Gare aux arnaques durant le Black Friday, 50 % des sites marchands ne protègent pas leurs clients

Alors que la période des fêtes de fin d'année approche, et avec elle des promotions à la pelle avec le Black Friday, les chercheurs en sécurité informatique de Proofpoint se sont penchés sur les niveaux de protection des principaux sites marchands en France. D'après leurs résultats, plus de la moitié des sites de e-commerce ne proposent pas de systèmes efficaces pour protéger les clients contre les arnaques de phishing.

arnaque black friday
Crédits : 123RF

Comme vous le savez, le Black Friday doit débuter ce vendredi 24 novembre 2023. Pour des millions de Français, ce sera l'occasion de faire de bonnes affaires en amont des fêtes de Noël. Seulement, cette période représente également pour les pirates l'occasion rêvée d'arnaquer les clients des principaux sites marchands, notamment avec des attaques de phishing ou par courriel.

Pour ceux qui l'ignorent encore, le phishing fait partie des 7 escroqueries en ligne les plus répandues. Généralement, cela consiste en de faux mails qui usurpent l'identité d'un service public (comme le site des amendes, le fameux Compte personnel de formation ou encore la vignette Crit'Air), d'une personne connue ou bien d'une entreprise. Le but étant de vous amener à cliquer sur un lien vérolé ou vous amener sur une fausse page pour dérober vos informations personnelles ou vos coordonnées bancaires.

58 % des sites marchands n'offrent pas de protection suffisantes contre le phishing

Alors que les utilisateurs s'apprêtent à déferler sur les sites de e-commerce en quêtes d'affaires en or, les chercheurs en sécurité de Proofpoint ont mené une étude sur les niveaux de protection cyber des principaux sites marchands en France. D'après les résultats obtenus, 58 % des sites les plus consultés dans l'Hexagone n'ont toujours pas mis en place de mesures de cybersécurité de base pour lutter contre les arnaques de type phishing.

Pour parvenir à cette conclusion, les experts de Proofpoint se sont basés sur la présence ou non d'un enregistrement DMARC par les e-commerçants. Pour résumer, DMARC est un standard international qui constitue encore à ce jour l'arme la plus puissante contre ce genre d'attaque et le domain spoofing (soit l'usurpation de nom de domaine). Il faut savoir que le DMARC comporte trois niveaux de traitements des courriels :

Le dernier niveau offre le plus de protection, puisqu'il garantit que des mails suspects n'arriveront jamais dans la boite mail des clients. Or, 58 % des sites analysés ne proposent pas le niveau Rejet de la protection DMARC, laissant donc une brèche aux pirates pour piéger les utilisateurs avec de faux mails. D'après Proofpoint, on retrouve cette tendance sur les sites de la liste avec une extension .fr (sur les 24 sites en .fr figurant dans la liste, seulement 12 affichent le niveau de protection recommandé Rejet).

Crédits : 123RF

10 % des sites n'utilisent pas DMARC

En outre, 90 % des principaux sites marchands en France ont publié un enregistrement DMARC de base (10 % des sites n'ont donc aucune protection). “Le courrier électronique reste le vecteur le plus courant de compromission de la sécurité informatique, dans tous les secteurs d'activité, mais tout particulièrement dans le commerce électronique lorsqu'il s'agit de cibler des particuliers”, explique Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint.

Il poursuit : “DMARC reste la seule technologie ouverte capable de protéger contre l'usurpation de nom de domaine […] Il est urgent pour les e-commerçants de s'armer, pour que leurs clients puissent effectuer leurs achats en toute sérénité”. 

A lire également : Les pirates cherchent à exploiter Google Agenda pour voler vos informations personnelles

Comment faire ses achats en toute sécurité

A l'approche du Black Friday, Proofpoint partage en sus quelques conseils aux utilisateurs pour renforcer leur sécurité et éviter d'être victime des ces arnaques en ligne :

Rappelons que dès février 2024, les comptes qui envoient un nombre important de mails (entreprises, services publics, organismes de santé, etc.) devront faire authentifier les courriels avant de pouvoir les envoyer sur les adresses Gmail et Yahoo. Il s'agit d'une décision prise par les deux géants du web pour renforcer la lutte contre le spam et les escroqueries en ligne.

Voir les commentaires
Ailleurs sur le web