des clients (CIAM). En effet, le développement en interne des outils de prévention contre la fraude est une opération relativement chronophage pour toute entreprise, et elle est même hors de portée pour la plupart des e-commerçants de petite et moyenne taille. Cependant, il est évident que s’en tenir à une simple solution de connexion n’est plus une option acceptable, il faut aller au-delà.

Protection globale contre les attaques

De même, les sites de vente en ligne ont besoin d’une fonction de détection des anomalies qui leur permette de combiner les outils les plus puissants disponibles afin de décourager les escrocs. Pour se protéger, les commerçants peuvent ainsi recourir à la détection de bots, qui impose aux connexions suspectes de passer un test CAPTCHA ou encore au blocage des adresses IP pour empêcher les tentatives d’intrusion dans les comptes d’utilisateurs. Il existe également des outils qui informent les e-commerçants lorsque les données d’identification d’un client ont été compromises lors d’une violation de données.

2020 a été sans nul doute une année difficile, mais les commerçants se sont montrés à la hauteur en optant pour des solutions en ligne. Et alors que l’année 2021 démarre, il devient de plus en plus évident que l’e-commerce ne se résume pas à une solution provisoire pour faire face à la pandémie, mais qu’il représente le nouveau statu quo. Dans ce contexte, la mise à niveau de la sécurité est un enjeu majeur, aussi bien pour être en mesure d’assurer les ventes dans les meilleures conditions, à l’abri de la fraude, mais également pour établir une relation de confiance entre les e-commerçants et leurs clients.

La cybersécurité et la protection de données sont en effet devenues des critères de satisfaction à part entière, voire même une opportunité pour obtenir un avantage concurrentiel, pendant la période des soldes et au-delà.

Par Kris Imbrechts, Directeur régional Europe du Nord et du Sud chez Auth0