Les plus grands sites de e-commerce en France se mettent en ordre de marche pour mieux protéger contre la fraude par courriel, mais les clients sont toujours à risque
novembre 2024 par Proofpoint, Inc.
Proofpoint, Inc. dévoile les résultats de son étude sur le niveau de sécurité des messageries des plus grands sites d’e-commerce en France. L’étude révèle que sur les 20 sites marchands les plus consultés en France, 40% d’entre eux n’ont toujours pas mis en place les mesures de cybersécurité adaptées pour lutter activement contre la fraude par courriel, exposant leurs clients à un risque accru de fraude par courriel à l’approche des fêtes de fin d’année.
Protection DMARC des sites marchands français
Ces résultats sont basés sur une analyse de l’adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) par les sites marchands français. DMARC est un protocole d’authentification indépendant, conçu pour protéger les noms de domaine contre les abus des cybercriminels. Il authentifie l’identité de l’expéditeur avant de permettre à un message d’atteindre sa destination. DMARC offre trois niveaux de protection : la surveillance, la quarantaine et le rejet - ce dernier étant le niveau le plus sûr pour empêcher les messages suspects d’atteindre la boîte de réception.
D’après l’étude Proofpoint, 40 % des principaux sites marchands en France étudiés n’auraient pas le niveau recommandé de protection DMARC (rejet), laissant la porte ouverte aux acteurs malveillants pour piéger et escroquer les consommateurs, en usurpant le nom de domaine d’une marque. Le constat est alarmant, mais en réalité le niveau de protection des sites marchands français progresse. L’année dernière, 58 % des principaux sites marchands n’avaient pas le niveau requis de protection. Il semble donc que le secteur se mobilise pour mieux protéger les consommateurs.
Le courrier électronique : principal vecteur de cyberattaques
Selon le rapport State of the Phish 2024 de Proofpoint, le courriel reste aujourd’hui la première porte d’entrée des cyberattaques. En France, 66% des organisations ont subi une attaque de phishing réussie et elles sont presque autant (62%) à avoir été la cible d’attaques de type BEC (Business Email compromise), technique avérée pour la fraude par courriel.
Les cybercriminels se font passer pour une entreprise connue, généralement en usurpant le nom de domaine, pour piéger et escroquer les consommateurs par le biais de faux courriels, contenant une pièce jointe infectée ou incluant un lien vers une fausse page de paiement par exemple. En outre, avec le développement de l’IA générative, ces tactiques criminelles ne cessent de se perfectionner, en permettant de rédiger des courriels plus convaincants et personnalisés, dans plusieurs langues.
Ces attaques de plus en plus sophistiquées sont d’autant plus efficaces dès lors qu’elles ciblent des particuliers, moins alertes face aux nombreuses sollicitations qu’ils reçoivent par courriel ou SMS notamment lors de leurs achats en ligne.
Les principales conclusions de l’étude sont les suivantes :
• 95 % des principaux sites marchands en France ont publié un enregistrement DMARC standard (contre 90 % en 2023) ;
• Si 60 % d’entre eux ont le niveau de protection DMARC recommandé et le plus strict « rejet », ils sont encore 40% à ne pas mettre en place les mesures recommandées pour que les courriels frauduleux qui arrivent à leurs clients soient rejetés (contre 58% en 2023) ;
• Une tendance qui vaut également pour les sites de la liste ayant adopté l’extension ‘.fr’ qui représentent plus de la moitié des sites analysés (11 sur 20) où près de la moitié (45%) n’ont pas le niveau recommandé « rejet ».
Xavier Daspre, directeur technique France chez Proofpoint explique « Tous les jours, des consommateurs sont la cible de courriels et, de plus en plus, de SMS frauduleux. À l’approche de fortes périodes de consommation telles que le Black Friday ou les fêtes de fin d’années, ces menaces augmentent considérablement et face à la prolifération d’offres, la vigilance des consommateurs peut baisser, les exposant davantage aux escroqueries. DMARC reste aujourd’hui la seule technologie ouverte capable de les protéger, en empêchant l’usurpation de domaine et le risque d’usurpation d’identité qui en découle. Son adoption par la plupart des principaux commerçants français est encourageante, néanmoins il est primordial que tous se mettent à niveau pour que leurs clients puissent effectuer leurs achats en toute sérénité.”
Comme chaque année, Proofpoint recommande aux consommateurs de suivre ces conseils pour effectuer leurs achats saisonniers en sécurité :
• Protéger ses mots de passe : Évitez d’utiliser le même mot de passe plus d’une fois. Utilisez un gestionnaire de mots de passe pour faciliter et sécuriser votre expérience d’achat en ligne. Enfin, mettez en place l’authentification multifactorielle pour une sécurité renforcée.
• Se méfier des sites factices : Soyez vigilant à l’égard des sites web frauduleux qui imitent ceux de marques réputées. Ces copies de sites vendent bien souvent des produits contrefaits ou inexistants, hébergent des logiciels malveillants ou tentent de voler de l’argent et les informations d’identification.
• Éviter les menaces d’hameçonnage par courriel et SMS : Restez prudents face aux courriels de d’hameçonnage qui mènent à des sites web dangereux conçus pour collecter les données personnelles, notamment les identifiants de connexion et les données de cartes bancaires. Méfiez-vous également du des attaques par SMS, ou "smishing", et des messages reçus par l’intermédiaire des réseaux sociaux.
• Éviter de cliquer sur des liens : Entrez directement l’adresse du site web connu dans votre navigateur pour accéder aux offres proposées. Pour les codes de promotion, saisissez-les lors du processus de paiement afin de vérifier leur légitimité.
• Vérifier avant d’acheter : Les publicités, les sites web et les applications mobiles frauduleux peuvent être très convaincants. Avant de télécharger une nouvelle application ou de visiter un site web inconnu, prenez le temps de lire les commentaires en ligne et de vérifier les avis des clients.
Méthodologie
Pour évaluer le niveau d’adoption de la protection DMARC, Proofpoint a réalisé une analyse des noms de domaines principaux des 20 premiers sites & applications de e-commerce français d’après le Baromètre de l’audience du e-commerce (2ème trimestre 2024) de la FEVAD. L’analyse a été conduite en novembre 2024.