MAGASINS EN LIGNE UN PANIER DE CRABES !

 
CONTINUER À LIRE
MAGASINS EN LIGNE UN PANIER DE CRABES !
DOSSIER

MAGASINS EN LIGNE
UN PANIER DE CRABES !
  Même les grandes enseignes d'e-shopping ne peuvent pas toujours garantir la sécurité des
données de leurs clients. La moitié des 100 boutiques en ligne de notre test ont des problèmes
              de sécurité. Pour 36 d’entre elles, il s’agit même de failles graves.

                                                  6
                                       T ES T C O N N E C T #01
MAGASINS EN LIGNE UN PANIER DE CRABES !
E-SHOPPING & SECURITE DOSSIER

Texte Tom Crauwels
Tekst Tom Thysen
Photo Karl Bruninx

O     n attire souvent l’attention des consom-
      mateurs sur la nécessité d’être
conscients des données qu’ils laissent sur
                                                         FAILLES
                                                         Nous avons chargé l’entreprise de sécurité
                                                         néerlandaise Onvio de tester cent boutiques
internet et sur l’importance de bien les                 en ligne parmi les plus visitées de Belgique.
protéger. Pour une personne désireuse de                 Onvio utilise une liste des dix failles les plus
s’emparer de données personnelles, il est                fréquentes (top 10 de l’OWASP). Pour chaque
toutefois bien plus efficace d’en voler une              boutique, ils vérifient scrupuleusement la
grande quantité à la fois ;                                                présence d’une ou de
comme fin en soi ou pour les                                               plusieurs de ces failles et les
affecter à un autre usage.                                                 classent selon leur gravité.
C’est le plus souvent de cette                                             Première conclusion, de
manière qu’un consomma-                                                    nombreux sites web envoient
teur lambda est victime d’un
vol de données. Etant donné
                                          6 MILLIONS                       des cookies et/ou des mots de
                                                                           passe non protégés. Une
que les grandes boutiques en              DE BELGES                        porte ouverte pour tous ceux
ligne représentent une cible        ONT ACHETÉ EN LIGNE EN 2014            qui parviennent à espionner

                                                   7
de choix pour mettre la main                                               votre trafic internet. Un
sur les données d’un grand                                                 danger qui ne concerne
nombre de personnes, nous                                                  toutefois que les personnes
avons voulu en savoir plus sur                                             dont l’ordinateur ou la
leur sécurité. En effet, votre      MILLIARDS D'EUROS connexion a été piraté.
mot de passe a beau être           AURONT ÉTÉ DÉPENSÉS EN LIGNE            Plus dangereux, car tout le
                                        PAR LES BELGES EN 2015
performant, rien ne sert de                                                monde peut en être vic-

                                           5000
fermer la porte si vous laissez                                            time : les "open redirects". Il
une fenêtre ouverte.                                                       est possible, entre autres, de
                                                                           manipuler l’hyperlien vers
BANQUE DE DONNÉES                                                          les sites de Mobistar, Smart-
Les boutiques en ligne               NOUVELLES BOUTIQUES WEB               photo et Selexion à des fins
stockent tous vos renseigne-                       PAR AN                  frauduleuses. On peut trouver
ments dans une banque de                                                   ce genre de lien, par exemple,
données : nom, date de                                                     dans un e-mail de publicité
                                                     EN

                                              2020
naissance, adresse électro-                                                aguicheur. L’adresse est
nique, adresse postale, achats,                                            légitime, toutefois en cliquant
parfois données bancaires et                                               sur l’hyperlien, vous n’êtes
toute autre information saisie                                             pas redirigé vers la boutique
lors de la visite sur le site web.
                                    ELLES DÉPASSERONT web mais vers un site copié,
                                         LES MAGASINS PHYSIQUES
Votre mot de passe y est                  EN TERMES D'EFFECTIFS            où vous devenez une proie
également sauvegardé, mais                                                 facile pour le hameçonneur.
de manière cryptée. Toute           SOURCES : SPF ECONOMIE ET BE-COMMERCE  L’hameçonnage permet aux
personne ayant accès à la                                                  escrocs d’obtenir des données
banque de données a immé-                                                  personnelles, comme un nom
diatement accès à l’ensemble des informa-                d’utilisateur et un mot de passe, en se faisant
tions stockées. C’est un peu comme à l’hôtel :           passer pour une personne de confiance (en
vous avez une clé personnelle pour accéder à             l'occurrence un site connu).
votre chambre et le directeur peut ouvrir                Nous avons également trouvé un "open
toutes les portes avec son passe-partout.                redirect" sur le site de Test-Achats.

                                   7
                         T ES TC O N N E C T #01
MAGASINS EN LIGNE UN PANIER DE CRABES !
Nous vendons des guides pratiques sur notre          web – la pharmacie en ligne Farmaline.be et
                               site et collectons des informations person-          la librairie Proxis – les résultats sont encore
                               nelles (comme votre consommation et                  plus stupéfiants. Toutes les données des
                               fournisseur d’énergie). Une fois au courant,         clients sont à portée de main ! Une grave
                               notre équipe web est immédiatement passée            négligence dans la sécurité de leur base de
                               à l’action pour réparer cette faille. Le pro-        données permet de télécharger l’ensemble de
                               blème est désormais résolu.                          leur fichier client, ainsi que toutes leurs
                                                                                    commandes.
                               ADMINISTRATEUR PIRATÉ
  DICK SNEL                    Encore plus surprenant, pas moins de 33 sites        COMMISSION DE LA VIE PRIVÉE
  Chef de l’entreprise de      (en gris foncé dans le tableau) peuvent être         Qu’une grande partie des sites testés soit aussi
  sécurité Onvio et pirate     piratés par une faille XSS ("cross site scrip-       facile à pirater suscite évidemment des
  éthique.                     ting"). Ici aussi, on utilise un hyperlien           questions sur le cadre légal de la confidentia-
                               manipulé, mais le piratage est plus poussé et        lité en ligne. En Belgique, la Commission Vie
                               sophistiqué. Vous n’êtes en effet pas redirigé       privée surveille votre anonymat numérique.
Que fait un pirate             vers un autre site, mais simplement sur la           Toute entité stockant des informations
éthique ?                      page de la boutique web. Ce que vous ne              sensibles (concernant la santé et les préfé-
Un pirate éthique ("white      voyez pas, c’est le code supplémentaire que          rences politiques et sociales) est tenue
hat") tente de pénétrer des    les pirates informatiques ont ajouté au site. Ils    d’introduire un dossier pour expliquer
systèmes à la demande de       insèrent par exemple des malwares ou, dans           comment elle compte garantir la sécurité des
tiers dans le seul but         le pire des cas, piratent votre session à            données. Les exemples de Farmaline et
d’améliorer leur sécurité.     distance sans même devoir connaître le mot           Proxis montrent à quel point c’est difficile en
Il utilise les mêmes           de passe. Les administrateurs des sites sont         pratique. Toutes deux ont introduit un dossier
techniques et ressources       aussi souvent vulnérables. Un pirate informa-        auprès de la Commission Vie privée et
qu’un pirate malveillant       tique peut se faire passer pour un client qui a      indiquent sur le site que les données clients
("black hat"). Mais ce         besoin d’aide. Si l’administrateur clique sur        sont protégées. Nous avons néanmoins
dernier pirate pour faire      l’hyperlien correspondant, sa session peut           retrouvé d’anciennes commandes de nos
des dégâts : atteinte à la     être piratée. Le piratage d’un compte admi-          rédacteurs chez Proxis. Plus grave encore,
réputation du site, chan-      nistrateur est naturellement le plus intéres-        chez Farmaline, on peut lire intégralement
tage auprès du proprié-        sant, puisqu’il permet souvent de subtiliser         notre profil (créé pour l’occasion), y compris
taire, utilisation fraudu-     des données clients. Les administrateurs             les antécédents médicaux.
leuse des données volées...    d’Amazon et de Coolblue ont détecté cette
                               faille automatiquement grâce à notre enquête         DES LABELS DE QUALITÉ PEU SÉCURISANTS
Comment restez-vous            et y ont remédié en quelques jours sans              Outre une déclaration de confidentialité, un
informé des dernières          intervention de notre part.                          certain nombre de boutiques web arborent
techniques de piratage ?                                                            aussi un label de qualité. Seuls quelques-uns
Notamment par le biais de      LE FICHIER COMPLET DU CLIENT                         des labels de qualité rencontrés imposent des
collègues travaillant pour     Chez outspot, nous avons eu accès à une liste        exigences techniques à leurs membres
des entreprises, et en         d'e-mails de plaintes de clients (en ce compris      concernant la sécurité de leur boutique et
suivant des congrès. Nous      leurs adresses mail). Pour deux boutiques            pas uniquement celle du système de paie-
consultons aussi des sites
spécialisés en sécurité
pour comprendre le             LABELS DE QUALITÉ
fonctionnement des virus       Une grande partie des boutiques en ligne testées portent un label de qualité, ce qui ne signifie pas
les plus récents. Ils          que la sécurité des données des clients soit garantie.
conduisent souvent à des
failles exploitables par les
pirates. Nous suivons
également des forums et le
site exploit-db.com, qui est
le premier à rapporter les
failles.

                                                                  8
                                                       T ES T C O N N E C T #01
MAGASINS EN LIGNE UN PANIER DE CRABES !
E-SHOPPING & SECURITE DOSSIER

 LA MOITIÉ DES BOUTIQUES EN LIGNE ÉCHOUENT AU TEST DE SÉCURITÉ
 Notre sélection se fonde sur le top 100 des principales boutiques web belges élaboré par BeShopping. L’enquête relative à la sécurité a eu lieu
 en juillet/août 2015. Les magasins en ligne sont classés de "exclu" (noir) à "bon" (vert).

                                                                                                                        esprit.be
farmaline.be                                               teleticketservice.be                                 ●       eurocenter.be
outspot.be                                         ●       torfs.be                                                     exellent.be                                       ●
proxis.com                                                 unigro.be                                            ●       fotokonijnenberg.be
3suisses.be                                        ●       banden-pneus-online.be                                       futurumshop.nl                                    ●
amazon.com                                                 eldi.be                                                      groupon.be
asadventure.com                                    ●       kruidvat.be                                                  hema.be                                           ●
auto5.be                                                   large.be                                             ●       ibood.com
baby-walz.be                                               mobistar.be                                                  inno.be                                           ●
bakker-be.com                                      ●       nike.com                                                     kleertjes.com                                     ●
base.be                                                    pabo.be                                                      krefel.be
bax-shop.nl                                        ●       photobox.be                                          ●       laredoute.be                                      ●
blokker.be                                                 pixmania.be                                          ●       lego.com
bpost.be                                           ●       selexion.be                                                  massimodutti.com
conrad.be                                          ●       smartphoto.be                                        ●       materiel.net
coolblue.be                                        ●       ticketmaster.be                                              mediamarkt.be                                     ●
dmlights.be                                                vikingco.com                                                 neckermann.com
drive.be                                                   wijnvoordeel.be                                      ●       peterhahn.be                                      ●
dx.com                                                     123inkt.nl                                           ●       pizza.be
fnac.be                                                    albelli.be                                                   priceminister.com
just-eat.be                                                alternate.be                                         ●       proximus.be                                       ●
kinepolis.be                                               apple.com                                                    redcoon.be                                        ●
klingel.be                                         ●       artencraft.be                                        ●       rueducommerce.fr
leenbakker.be                                              asos.com                                                     showroomprive.be
lensonline.be                                      ●       bartsmit.com                                         ●       spartoo.be                                        ●
medion.com                                                 blancheporte.be                                      ●       spreadshirt.be
nespresso.com                                              bol.com                                                      telenet.be                                        ●
newpharma.be                                       ●       brantano.be                                          ●       vandenborre.be                                    ●
pharmaclic.be                                              c-and-a.com                                                  vente-exclusive.com                               ●
phonehouse.be                                              collectandgo.be                                              yoox.com
pixum.be                                                   collishop.be                                                 yves-rocher.be                                    ●
replacedirect.be                                   ●       decathlon.be                                                 zalando.be                                        ●
sherpa.be                                                  delhaize.be                                                  zara.com
snapstore.be                                               dreamland.be                                                 zazzle.be

           EXCLU : Faille très grave qui donne un accès direct aux données.                            MEDIOCRE : Faille de type “open redirect” et/ou envoi de mots de
                                                                                                       passe non/mal protégés.
           MAUVAIS : Faille grave. Possibilité de pirater les sessions des                             BON : Aucune faille du top 10 de l'OWASP.
           utilisateurs et administrateurs ou de modifier le site web.

● Le magasin en ligne dispose d'un ou plusieurs labels de qualité belges ou néerlandais (BeCommerce,
Unizo e-commerce, SafeShops.be, Trusted e-shops, Qshops, EMOTA ou Thuiswinkel Waarborg).

                                                                                       9
                                                                             T ES TC O N N E C T #01
DOSSIER E-SHOPPING & SECURITE

                                  ment. De plus, nous constatons tout autant de     ver sur de tels sites, saisissez toujours
                                  problèmes de sécurité dans les boutiques en       vous-même l’adresse de la boutique dans la
 NOUS EXIGEONS                    ligne détentrices d’un label de qualité que       barre d’adresse au lieu de cliquer sur le lien.
 UN CONTRÔLE                      dans celles qui en sont dépourvues.
 PLUS STRICT !                    Quelle est donc l’utilité de ces labels de        » Ne vous laissez pas aveugler par des offres
                                  qualité ? La plupart garantissent le respect      trop belles pour être vraies.
 Le consommateur a tout           d’un code de conduite reconnu pour protéger
 intérêt à se montrer             les droits des consommateurs. Il s’agit donc le   » Ne transmettez aucune donnée superflue
 prudent car il n’est pas         plus souvent d’accords concernant la disponi-     et n’autorisez jamais le site en question à
 suffisamment protégé. Non        bilité d’informations correctes sur les prix et   stocker les données de votre carte de crédit.
 seulement la moitié des          procédures, la mise à disposition d’une           La plupart des boutiques web utilisent des
 marchands testés tiennent        procédure de réclamation et le respect des        services de paiement externes et mieux
 trop peu compte de la            dispositions légales. Une méthode de résolu-      protégés comme Ogone, PayPal ou Sofort
 sécurité de vos données,         tion des litiges est également souvent prévue.    Banking. Le plus souvent, ces boutiques web
 mais en plus le contrôle est     Un label de qualité bien géré qui suit ses        ne stockent pas vos données, ce qui est plus
 insuffisant.                     membres constitue donc une valeur ajoutée.        sûr. Si vous tombez quand même sur un site
 Pourtant, une sécurité           Vérifiez toujours que le détenteur d’un label     n’utilisant pas de tels services, envisagez une
 optimale pourrait donner le      de qualité figure effectivement sur le site web   alternative ou payez par virement bancaire.
 coup de pouce nécessaire à       du label. Lisez également ce que cela implique
 la vente en ligne belge, à la    précisément.                                      » Conservez les mails échangés avec les
 traîne par rapport aux pays                                                        magasins. Ils seront essentiels en cas de litige.
 voisins.                         QUE PUIS-JE FAIRE DE MON CÔTÉ ?
 Nous avons informé de            La majorité des boutiques web testées ne font     » Lors de vos achats rendez-vous unique-
 notre enquête les magasins       pas de votre sécurité une priorité. Mieux vaut    ment sur des sites utilisant une connexion
 qui connaissent des              donc prendre soi-même quelques mesures de         cryptée (HTTPS). La barre d’adresse doit être
 problèmes, ainsi que la          précaution.                                       verte et afficher un petit cadenas.
 Commission Vie privée.           »  Règle numéro un : utilisez un mot de
 Nous plaidons en outre en        passe distinct pour chaque boutique web. Et       » Si vous voulez passer commande auprès
 faveur d’un contrôle plus        surtout, ne réutilisez jamais le mot de passe     d’une boutique reprise en gris ou noir dans
 strict et surtout d’exigences    de votre adresse électronique. En accédant à      notre liste, demandez-leur d’abord s’ils ont
 plus concrètes. En tenant        votre messagerie, un pirate informatique          réparé la faille. Vous contribuerez ainsi à
 compte, par exemple, des         peut faire beaucoup de dégâts.                    sensibiliser les commerçants.
 dispositions de l’OWASP
 (organisation internationale     » Empêchez les pirates informatiques              » Vérifiez également toujours vos extraits de
 indépendante visant à            d’épier votre connexion internet. Soyez           compte. Si vous avez des doutes concernant
 améliorer la sécurité des        particulièrement vigilant quand vous utilisez     une transaction, faites rapidement bloquer
 logiciels) ou en veillant à ce   une connexion internet inconnue (dans un          votre carte.
 que tout le trafic sensible      hôtel ou un espace public) pour effectuer des
 passe par une connexion          achats en ligne. Protégez aussi votre réseau      ET SI ÇA TOURNE QUAND MÊME MAL ?
 sécurisée (HTTPS). Les           domestique avec un mot de passe.                  Des paiements en ligne frauduleux ont été
 pouvoirs publics ont les                                                           effectués avec vos données alors que votre
 cartes en main pour mieux        » Outre l’installation d’un bon antivirus, il     carte est toujours en votre possession ?
 protéger l’acheteur en ligne.    est important que votre système d’exploita-       Appelez immédiatement Card Stop (070
 La balle est dans leur camp !    tion, ainsi que des outils comme Acrobat          344 344) pour la faire bloquer. Et avertissez
                                  Reader et Adobe Flash disposent des der-          l’émetteur de votre carte de la transaction
                                  nières mises à jour. Une grande partie d’entre    suspecte dans les plus brefs délais. Le
                                  elles concernent en effet la sécurité et vont     montant volé vous sera intégralement
                                  souvent plus loin qu’un antivirus.                remboursé. Si vous n’avertissez pas Card
                                                                                    Stop, tous les coûts seront à votre charge.
                                  » Bon nombre des failles détectées vous           Vous trouverez plus d’informations dans
                                  redirigent vers des sites d’enseignes connues     l’article "Comment se faire rembourser",
                                  copiés ou modifiés. Pour ne pas vous retrou-      paru dans le B&D 240 de mai/juin 2015.

                                                                   10
                                                         T ES T C O N N E C T #01
Vous pouvez aussi lire