Les cyberpirates à l’assaut du commerce

|

L’interconnection croissante des infrastructures due à l’essor du cross-canal ou du paiement mobile rend les enseignes et leurs milliards de données clients de plus en plus attractives, et lucratives, pour les hackers.

Ce genre de rendez-vous doit rester discret. Dans quelques semaines, sur un campus de province, deux e-commerçants français organiseront une « security quest », une sorte de concours de piratage informatique. Des étudiants spécialisés vont tenter de s’introduire dans les serveurs et d’y récupérer des données. Ce test permettra aux cybermarchands d’évaluer leur sécurité informatique et d’identifier les éventuelles failles de leurs systèmes.

L’exercice est très encadré, chaque étudiant signant une charte de confidentialité et d’éthique. Les « security quests » se répandent. « Nous avons des demandes de distributeurs, mais elles sont moins nombreuses que celles des secteurs de la défense ou de la santé », glisse-t-on à l’Epitech, un réseau d’école reconnu dans le domaine.

Le constat interpelle, vu le virage informatique opéré dans le commerce, une cible déjà privilégiée des pirates, du fait des millions de données brassées. La grande distribution et l’e-commerce figurent même en tête des secteurs « à risques » sur la sécurité des données personnelles et bancaires de leurs clients, selon une étude de l’assureur Hiscox, menée en 2012.

Dans ce contexte, certains chiffres troublent. Sur les « basiques », comme la protection des mots de passe clients, les 100 premiers sites français d’e-commerce se montrent ainsi très « légers » : « 70% d’entre eux, distributeurs physiques inclus, sont trop imprudents », rapporte Pierre Santamaria, responsable marketing chez Dashlane, un spécialiste des mots de passe sécurisés, qui a enquêté sur le sujet en janvier (lire encadré p. 11). Un exemple En cas d’oubli ou de perte d’un mot de passe, 83% des sites ne bloquent pas l’accès au compte après dix saisies erronées…

« L’or noir » de la distribution

Pas très rassurant, tant le champ des risques s’étend. C’est la « face B » du commerce connecté : les infrastructures informatiques s’ouvrent et s’interconnectent pour mettre en place le cross-canal, tandis que des pans entiers de données, le nouvel « or noir » de la distribution, migrent vers des plates-formes de « cloud computing ». Les boutiques d’e-commerce, elles, s’ouvrent aux tiers, avec les « marketplaces ». « Chaque nouveau projet introduit des points de vulnérabilité, alerte Fabrice Epelboin, professeur à Sciences po et spécialiste de cyberdéfense. Le commerce se développe par couches successives et disparates de technologies, notamment sur internet ou le mobile. Résultat, les acteurs créent eux-mêmes les failles de sécurité. »

Le syndrome de la porte blindée

La cybersécurité est aussi victime de l’élagage des budgets informatiques. « La tentation est grande, car la sécurité ne rapporte rien tant qu’on n’a pas subi d’attaque, un peu comme une porte blindée à son domicile, pointe-t-il. Et les directions générales ne sont pas assez sensibilisées à ce problème. » La pression se répercute sur les prestataires informatiques, avec le risque de fissurer le cyberbouclier. « Ils constituent souvent un point d’entrée privilégié par les pirates informatiques », rappelle Damien Bancal, journaliste spécialisé dans le hacking, qui anime Zataz, un site recensant les cyberattaques.

Aux États-Unis, l’incroyable piratage dont ont été victimes l’enseigne Target et des millions de clients, en décembre, a braqué les projecteurs sur le fléau. La justice américaine soupçonne un gamin russe de 17 ans d’être à l’origine de cette fraude qui va coûter, au bas mot, 1 milliard de dollars à Target. Un scandale d’autant plus retentissant que, de l’autre côté de l’Atlantique, la loi oblige le commerçant à avertir son client que ses données se sont évaporées… « En France, il y a peu de précédents connus, mais cela ne veut pas dire que des piratages n’ont pas lieu, même s’ils n’ont pas cette ampleur », nuance Fabrice Epelboin.

Sniper399 en page d’accueil

Il suffit de rembobiner l’actualité sur quelques mois pour déceler des cas. En juillet, par exemple, s’est ouvert aux États-Unis le procès de cinq pirates présumés, soupçonnés d’avoir volé 160 millions de numéros de cartes de crédit dans les systèmes de plusieurs sociétés. Parmi elles, Carrefour aurait été victime, « au moins depuis octobre 2007 », de ces pirates. Ils auraient aspiré « environ deux millions de numéros de cartes de crédit » chez le distributeur, selon le document d’inculpation. Le site Zataz, lui, recense de nombreuses cyberattaques de tous niveaux ces dernières années. La dernière date du 26 février, lorsque le hacker « Sniper399 » a changé un court moment la page d’accueil du site web de l’hypermarché Auchan de Roncq (59).

Les distributeurs prennent-ils la juste mesure des risques « Il faut rester humble, mais tout le monde a conscience que la cybersécurité est essentielle pour la confiance et l’e-commerce, plaide Marc Lolivier, le délégué général de la Fevad, qui prône une approche basée sur les risques. Le curseur doit sans cesse être positionné et proportionné, entre les attentes du client, qui réclame des facilités, comme le paiement rapide, et le risque pour la sécurité. »

Si le sujet reste délicat à aborder pour les distributeurs, il est n’est plus tout à fait tabou. Depuis juillet 2012, les entreprises échangent même officiellement sur la cybersécurité, par le biais d’une association, le Cesin, ou Club des experts de la sécurité de l’informatique et du numérique. On y retrouve Darty, Casino ou Carrefour.

Les pirates informatiques n’attaquent jamais l’entreprise de front, mais plutôt son environnement, par exemple, les prestataires informatiques ou les terminaux de paiement. Les fuites de données en interne sont aussi un facteur important de risques.

Damien Bancal, journaliste spécialisé dans le hacking, animateur du site Zataz

Nouvelles générations de RSSI

Un signal de la prise en compte du danger, alors que, dans le même temps, « une nouvelle génération de profils émerge dans la distribution, beaucoup plus au fait de ce genre de problème », signale Damien Bancal. Il s’agit, entre autres, des responsables de la sécurité des systèmes d’information (RSSI). Chez vente-privee.com, Nicolas Pellegrin, le RSSI, est même directement rattaché au directeur général, et son budget est indépendant de celui de la direction informatique. Une manière de traiter le sujet à part entière. « Nous nous réunissons plusieurs fois par an, avec le directeur général et celui des systèmes d’information, pour décider des investissements nécessaires en matière de cybersécurité, témoigne-t-il. Il est fondamental d’associer les trois parties pour mener à bien les projets de cybersécurité. »

Autre signe des temps, de nombreuses assurances vont lancer cette année des contrats de « data risk », une offre encore récente en Europe (lire encadré p. 10). L’Union européenne souhaite, elle, davantage de transparence. La directive 95, encore en discussion, prévoirait d’obliger les entreprises gérant des données personnelles à signaler officiellement toute fuite, a minima à un organisme comme la Cnil, voire au client. Là encore, la grande distribution se trouvera en première ligne, et paiera cher toutes défaillances.

Un risque accru pour les distributeurs

E-commerce et distribution, en tête des « secteurs à risques ». Sensibles à une perte de chiffre d’affaires pouvant résulter du blocage de leur site, les e-commerçants enregistrent 20% des attaques globales. Les distributeurs, eux, sont menacés par la multiplicité des points d’entrée informatiques.

Une directive européenne en préparation prévoirait l’obligation de signaler tout piratage de données. Seuls les FAI y sont assujettis aujourd’hui.

Plusieurs exemples de piratage ces derniers mois

  • 13 juin 2013 Le fil Twitter d’Auchan France passe une heure durant sous le contrôle de pirates qui postent une dizaine de faux messages.
  • Juillet À Newark, aux États-Unis, s’est ouvert le procès de cinq pirates présumés, soupçonnés d’avoir volé 160 millions de numéros de cartes de crédit dans les systèmes informatiques, dont deux millions chez Carrefour depuis 2007.
  • 26 février Le site de l’hyper Auchan de Roncq (59) est momentanément contrôlé par un hacker.

Le traumatisme Target

Le troisième distributeur alimentaire américain a subi le plus gros piratage connu de l’histoire de la distribution. Du 27 novembre au 15 décembre, des pirates se sont attaqués aux terminaux de paiement en magasins, où les Américains ne saisissent pas de code personnel. Une intrusion via un logiciel dit « malveillant », ou « malware », facilitée par l’absence de chiffrage de données… Le pirate, qui serait un adolescent russe de 17 ans, est remonté dans les systèmes d’informations, subtilisant les données personnelles de 110 millions de clients, et les codes bancaires des 40 millions de personnes ayant payé sur les terminaux pendant ces dix-neuf jours. Ce « databreach », révélé en janvier, va coûter au moins 1 Mrd $ à Target, pour rembourser les cartes et les préjudices. Aux États-Unis, la loi oblige à prévenir chaque client que ses données ont été piratées.

1 Mrd $ Le coût minimum estimé du piratage pour Target Source : Target

L’avis d’expert : Brisson François responsable marché Technologies-Médias- Télécoms chez l’assureur Hiscox France

« Couvrir les frais directs d’une attaque »

LSA - En quoi consistent les assurances « data risk » que vous proposez aux distributeurs

François Brisson - En 2011, nous avons introduit ce nouveau type de prestation en Europe, avec deux grandes familles de garanties liées aux cyberrisques. Les dommages, d’abord, avec une couverture des multiples risques et de leurs conséquences. Qu’il s’agisse des frais directs que devra assumer un commerçant victime de hacking – pertes de revenus, frais d’avocats spécialisés, restauration des données, mises à jour de la sécurité informatique, etc. –, mais aussi toute la communication de crise envers les clients, les actionnaires, ainsi que le volet « e-reputation ». L’autre garantie, plus classique, porte sur la responsabilité civile, du fait des dommages causés aux tiers.

LSA - Les distributeurs français y adhèrent-ils

F. B. - Au Royaume-Uni, en Allemagne et en France, un tiers de notre portefeuille clients est constitué de distributeur et d’e-commerçants. Le coût représente entre 3% et 5% de leur budget de sécurité informatique.

70% des sites d’e-commerce imprudents sur les mots de passe

Le premier baromètre de la start-up française Dashlane, qui date de janvier dernier, s’est penché sur un grand basique de protection des données personnelles : la gestion des mots de passe. Les 100 principaux sites d’e-commerce en France ont été auscultés sur douze critères : par exemple, la complexité des mots de passe («1234» ou «0000» sont à bannir) ou le nombre d’essais de mot de passe accepté avant blocage (trois en général). De grands basiques que seuls 30% des sites respectent.

83% des sites ne bloquent pas l’accès au compte après dix erreurs de mot de passe. Un moyen pourtant simple de limiter les fraudes.

45% envoient par mail les identifiants et mot de passe en clair. Un pirate accédant à la messagerie les obtiendra aisément.

Seuls 14% des sites obligent leurs utilisateurs à utiliser pour leur mot de passe au moins une lettre et un chiffre.

Testez LeMoniteur.fr en mode abonné. Gratuit et sans engagement pendant 15 jours.

Article extrait
du magazine N° 2310

Couverture magasine

Tous les jeudis, l'information de référence de la grande consommation Contactez la rédaction Abonnez-vous

X

Recevez chaque matin tous les faits marquants sur les stratégies digitales, omnicanales et e-commerce des distributeurs et sur les solutions technologiques conçues pour les accompagner.

Ne plus voir ce message