MAGASINS EN LIGNE UN PANIER DE CRABES !
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
DOSSIER
MAGASINS EN LIGNE
UN PANIER DE CRABES !
Même les grandes enseignes d'e-shopping ne peuvent pas toujours garantir la sécurité des
données de leurs clients. La moitié des 100 boutiques en ligne de notre test ont des problèmes
de sécurité. Pour 36 d’entre elles, il s’agit même de failles graves.
6
T ES T C O N N E C T #01
E-SHOPPING & SECURITE DOSSIER
Texte Tom Crauwels
Tekst Tom Thysen
Photo Karl Bruninx
O n attire souvent l’attention des consom-
mateurs sur la nécessité d’être
conscients des données qu’ils laissent sur
FAILLES
Nous avons chargé l’entreprise de sécurité
néerlandaise Onvio de tester cent boutiques
internet et sur l’importance de bien les en ligne parmi les plus visitées de Belgique.
protéger. Pour une personne désireuse de Onvio utilise une liste des dix failles les plus
s’emparer de données personnelles, il est fréquentes (top 10 de l’OWASP). Pour chaque
toutefois bien plus efficace d’en voler une boutique, ils vérifient scrupuleusement la
grande quantité à la fois ; présence d’une ou de
comme fin en soi ou pour les plusieurs de ces failles et les
affecter à un autre usage. classent selon leur gravité.
C’est le plus souvent de cette Première conclusion, de
manière qu’un consomma- nombreux sites web envoient
teur lambda est victime d’un
vol de données. Etant donné
6 MILLIONS des cookies et/ou des mots de
passe non protégés. Une
que les grandes boutiques en DE BELGES porte ouverte pour tous ceux
ligne représentent une cible ONT ACHETÉ EN LIGNE EN 2014 qui parviennent à espionner
7
de choix pour mettre la main votre trafic internet. Un
sur les données d’un grand danger qui ne concerne
nombre de personnes, nous toutefois que les personnes
avons voulu en savoir plus sur dont l’ordinateur ou la
leur sécurité. En effet, votre MILLIARDS D'EUROS connexion a été piraté.
mot de passe a beau être AURONT ÉTÉ DÉPENSÉS EN LIGNE Plus dangereux, car tout le
PAR LES BELGES EN 2015
performant, rien ne sert de monde peut en être vic-
5000
fermer la porte si vous laissez time : les "open redirects". Il
une fenêtre ouverte. est possible, entre autres, de
manipuler l’hyperlien vers
BANQUE DE DONNÉES les sites de Mobistar, Smart-
Les boutiques en ligne NOUVELLES BOUTIQUES WEB photo et Selexion à des fins
stockent tous vos renseigne- PAR AN frauduleuses. On peut trouver
ments dans une banque de ce genre de lien, par exemple,
données : nom, date de dans un e-mail de publicité
EN
2020
naissance, adresse électro- aguicheur. L’adresse est
nique, adresse postale, achats, légitime, toutefois en cliquant
parfois données bancaires et sur l’hyperlien, vous n’êtes
toute autre information saisie pas redirigé vers la boutique
lors de la visite sur le site web.
ELLES DÉPASSERONT web mais vers un site copié,
LES MAGASINS PHYSIQUES
Votre mot de passe y est EN TERMES D'EFFECTIFS où vous devenez une proie
également sauvegardé, mais facile pour le hameçonneur.
de manière cryptée. Toute SOURCES : SPF ECONOMIE ET BE-COMMERCE L’hameçonnage permet aux
personne ayant accès à la escrocs d’obtenir des données
banque de données a immé- personnelles, comme un nom
diatement accès à l’ensemble des informa- d’utilisateur et un mot de passe, en se faisant
tions stockées. C’est un peu comme à l’hôtel : passer pour une personne de confiance (en
vous avez une clé personnelle pour accéder à l'occurrence un site connu).
votre chambre et le directeur peut ouvrir Nous avons également trouvé un "open
toutes les portes avec son passe-partout. redirect" sur le site de Test-Achats.
7
T ES TC O N N E C T #01
Nous vendons des guides pratiques sur notre web – la pharmacie en ligne Farmaline.be et
site et collectons des informations person- la librairie Proxis – les résultats sont encore
nelles (comme votre consommation et plus stupéfiants. Toutes les données des
fournisseur d’énergie). Une fois au courant, clients sont à portée de main ! Une grave
notre équipe web est immédiatement passée négligence dans la sécurité de leur base de
à l’action pour réparer cette faille. Le pro- données permet de télécharger l’ensemble de
blème est désormais résolu. leur fichier client, ainsi que toutes leurs
commandes.
ADMINISTRATEUR PIRATÉ
DICK SNEL Encore plus surprenant, pas moins de 33 sites COMMISSION DE LA VIE PRIVÉE
Chef de l’entreprise de (en gris foncé dans le tableau) peuvent être Qu’une grande partie des sites testés soit aussi
sécurité Onvio et pirate piratés par une faille XSS ("cross site scrip- facile à pirater suscite évidemment des
éthique. ting"). Ici aussi, on utilise un hyperlien questions sur le cadre légal de la confidentia-
manipulé, mais le piratage est plus poussé et lité en ligne. En Belgique, la Commission Vie
sophistiqué. Vous n’êtes en effet pas redirigé privée surveille votre anonymat numérique.
Que fait un pirate vers un autre site, mais simplement sur la Toute entité stockant des informations
éthique ? page de la boutique web. Ce que vous ne sensibles (concernant la santé et les préfé-
Un pirate éthique ("white voyez pas, c’est le code supplémentaire que rences politiques et sociales) est tenue
hat") tente de pénétrer des les pirates informatiques ont ajouté au site. Ils d’introduire un dossier pour expliquer
systèmes à la demande de insèrent par exemple des malwares ou, dans comment elle compte garantir la sécurité des
tiers dans le seul but le pire des cas, piratent votre session à données. Les exemples de Farmaline et
d’améliorer leur sécurité. distance sans même devoir connaître le mot Proxis montrent à quel point c’est difficile en
Il utilise les mêmes de passe. Les administrateurs des sites sont pratique. Toutes deux ont introduit un dossier
techniques et ressources aussi souvent vulnérables. Un pirate informa- auprès de la Commission Vie privée et
qu’un pirate malveillant tique peut se faire passer pour un client qui a indiquent sur le site que les données clients
("black hat"). Mais ce besoin d’aide. Si l’administrateur clique sur sont protégées. Nous avons néanmoins
dernier pirate pour faire l’hyperlien correspondant, sa session peut retrouvé d’anciennes commandes de nos
des dégâts : atteinte à la être piratée. Le piratage d’un compte admi- rédacteurs chez Proxis. Plus grave encore,
réputation du site, chan- nistrateur est naturellement le plus intéres- chez Farmaline, on peut lire intégralement
tage auprès du proprié- sant, puisqu’il permet souvent de subtiliser notre profil (créé pour l’occasion), y compris
taire, utilisation fraudu- des données clients. Les administrateurs les antécédents médicaux.
leuse des données volées... d’Amazon et de Coolblue ont détecté cette
faille automatiquement grâce à notre enquête DES LABELS DE QUALITÉ PEU SÉCURISANTS
Comment restez-vous et y ont remédié en quelques jours sans Outre une déclaration de confidentialité, un
informé des dernières intervention de notre part. certain nombre de boutiques web arborent
techniques de piratage ? aussi un label de qualité. Seuls quelques-uns
Notamment par le biais de LE FICHIER COMPLET DU CLIENT des labels de qualité rencontrés imposent des
collègues travaillant pour Chez outspot, nous avons eu accès à une liste exigences techniques à leurs membres
des entreprises, et en d'e-mails de plaintes de clients (en ce compris concernant la sécurité de leur boutique et
suivant des congrès. Nous leurs adresses mail). Pour deux boutiques pas uniquement celle du système de paie-
consultons aussi des sites
spécialisés en sécurité
pour comprendre le LABELS DE QUALITÉ
fonctionnement des virus Une grande partie des boutiques en ligne testées portent un label de qualité, ce qui ne signifie pas
les plus récents. Ils que la sécurité des données des clients soit garantie.
conduisent souvent à des
failles exploitables par les
pirates. Nous suivons
également des forums et le
site exploit-db.com, qui est
le premier à rapporter les
failles.
8
T ES T C O N N E C T #01
E-SHOPPING & SECURITE DOSSIER
LA MOITIÉ DES BOUTIQUES EN LIGNE ÉCHOUENT AU TEST DE SÉCURITÉ
Notre sélection se fonde sur le top 100 des principales boutiques web belges élaboré par BeShopping. L’enquête relative à la sécurité a eu lieu
en juillet/août 2015. Les magasins en ligne sont classés de "exclu" (noir) à "bon" (vert).
esprit.be
farmaline.be teleticketservice.be ● eurocenter.be
outspot.be ● torfs.be exellent.be ●
proxis.com unigro.be ● fotokonijnenberg.be
3suisses.be ● banden-pneus-online.be futurumshop.nl ●
amazon.com eldi.be groupon.be
asadventure.com ● kruidvat.be hema.be ●
auto5.be large.be ● ibood.com
baby-walz.be mobistar.be inno.be ●
bakker-be.com ● nike.com kleertjes.com ●
base.be pabo.be krefel.be
bax-shop.nl ● photobox.be ● laredoute.be ●
blokker.be pixmania.be ● lego.com
bpost.be ● selexion.be massimodutti.com
conrad.be ● smartphoto.be ● materiel.net
coolblue.be ● ticketmaster.be mediamarkt.be ●
dmlights.be vikingco.com neckermann.com
drive.be wijnvoordeel.be ● peterhahn.be ●
dx.com 123inkt.nl ● pizza.be
fnac.be albelli.be priceminister.com
just-eat.be alternate.be ● proximus.be ●
kinepolis.be apple.com redcoon.be ●
klingel.be ● artencraft.be ● rueducommerce.fr
leenbakker.be asos.com showroomprive.be
lensonline.be ● bartsmit.com ● spartoo.be ●
medion.com blancheporte.be ● spreadshirt.be
nespresso.com bol.com telenet.be ●
newpharma.be ● brantano.be ● vandenborre.be ●
pharmaclic.be c-and-a.com vente-exclusive.com ●
phonehouse.be collectandgo.be yoox.com
pixum.be collishop.be yves-rocher.be ●
replacedirect.be ● decathlon.be zalando.be ●
sherpa.be delhaize.be zara.com
snapstore.be dreamland.be zazzle.be
EXCLU : Faille très grave qui donne un accès direct aux données. MEDIOCRE : Faille de type “open redirect” et/ou envoi de mots de
passe non/mal protégés.
MAUVAIS : Faille grave. Possibilité de pirater les sessions des BON : Aucune faille du top 10 de l'OWASP.
utilisateurs et administrateurs ou de modifier le site web.
● Le magasin en ligne dispose d'un ou plusieurs labels de qualité belges ou néerlandais (BeCommerce,
Unizo e-commerce, SafeShops.be, Trusted e-shops, Qshops, EMOTA ou Thuiswinkel Waarborg).
9
T ES TC O N N E C T #01DOSSIER E-SHOPPING & SECURITE
ment. De plus, nous constatons tout autant de ver sur de tels sites, saisissez toujours
problèmes de sécurité dans les boutiques en vous-même l’adresse de la boutique dans la
NOUS EXIGEONS ligne détentrices d’un label de qualité que barre d’adresse au lieu de cliquer sur le lien.
UN CONTRÔLE dans celles qui en sont dépourvues.
PLUS STRICT ! Quelle est donc l’utilité de ces labels de » Ne vous laissez pas aveugler par des offres
qualité ? La plupart garantissent le respect trop belles pour être vraies.
Le consommateur a tout d’un code de conduite reconnu pour protéger
intérêt à se montrer les droits des consommateurs. Il s’agit donc le » Ne transmettez aucune donnée superflue
prudent car il n’est pas plus souvent d’accords concernant la disponi- et n’autorisez jamais le site en question à
suffisamment protégé. Non bilité d’informations correctes sur les prix et stocker les données de votre carte de crédit.
seulement la moitié des procédures, la mise à disposition d’une La plupart des boutiques web utilisent des
marchands testés tiennent procédure de réclamation et le respect des services de paiement externes et mieux
trop peu compte de la dispositions légales. Une méthode de résolu- protégés comme Ogone, PayPal ou Sofort
sécurité de vos données, tion des litiges est également souvent prévue. Banking. Le plus souvent, ces boutiques web
mais en plus le contrôle est Un label de qualité bien géré qui suit ses ne stockent pas vos données, ce qui est plus
insuffisant. membres constitue donc une valeur ajoutée. sûr. Si vous tombez quand même sur un site
Pourtant, une sécurité Vérifiez toujours que le détenteur d’un label n’utilisant pas de tels services, envisagez une
optimale pourrait donner le de qualité figure effectivement sur le site web alternative ou payez par virement bancaire.
coup de pouce nécessaire à du label. Lisez également ce que cela implique
la vente en ligne belge, à la précisément. » Conservez les mails échangés avec les
traîne par rapport aux pays magasins. Ils seront essentiels en cas de litige.
voisins. QUE PUIS-JE FAIRE DE MON CÔTÉ ?
Nous avons informé de La majorité des boutiques web testées ne font » Lors de vos achats rendez-vous unique-
notre enquête les magasins pas de votre sécurité une priorité. Mieux vaut ment sur des sites utilisant une connexion
qui connaissent des donc prendre soi-même quelques mesures de cryptée (HTTPS). La barre d’adresse doit être
problèmes, ainsi que la précaution. verte et afficher un petit cadenas.
Commission Vie privée. » Règle numéro un : utilisez un mot de
Nous plaidons en outre en passe distinct pour chaque boutique web. Et » Si vous voulez passer commande auprès
faveur d’un contrôle plus surtout, ne réutilisez jamais le mot de passe d’une boutique reprise en gris ou noir dans
strict et surtout d’exigences de votre adresse électronique. En accédant à notre liste, demandez-leur d’abord s’ils ont
plus concrètes. En tenant votre messagerie, un pirate informatique réparé la faille. Vous contribuerez ainsi à
compte, par exemple, des peut faire beaucoup de dégâts. sensibiliser les commerçants.
dispositions de l’OWASP
(organisation internationale » Empêchez les pirates informatiques » Vérifiez également toujours vos extraits de
indépendante visant à d’épier votre connexion internet. Soyez compte. Si vous avez des doutes concernant
améliorer la sécurité des particulièrement vigilant quand vous utilisez une transaction, faites rapidement bloquer
logiciels) ou en veillant à ce une connexion internet inconnue (dans un votre carte.
que tout le trafic sensible hôtel ou un espace public) pour effectuer des
passe par une connexion achats en ligne. Protégez aussi votre réseau ET SI ÇA TOURNE QUAND MÊME MAL ?
sécurisée (HTTPS). Les domestique avec un mot de passe. Des paiements en ligne frauduleux ont été
pouvoirs publics ont les effectués avec vos données alors que votre
cartes en main pour mieux » Outre l’installation d’un bon antivirus, il carte est toujours en votre possession ?
protéger l’acheteur en ligne. est important que votre système d’exploita- Appelez immédiatement Card Stop (070
La balle est dans leur camp ! tion, ainsi que des outils comme Acrobat 344 344) pour la faire bloquer. Et avertissez
Reader et Adobe Flash disposent des der- l’émetteur de votre carte de la transaction
nières mises à jour. Une grande partie d’entre suspecte dans les plus brefs délais. Le
elles concernent en effet la sécurité et vont montant volé vous sera intégralement
souvent plus loin qu’un antivirus. remboursé. Si vous n’avertissez pas Card
Stop, tous les coûts seront à votre charge.
» Bon nombre des failles détectées vous Vous trouverez plus d’informations dans
redirigent vers des sites d’enseignes connues l’article "Comment se faire rembourser",
copiés ou modifiés. Pour ne pas vous retrou- paru dans le B&D 240 de mai/juin 2015.
10
T ES T C O N N E C T #01Vous pouvez aussi lire
