Tendances d’utilisation des sites e-commerce en France et en Europe fin 2017

Près de 700 millions de transactions en ligne par an avec 80% des paiements effectués par carte bleue, d’où la nécessité de sécuriser ces transactions.

(R)Evolution du m-commerce

En 2017 l’ e-commerce a représenté plus de 80 milliards d’euros, au total les Français ont dépensé plus de 81,7 milliards d’euros, en augmentation de 14% par rapport à l’année précédente.
Le m-commerce continue de gagner des parts de marché et pèse de plus en plus sur l’activité des sites. 29% du chiffre d’affaires total des sites français enregistrent des commandes sur mobile contre 25% en 2016.
De plus, 1,2 milliards de transactions ont été enregistrées sur la même année ce qui correspond à une croissance de 20% en un an.

L’achat sur des sites étrangers / intra-UE

En fin 2017, 59% des acheteurs sondés avaient déclaré avoir acheté des produits ou services sur un site internet à l’étranger. Parmi ces sondés, 44% sont allés dans un site hébergé au sein de l’Union Européenne. Pour 75% du trafic hors de sites en France, ce sont les sites chinois qui captent l’attention des internautes en produits et services.

Principaux problèmes de sécurité constatés sur les sites e-commerce et pour le retail sur la période 2013-2018

La croissance des boutiques internet et mobiles est extrêmement importante depuis quelques années et fait des envieux. En effet l’année 2017 a connu une hausse de 170% des attaques informatiques avec 83 millions de tentatives de création de comptes frauduleux enregistrées entre 2015 et 2017.

La multiplication des attaques comme les ransomwares (rançongiciels) et l’émergence du cryptojacking (détournement de sites pour miner des cryptomonnaies) doivent faire prendre conscience aux entreprises que la protection de leurs informations est indispensable.

Une politique de gestion des mots de passe administrateur et utilisateurs insuffisante voire absente

3 principales raisons contribuent à expliquer le problème de sécurité de nombreux sites e-commerces en 2017 :

70% des e-commerçants sont imprudents quant à la protection des mots de passe utilisateurs.

Seuls 14% d’entre eux ont mis en place des processus obligeant les utilisateurs à complexifier leurs mots de passe.

45% des sites envoient encore des mots de passe en clair dans les boites mails de leurs clients.

97% des applications web sur la toile restent exposées à des vulnérabilités connues

Les applications web comprises comme les sites, applications mobiles et fonctionnalités qui leurs sont liées sur la toile sont en très large majorité exposées à des failles qui, individuellement voire cumulativement les rendent vulnérables à des attaques à distances. Ces vulnérabilités sont expliquées plus en détail dans l’article.

51% des sites dans le monde sont vulnérables aux injections SQL

Le SQL (Structured Query Language) est un langage permettant l’échange de données entre un site dans lequel des internautes sont amenés à entrer des informations personnelles (par exemple lorsque vous payez avec une carte bleue, on également vos coordonnées de livraisons s’il s’agit d’un produit physique, votre adresse email et quelques coordonnées lorsque l’on souscrit à une newsletter…).

Les injections SQL sont lancées par l’intermédiaire de ces formulaires dans lesquels les hackers vont entrer des caractères spéciaux, qui peuvent leur permettre un accès aux espaces clients sans mot de passe. A plus haut niveau ces attaques peuvent directement corrompre les bases de données clients ou bases de données internes. Elles aboutissent sur la corruption ou le vol de données, un déni d’accès partiel ou total aux fonctionnalités du site, voire dans le pire des cas la prise totale de contrôle de l’hôte.

Le PSN (PlayStation Network) avait d’ailleurs été attaqué de cette façon en 2011, exposant les données personnelles de 77 millions de joueurs à travers le monde ainsi que les cartes bancaires d’une dizaine de milliers d’entre eux.

C’est également grâce à une injection SQL que des pirates russes ont volés plus de 1,2 milliard d’identifiants et de mots de passe sur plus de 420 000 sites web à travers le monde.

Aux commerçants utilisateurs de CMS, notamment WordPress et Joomla, soyez très attentifs à la mise à jour la plus régulière possible des versions car elles mettent constamment à jour des formulaires plus sécurisés afin de lutter contre les injections.

Les menaces e-commerce sont à 31% des Directory Traversal

Encore appelées les attaques par transversement de répertoire, elles consistent pour un attaquant à modifier l’arborescence de l’URL dans le but de forcer un accès au serveur à des sections non autorisées du site.
Le pirate peut amener le site à effectuer un traitement inattendu avec des caractères spéciaux et la plateforme lui répondra avec des messages d’erreur qui lui donnent des informations sur la structure du site, l’emplacement voire le contenu de fichiers administrateurs.

11% des sites HTTPS sont vulnérables en raison des contenus mixtes (vulnérabilité intrinsèque du site)

Les pages HTTPS sont cryptées via le protocole TLS qui prévient les sniffers (logiciels répertoriant les protocoles entrants et sortants d’un ordinateur : email, navigateur, bluetooth…) et les attaques Man in the middle (personne visualisant les données entre un ordinateur et un serveur lors de requête web). Si une page HTTPS inclue des ressources récupérées via http, alors la connexion n’est que partiellement cryptée : ils compromettent la sécurité du site car une personne tierce peut intercepter des ressources qui transitent entre le site tel qu’affiché au client et le serveur (donc des informations de formulaire et de paiement).
Les contenus mixtes peuvent être passifs ou actifs.

Les contenus passifs entraînent une menace basse : les liens sont brisés où peuvent entraîner une redirection qui sera en général interrompue par le navigateur (s’il est mis à jour).
Il s’agit des balises vers les liens images et vidéos :
<img>
<audio>
<video>
<object>

Les contenus actifs : ils ont accès au DOM (Document Object Model) de la page HTTPS qui peut influer sur le Javascript et ainsi voler tout ou partie de formulaire envoyé à distance au serveur, réécrire le code javascript et utiliser les accès utilisateurs, ses données de session, cookies, voire installer un malware sur la machine de l’utilisateur en utilisant les vulnérabilités du navigateur ou de ses plugins.
Les balises actives sont :
<link>
<script>
<iframe>
Les requêtes XMLHttpsRequest (utilisées notamment pour envoi, validation de formulaire via JS)
Toutes les propriétés CSS utilisant URL (@font-face, cursor, background-image, …)
<object> avec l’attribut data.

Le non-chiffrement des mots de passe stockés dans les bases de données clients

Quelques sites de retail stockent encore les mots de passe de la clientèle en clair dans les bases de données en n’utilisant aucun moyen de chiffrement tel MD5 ou AES ce qui peut créer des risques considérables si la base de données du site est attaquée. La majorité des CMS utilisent des procédés de chiffrement pour stocker les données clients de manière sécurisée.

Si vous faites appel à une agence ou un prestataire individuel pour créer un site d’e-commerce propre à vous, n’oubliez pas d’y ajouter cette sécurité qui peut s’avérer vitale pour vos données et celles de vos clients.

Des CMS non mis à jour régulièrement (WordPress, Drupal, Magento, Prestashop,…)

On le répète encore et à plusieurs titres : la non mise à jour des CMS expose le marchand à des failles de sécurité anciennes qui peuvent être réglées en réalisant fréquemment les mises à jour. Ces dernières tiennent compte des nouveaux protocoles de formulaires évitant ou limitant :

  • les injections SQL,
  • le cross-scripting,
  • d’autres vecteurs d’attaques qui compromettent la navigation et le paiement sécurisé.

Le manque ou l’absence de mise en place de réponse aux incidents

En cas d’attaque, il est nécessaire que l’e-commerçant dispose d’un contact qui lui permette de répondre aux menaces. Faire appel à un consultant spécialisé en sécurité informatique peut coûter cher. Certaines solutions plus abordables permettent néanmoins de répondre dans un laps de temps suffisamment court pour limiter les dégâts, analyser la situation et mettre un terme à l’incident.

Principaux axes de sécurité des sites e-commerce pour 2018

De nombreux éditeurs de logiciels et entreprises spécialisés en sécurité ont formulé des règles de sécurité importantes pour l’année à venir.

1.  Mettre en place une politique de gestion des mots de passe et des accès en 6 règles simples

A.     A la création du site et des accès administrateur il est capital d’établir des identifiants sécurisés

Une solution pertinente est la pastille présente dans de nombreux CMS mais en imposant un mot de passe fort :
rouge => formulaire d’inscription invalidé
orange => formulaire d’inscription invalidé
vert => formulaire d’inscription validé.

A ce jour ces mesures sont facultatives pour les commerçants administrateurs de leur site, ce qui néanmoins ne leur interdit pas de proscrire des identifiants de type :
Utilisateur : admin
Mot de passe : admin / 1234/ azerty
A proscrire absolument.

B.    Interdire les utilisateurs d’adopter des mots de passe faibles

Lors de l’inscription des internautes à un site internet, pouvant amener à l’enregistrement de coordonnées bancaires, il convient d’interdire les utilisateurs d’utiliser des identifiants trop faibles via une alerte sur le site voire une annulation du formulaire vers la base de données si le mot de passe n’est pas suffisamment fort.
Un mot de passe d’au moins 8 chiffres, lettres (minuscules et majuscules) et symboles est fortement recommandé afin de sécuriser au mieux les identifiants d’utilisateurs sur la pateforme.

Un exemple serait celui présent sur de nombreux sites : un système de pastille présent dans de nombreux CMS :
rouge => formulaire d’inscription invalidé
orange => formulaire d’inscription invalidé
vert => formulaire d’inscription validé.

C.    Aucun envoi de mot de passe par mail

Les mots de passe doivent être récupérés automatiquement par un système automatique et ne doivent jamais être divulgués en clair. En cas de piratage de l’adresse mail du client, vous mettez en péril non seulement ses données personnelles mais aussi l’intégrité et la sécurité de votre site tout entier.

D. Stockage des mots de passe chiffrés en base de données

Le stockage de mots en passe chiffrés en base de données est essentiel sinon capital à la survie de votre site e-commerce. Dans l’hypothèse où l’attaquant récupère l’accès à vos données clients, le chiffrement (et non le cryptage) permet de camoufler les mots de passe qui ne peuvent pas être déchiffrés. Seule la base de données a accès à la valeur chiffrée du mot de passe et compare si le mot de passe entré correspond à sa valeur chiffrée.

E.    Bloquer le nombre d’essais au-delà de X tentatives de saisie erronées

Le blocage du ou des tentatives au-delà d’un certain nombre est un moyen d’éviter à un attaquant les attaques par dictionnaire. Ces attaques consistent à essayer de nombreuses combinaisons de mots et de chiffres pour tenter de trouver un mot de passe. Imaginez qu’un attaquant tente de deviner votre date de naissance en commençant par 0000, 0001, 0002,…. Le blocage de tentatives fait perdre un temps considérable en cas d’attaques de ce genre.

F.    Ne jamais communiquer d’accès au back-office et en base de données aux prestataires

A défaut de tous les accès pour le prestataire, il convient de lui créer des accès limités qui lui sont propres et pour une durée spécifique liée au contrat ou à la durée nécessaire pour l’intervention.

2. L’adoption d’une authentification forte ou d’un badge de sécurité

L’authentification forte par certificat RTS

Normes techniques de réglementation publiées au Journal Officiel de l’Union Européenne ce 13 mars 2018. Elles rentreront en application le 14 septembre 2019.

A partir du second semestre 2018, le protocole 3D Secure 2.0 succédera au 3DS actuel pour permettre aux commerçants de fournir aux banques des clients des informations plus riches pour authentifier ou non les transactions en cours.

L’adoption du protocole 3DSecure étant chère pour les commerçants, il convient d’établir si oui ou non la solution est intéressante au vu du montant des transactions effectuées sur le site. Cela est fortement recommandé pour des opérations d’une valeur supérieure à un certain montant pour considérer la mesure de sécurité rentable.

L’adoption de badges de sécurité au moment du paiement

Solution plus abordable pour un e-commerce de plus petite taille et ayant une base d’utilisateurs moins importante, elle permet d’accroitre la sécurité lors de l’échange de données lié au paiement par carte bleue et leur précise que la transaction est sécurisée entre le site et la banque. Il existe différents badges de sécurité tels que Norton, McAfee, qui sont les deux plus connus.

3.      Respecter de bonnes pratiques de développement : le site web intégralement en HTTPS

Toutes les requêtes de contenu en HTTP doivent être effacées et remplacées par des contenus servis en HTTPS, notamment contenus en javascript (en particulier les CDN (Content Delivery Network)) de mise à disposition de contenus. Cette étape doit être réalisée en effectuant une recette avant-livraison du site en vérifiant l’intégrité des DOM (vérification possible sur la console Chrome, Firefox, Opera et Safari Developer).

4.    Détection, protection du site en temps réel avec WAF, IDS/IPS et évaluation des vulnérabilités

Un WAF (Web Application Firewall) sur son site e-commerce est un pare-feu qui protège le site. Il permet de faire des mises à jour régulières et scans de vulnérabilité et de connaître l’état de sécurité global de l’E-commerce.
Le WFA est un moyen efficace de lutter contre les menaces persistantes et le phishing sur les sites de commerce en ligne.

5.      Héberger l’application dans un environnement serveur certifié

Les certifications d’environnement serveur assurent que le site ne sera pas attaqué à la racine. Un site web, même s’il tient compte des standards de sécurité dès son développement, s’il est fréquemment analysé peut avoir une faille critique et élémentaire : son hébergeur.

Les certifications d’hébergement importantes sont les suivantes :

  • PCI DSS (Payment Card Industry Data Security Standard) : c’est un standard de sécurité des données pour les principales cartes de paiement Visa, Mastercard et American Express notamment. Il permet d’augmenter le contrôles des informations du titulaire pour faire baisser l’utilisation frauduleuse de la carte bleue.
  • HADS (Hébergeur Agréé des Données de Santé) : Si vous stockez dess informations sensibles relatives à la santé de vos clients (vente de matériel médical/paramédical sur prescription), cette certification est indispensable pour garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations.

ISO 27001:2005 : Lorsque vous mettez votre site en ligne, il vous faut trouver un hébergeur. Ce dernier peut ou non avoir une certification ISO, qui garantit un haut niveau d’exigence pour la sécurité des données électroniques qui circulent entre votre site et le serveur.

6.      La mise en place d’un plan de réaction aux attaques

En cas d’attaque, il est nécessaire que l’e-commerçant dispose d’un contact qui lui permette de répondre aux menaces. Faire appel à un consultant spécialisé en sécurité informatique peut coûter cher. Certaines solutions plus abordables permettent néanmoins de répondre dans un laps de temps suffisamment court pour limiter les dégâts, analyser la situation et mettre un terme à l’incident.

En somme la sécurité des sites e-commerce doit passer par 5 points essentiels :

  • Détection et gestion des vulnérabilités
  • Sécurité des applications web
  • La gestion des accès web
  • La gestion de la sécurité
  • Rassurer les clients par des garanties de sécurité pour les fidéliser