Plus de la moitié des plus grands sites d’e-commerce en France exposent leurs clients aux risques de fraude par courriel à l’approche des périodes de fêtes
Proofpoint, Inc., société leader dans les domaines de la cybersécurité et de la conformité, dévoile aujourd’hui les résultats de son étude sur les niveaux de protection cyber des plus grands sites d’e-commerce en France. L’analyse révèle que sur les 50 sites marchands les plus consultés en France, 58% d’entre eux n’ont toujours pas mis en place de mesures de cybersécurité de base pour lutter contre les attaques par courriel exposant leurs clients à un risque accru d'attaques par courrier électronique en cette période de fêtes.
Protection DMARC des sites marchands français
L’analyse menée par Proofpoint se fonde sur l’existence ou non, d’un enregistrement DMARC (pour Domain-based Message Authentication, Reporting & Conformance) par les e-commerçants. DMARC[1] est un standard international qui constitue à ce jour l’une des armes les plus puissantes pour lutter contre une classe d’attaque par courriel très effective : le domain spoofing (ou usurpation de domaine). DMARC comporte trois niveaux de traitement des courriels : surveillance, mise en quarantaine et rejet[2] — ce dernier étant le niveau le plus sûr pour empêcher les messages suspects d’atteindre la boîte de réception du destinataire.
D’après l’étude Proofpoint, 58 % des principaux sites marchands en France étudiés n’auraient pas le niveau recommandé de protection DMARC (reject), laissant la porte ouverte aux acteurs malveillants pour piéger et escroquer les consommateurs par le biais de faux courriels, contenant une pièce jointe infectée ou incluant un lien vers une fausse page de paiement par exemple.
Un contexte propice à l’escroquerie
En 2022, avec un chiffre d’affaires de 150 milliards d’euros en 2022, la France est le deuxième pays d’Europe sur l’e-commerce derrière le Royaume-Uni et devant l’Allemagne. Si le nombre de sites marchands est en progression, les consommateurs sont très fidèles aux enseignes connues, qu’elles soient uniquement en ligne ou non. Une aubaine pour les cybercriminels, qui peuvent aisément escroquer des consommateurs en confiance, avec des techniques simples de courriels frauduleux.
En effet, un tiers (34 %) des employés français interrogés dans l’étude State of the Phish 2023 de Proofpoint, estiment qu’un courriel est sûr lorsqu’il contient le nom d’une marque connue dans l’adresse, et que 63 % considèrent qu’une adresse de courriel correspond toujours au site web de la marque à laquelle il est rattaché.
Les principales conclusions de l’étude sont les suivantes :
- 90% des principaux sites marchands en France ont publié un enregistrement DMARC de base. Néanmoins, cela signifie qu’ils sont encore 10% à ne pas prendre de mesures pour protéger leurs clients de courriels frauduleux ;
- Seulement 42% d’entre eux ont le niveau de protection DMARC recommandé et le plus strict (« rejet »), indiquant qu’ils sont 58% à ne pas bloquer proactivement les courriels frauduleux qui arrivent à leurs clients.
- On retrouve cette même tendance sur les sites de la liste ayant adopté l’extension ‘.fr’ qui représentent plus de la moitié des sites analysés (29 sur 50). Sur les 24 ayant un enregistrement DMARC, seule la moitié est au niveau recommandé (« reject »)
Alors que les tentatives de cyberattaques par hameçonnage (« phishing ») ont récemment augmenté en France - atteignant 80% l’an dernier selon le rapport State of the Phish de Proofpoint - il est inquiétant de constater que des acteurs aussi sujets aux risques de fraudes ne protègent pas du tout leurs clients.
Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint explique que « Le courrier électronique reste le vecteur le plus courant de compromission de la sécurité informatique, dans tous les secteurs d’activité, mais tout particulièrement dans le commerce électronique lorsqu’il s’agit de cibler des particuliers. Alors que les fortes périodes de consommation telles que le Black Friday ou les fêtes de fin d’années sont d’autant plus sujets aux attaques, les achats en ligne n’en restent pas moins une menace quotidienne. Tous les jours, des milliers de consommateurs sont la cible de courriels et, de plus en plus, de SMS frauduleux. A ce titre, DMARC reste la seule technologie ouverte capable de protéger contre l’usurpation de nom de domaine, mais aussi contre le risque d’usurpation d’identité qui en découle. Lorsque DMARC est mis en place en mode “rejet”, un courrier électronique malveillant ne peut pas atteindre la boîte de réception du destinataire. Il est urgent pour les e-commerçants de s’armer, pour que leurs clients puissent effectuer leurs achats en toute sérénité. »
Proofpoint recommande aux consommateurs de suivre ces quelques conseils pour effectuer leurs achats saisonniers en sécurité :
- Protéger ses mots de passe : Évitez d'utiliser le même mot de passe plus d'une fois. Utilisez un gestionnaire de mots de passe pour faciliter et sécuriser votre expérience d’achat en ligne. Enfin, mettez en place l'authentification multifactorielle pour une sécurité renforcée.
- Se méfier des sites factices : Soyez vigilant à l'égard des sites web frauduleux qui imitent ceux de marques réputées. Ces copies de sites vendent bien souvent des produits contrefaits ou inexistants, hébergent des logiciels malveillants ou tentent de voler de l'argent et les informations d'identification.
- Éviter les menaces d’hameçonnage par courriel et SMS : Restez prudents face aux courriels de d’hameçonnage qui mènent à des sites web dangereux conçus pour collecter les données personnelles, notamment les identifiants de connexion et les données de cartes bancaires. Méfiez-vous également du des attaques par SMS, ou "smishing", et des messages reçus par l'intermédiaire des réseaux sociaux.
- Éviter de cliquer sur des liens : Entrez directement l'adresse du site web connu dans votre navigateur pour accéder aux offres proposées. Pour les codes de promotion, saisissez-les lors du processus de paiement afin de vérifier leur légitimité.
- Vérifier avant d'acheter : Les publicités, les sites web et les applications mobiles frauduleux peuvent être très convaincants. Avant de télécharger une nouvelle application ou de visiter un site web inconnu, prenez le temps de lire les commentaires en ligne et de vérifier les avis des clients.
Dans ce contexte, Google et Yahoo! ont par ailleurs récemment annoncé qu'à partir de février 2024, ils exigeront l'authentification des courriels afin de pouvoir envoyer des messages à partir de leurs plateformes. Une annonce qui indique ainsi que des mesures importantes sont prises pour prévenir le spam et les escroqueries. Ces exigences de sécurité s'appliqueront en particulier aux comptes qui envoient d’important volumes de courriels au quotidien, tels que les organismes de santé, qui devront, entre autres, déployer le protocole d'authentification DMARC. Le non-respect de ces exigences aura un impact significatif sur la délivrabilité des messages légitimes envoyés aux clients possédant des comptes Gmail et Yahoo.
###
Méthodologie
Pour évaluer le niveau d’adoption de la protection DMARC, Proofpoint a réalisé une analyse des noms de domaines principaux des 50 premiers sites & applications de e-commerce français d’après le Top 100 E-Commerce d’ECN et SimilarWeb. L’analyse a été conduite en octobre 2023.
À propos de Proofpoint, inc.
Proofpoint, inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risque des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris 85 % des entreprises de l’index Fortune 100, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.
Restez en contact avec Proofpoint : Twitter | LinkedIn | Facebook | YouTube
Proofpoint est une marque déposée ou un nom commercial de Proofpoint, inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques commerciales contenues dans ce document sont la propriété de leurs détenteurs respectifs.
[2] Aucune (le message est remis au destinataire dans sa boite de réception ou autres dossiers), Quarantaine (le message est déplacé dans le dossier indésirable ou spam) et Rejet, le plus haut niveau de protection, (le message n'est pas du tout remis).