Le livre blanc de la défense rendu public le 29 avril par le gouvernement, prévoit une loi obligeant les entreprises non seulement à se doter d’outils de détection et de protection de leurs données, mais aussi à signaler toute attaque qu’elles subissent. Continuer la lecture de Obliger les entreprises à notifier les attaques informatiques qu’elles subissent
Tous les articles par Damien Bancal
Fuites de données : 263 millions d’euros perdus en France
Les cyber-attaques sur les infrastructures de confiance exposent les entreprises françaises à des pertes de l’ordre de 263 millions d’euros, selon une étude de Ponemon et Venafi. La mauvaise gestion de millions de clés cryptographiques et de certificats numériques menace la sécurité et les opérations des entreprises françaises. Continuer la lecture de Fuites de données : 263 millions d’euros perdus en France
Fuite de données via des smartphones nuirait aux entreprises
Un tiers des PME européennes estiment qu’une fuite de données via des smartphones nuirait grandement à leur activité.
Continuer la lecture de Fuite de données via des smartphones nuirait aux entreprises
Le pirate de SpamHaus arrêté dans un bunker informatique
La police espagnole aurait arrêté l’auteur du piratage informatique de SpamHaus, un informaticien de 35 ans. Jeudi dernier, la police espagnole a arrêté un informaticien Néerlandais de 35 ans, Sven Olaf Kamphuis, accusé d’être l’auteur du piratage informatique ayant visé SpamHaus. Un DDoS d’une telle ampleur que certains experts expliquaient que l’Internet avait ressenti, un peu, la secousse numérique malveillante.
Arrêté à son domicile de Granollers, banlieue de Barcelone, la police ibérique explique être tombé dans une maison transformée en véritable bunker informatique. L’homme a été présenté au tribunal de Madrid. Placé en prison, il attend son extradition vers les Pays-Bas. Une enquête internationale avait été lancée après ce Déni Distribué de Service ressenti aux USA, aux Pays-Bas et Royaume Uni. Une fiche Europol avait été lancée contre Sven Olaf Kamphuis. L’homme se déplaçait dans une camionnette qu’il utilisait comme un bureau informatique mobile. A première vue, le pirate a cru jouer au plus malin avec une tentative de Social Engineering bancale.
La police espagnole a expliqué qu’il s’était d’abord présenté comme un diplomate, puis comme le ministre des Télécommunications et des Affaires étrangères de la république Cyberbunker. Dans ce « bunker » (sic!), deux ordinateurs portables et des disques durs ont été saisis. Bref, pas de quoi crier à la cyber guerre ! Vous remarquez la photographie du présumé pirate, arborant le tee-shirt du Parti Pirate. Autant dire que l’amalgame est intéressant à visionner.
Synchronisation des mots de passe sous Chrome : une bien mauvaise idée…
La saisie automatique des mots de passe dans votre navigateur est une fonction que vous appréciez. En effet, comment retenir aujourd’hui tous les mots de passe dont on a besoin, d’autant qu’on sait désormais qu’il est impératif d’utiliser des mots de passe complexes ? Pourtant, à l’heure où Google vient d’annoncer les nouvelles versions de Chrome (pour Windows et Android), équipées de cette fonction que nous apprécions tous de synchronisation des mots de passe et des données de saisie automatique, il est temps de jeter un pavé dans la mare de nos certitudes : ce système n’est absolument pas sécurisé ! En effet, les mots de passe stockés par le navigateur ne sont pas protégés : on ne vous réclame aucun mot de passe pour vous connecter à Chrome. Ainsi, n’importe qui peut utiliser votre ordinateur et se connecter sans problème à vos différents comptes et donc à vos données privées.
De plus, l’utilisation de la synchronisation de Google (« Google Sync ») est doublement dangereuse : d’une part, vous laissez Google accéder potentiellement à vos mots de passe, ce qui est risqué lorsqu’on connait sa politique de collecte de données, et d’autre part, un jour ou l’autre Google peut être « hacké », ce qui rend vos mots de passe encore plus vulnérables, puisque les clés de cryptage appartiennent à Google. Il existe une option de sécurité dans Chrome, mais tellement bien cachée que personne ne l’utilise…
Protéger l’entreprise contre les cyberattaques est insatisfaisante
En France, les professionnels de la sécurité informatique estiment que leur capacité à protéger leur entreprise contre les cyberattaques est insatisfaisante. Juniper Networks, leader de l’innovation réseaux, annonce à datasecuritybreach.fr les résultats pour la France d’une étude mondiale réalisée par l’Institut Ponemon pour le compte de Juniper Networks. En France, les entreprises interrogées peinent à se protéger contre les attaques menaçant la sécurité de leur réseau en raison du nombre de terminaux grand public et d’applications introduits sur le lieu de travail, ainsi que du manque de visibilité des systèmes. 65 % des entreprises françaises sondées estiment que la migration des systèmes sur site vers des environnements cloud constitue également une menace importante pour la sécurité de leur réseau.
Réalisée auprès de 4 774 informaticiens et responsables de la sécurité informatique dans neuf pays, dont plus de 450 professionnels en France, l’enquête identifie les problématiques auxquelles les entreprises sont confrontées face aux nouvelles menaces et à leurs difficultés à s’en prémunir. L’enquête montre que la sophistication croissante des cyberattaques, l’évolution des menaces et la crainte croissante du vol de propriété intellectuelle et de secrets professionnels stimulent les investissements dans les technologies de sécurité réseau.
De nombreux professionnels de la sécurité informatique interrogés dans le monde estiment que les entreprises sont mal équipées pour détecter, bloquer et prévenir rapidement les attaques. En France, les personnes interrogées considèrent la stratégie mise en place par leur entreprise pour protéger le réseau contre ces attaques comme « insatisfaisante ». 60 % des professionnels français interrogés sont également convaincus que les nouvelles lois européennes relatives à la protection des informations personnelles auront un réel impact sur l’ensemble des opérations de leur entreprise. Cet impact sera notamment vrai quant à l’obligation pour les entreprises de signaler un vol de données sous 24 heures, la plupart des entreprises sondées ayant fait état d’un vol de données une fois par an au cours des deux dernières années.
L’étude identifie plusieurs problématiques de sécurité réseau auxquelles les professionnels de la sécurité informatique sont confrontés aujourd’hui en France :
· Les entreprises françaises se concentrent sur les menaces internes pour gérer les risques pesant sur la cybersécurité : 43 % des professionnels interrogés en France ont déclaré que leur entreprise utilise une solution de protection de réseau pour faire face aux menaces internes (menaces émanant du réseau) ;
· Il est important de sensibiliser les employés aux nouvelles menaces et aux risques relatifs au cloud : en France, 72 % des professionnels de la sécurité informatique ont déclaré que la sensibilisation aux nouvelles menaces est une priorité pour promouvoir l’utilisation des nouvelles technologies de sécurité ;
· Les préoccupations concernant les lois européennes relatives à la protection des informations personnelles : 60 % des professionnels interrogés en France ont déclaré que les nouvelles lois européennes relatives à la protection des informations personnelles auront un impact important sur l’ensemble des opérations des entreprises et leur mise en conformité.
LivingSocial piraté : 50 millions de clients hackés
Les comptes de 50 millions de membres du site Internet d’achats en ligne LivingSocial piratés. Le pirate a exploité une injection sql pour ponctionner le contenu de la base de données. Noms, dates de naissance, mails et mots de passe chiffrés (MD5) ont été copiés par me pirate informatique. D’après LivingSocial. aucune carte de crédit, ni données bancaires n’ont été volées. LivingSocial est un site commercial américain, basé à Washington. Il offre des réductions de prix à 70 millions de clients dans le monde, notamment aux Etats-Unis, en Asie, en Europe et en Amérique Latine.
Malware android
L’augmentation la plus importante pour les adwares (+34,47%) a été enregistrée entre novembre et décembre 2012, certains développeurs ayant profité des fêtes de fin d’année pour tenter de générer des revenus supplémentaires en misant sur le fait que les nouveaux utilisateurs ignorent le fonctionnement des adwares. Les chevaux de Troie ont connu une augmentation lente mais constante de septembre 2012 à janvier 2013 puis ont légèrement décru en février 2013 (-2,22%).
Les adwares devenant plus intrusifs et programmés plus précisément pour récupérer autant d’informations sensibles que possible, la différence est plus ténue que jamais entre les logiciels légitimes et les applications qui se révèlent en réalité être des malwares. Des adwares virulents portent ainsi de plus en plus préjudice à la vie privée des utilisateurs en recueillant et utilisant des informations personnelles à leur insu.
Bien que les adwares ne soient pas fondamentalement malveillants, data security breach vous montrent souvent qu’ils peuvent recueillir des numéros de téléphone, des coordonnées et des adresses e-mail, qui sont transmis à des tiers ou vendus au plus offrant. Le marché noir valorise énormément ces données qui peuvent être utilisées à des fins marketing pour créer des profils d’utilisateurs.
Puisque la plupart des utilisateurs utilisent leurs appareils personnels à des fins professionnelles, il est logique que l’accès aux fichiers confidentiels et sensibles soit souvent autorisé via ces appareils. Ce n’est donc pas seulement un problème de risques vis-à-vis de leurs données personnelles, mais cela concerne également les informations critiques des entreprises elles-mêmes. Des politiques de BYOD strictes doivent offrir une protection efficace à la fois contre les malwares et contre les adwares sous Android, puisqu’ils ont tous les deux un impact direct sur la préservation de la confidentialité des données.
La principale famille de chevaux de Troie s’intitule « FakeInst », elle escroque les utilisateurs en leur demandant de payer des applications qui sont normalement gratuites. Si les utilisateurs acceptent, l’application envoie des messages SMS à des numéros surtaxés, faisant ainsi grimper leur facture téléphonique.
Parmi les adwares agressifs, la famille Android.Adware.Plankton est la plus présente puisque les développeurs utilisent le framework intégré à l’appli pour monétiser leur développement. Les adwares peuvent également recueillir des informations personnelles telles que des adresses e-mail et des numéros de téléphone. Plus il y a de frameworks associés à une application, plus celle-ci devient intrusive puisqu’elle diffuse les données à plusieurs tiers.
La tendance à la hausse de ces deux types de détection indique que les pirates sont à la recherche d’argent et de moyens d’en obtenir en vendant les données personnelles des utilisateurs. L’argent est le moteur du développement de ces deux catégories.
Bitdefender annonce un antivirus gratuit pour protéger les appareils Android
Bitdefender, éditeur de solutions de sécurité, annonce Antivirus Free pour Android afin d’inciter les utilisateurs à protéger leur smartphone et tablette contre le nombre croissant de malwares ciblant les appareils Android. Bitdefender Antivirus Free pour Android est une solution antivirus gratuite, rapide et puissante qui utilise les dernières technologies d’analyse in-the-cloud de Bitdefender, garantissant ainsi un impact quasi nul sur la batterie et des mises à jour 24 heures sur 24 contre les dernières menaces. Dès son installation, Bitdefender Antivirus Free pour Android protège les utilisateurs en recherchant immédiatement les activités suspectes.
« L’an dernier, nous avons assisté à une explosion du nombre de malwares Android, il devient donc indispensable que les utilisateurs pensent à protéger leurs appareils Android comme ils le font pour leur ordinateur », déclare à data security Breach Fabrice Le Page, Chef de Produits Bitdefender chez Editions Profil. « Afin d’inciter le plus grand nombre des utilisateurs à se protéger contre ces nouvelles menaces, nous avons souhaité que notre solution soit gratuite mais sans concessions sur la qualité, l’efficacité et la légèreté ».
Le nombre de malwares a augmenté de 27% au cours des six derniers mois, et ce, en raison des efforts redoublés des créateurs de malwares pour dérober les informations personnelles des utilisateurs. Les formes les plus courantes de malwares Android peuvent entre autres rapidement faire grimper la facture téléphonique des utilisateurs en appelant discrètement des numéros surtaxés, dérobant des mots de passe, espionnant les e-mails professionnels et surveillant presque toutes les activités des utilisateurs.
Notre vie privée est de plus en plus affectée par la hausse du nombre d’adwares et de malwares Android Parce que les adwares (logiciels espions publicitaires) recueillent plus de données sur les appareils des utilisateurs que ce dont ils ont réellement besoin et que les développeurs ajoutent souvent plus d’un composant adware (framework adware) au sein de leurs applications, la vie des utilisateurs devient de moins en moins privée au profit des développeurs et des publicitaires. De plus en plus de tierces parties ont désormais accès à l’historique de navigation des utilisateurs, à leurs numéros de téléphone, à leurs adresses e-mail et à tout ce qui est nécessaire pour créer des profils complets et personnalisés.
C’est d’autant plus inquiétant que les adwares ciblant les appareils Android ont augmenté de 61% au niveau mondial, entre septembre 2012 et janvier 2013 et que les malwares ont progressé dans le même temps de 27%, allant jusqu’à une hausse de 37% pour les chevaux de Troie selon une étude des Laboratoires Bitdefender. L’adoption d’Android a régulièrement progressé au cours des cinq derniers mois, de même que le nombre de détections de malwares et d’adwares. Il n’est ainsi plus rare de dénicher des malwares et des adwares Android aussi bien sur les marchés dits « alternatifs » que sur la plate-forme officielle Google Play.
FIA-NET publie son Livre Blanc Certissim 2013 sur la fraude à la carte bancaire
Au cours de l’année 2012, avec 26 millions de transactions analysées pour un chiffre d’affaires de plus de 4 milliards d’euros, Certissim a constaté un taux de tentatives de fraude de 2,98 % en nombre et de 3,91 % en valeur. Cependant, datasecuritybreach.fr moins d’une tentative sur trente se traduit par un impayé frauduleux pour les e-commerçants. En supposant que tous les sites marchands disposent d’un système de lutte contre la fraude efficace et en extrapolant ces analyses à l’ensemble du e-commerce français, soit 45 milliards d’euros de chiffre d’affaires1, les tentatives de fraude auraient représenté plus de 1,7 milliard d’euros en 2012.
Professionnalisation et industrialisation de la fraude dans le e-commerce
Selon Certissim, deux facteurs ont contribué à l’augmentation du risque de fraude sur Internet ces dernières années. D’une part, la démocratisation de la vente en ligne a créée de nouvelles opportunités, tant en volume qu’en valeur, pour les fraudeurs. D’autre part, le secteur a fait face à l’arrivée de nouveaux fraudeurs, professionnels, intégrés au sein d’organisations criminelles, améliorant sans cesse leurs méthodes et cherchant à industrialiser la fraude afin de maximiser le gain.
Cette industrialisation est la différence majeure entre un fraudeur opportuniste et un fraudeur professionnel. Le premier ne donne pas suite à sa tentative lorsqu’elle est réussie alors que le second réitèrera autant que possible une fraude aboutie. Les secteurs traditionnellement fraudés, tels que l’électroménager, la téléphonie et la parfumerie restent parmi leurs cibles de choix. « Néanmoins, le contexte économique fait que toute marchandise est susceptible d’être fraudée et revendue, de l’alimentaire aux voyages jusqu’aux couches pour bébés » explique Alexandre Arcouteil, Responsable d’Activité Certissim.
Usurpations d’identités et procédés frauduleux
Cette professionnalisation implique une structuration des réseaux de fraudeurs. En amont des commandes, ils ont un besoin de données usurpées. Cet aspect est alimenté par des vols ayant lieu dans la vie de tous les jours comme sur Internet, par le biais de phishing ou de hacking. Les fraudeurs utilisent toutes sortes de données, coordonnées bancaires ou simple adresse de livraison. Elles leur permettent d’effectuer des commandes frauduleuses sur Internet en minimisant les risques d’être repérés. Juste après la commande, ils ont un besoin d’intermédiaires complices ou non pour récupérer les marchandises. Le fraudeur peut embaucher une personne honnête, une « mule », via des sites de petites annonces. Son travail est de réceptionner et réexpédier des colis depuis son domicile, sans savoir qu’il s’agit de marchandises volées.
Enfin, ces réseaux ont besoin de débouchés. Les marchandises doivent être revendues, ce qui sous-entend l’existence d’un marché parallèle et d’acheteurs potentiels, ce que datasecuritybreach.fr, ou encore zataz.com vous présente souvent dans leurs colonnes. Certissim rappelle que la vigilance est indispensable pour les e-commerçants comme pour les particuliers afin de se prémunir contre la fraude et les usurpations. Par exemple, appliquer une gommette sur le code CVV2 de la carte bancaire permet de limiter les risques de vol des données au moment d’un règlement en magasin.
2012, Certissim observe un taux de tentatives de fraude de 2,98 % (en nombre) alors que le taux de fraudes abouties n’est que de 0,10 %, soit moins d’une tentative sur trente se traduisant par un impayé frauduleux pour le e-commerçant. Le panier moyen des impayés frauduleux retrouve un niveau équivalent à celui de 2010 à 297 euros, soit 8 % de moins qu’en 2011 (323 euros). Cela s’explique par le fait que les fraudeurs ont compris que les paniers élevés faisaient systématiquement l’objet de contrôles. En conséquence, leurs tentatives portent désormais sur des montants moins importants mais leur nombre a augmenté. La forte capacité d’adaptation des méthodes employées pour détecter les fraudes est également à l’origine de la baisse de ce panier moyen. L’extrapolation des résultats des analyses de Certissim à l’ensemble du marché français identifié par la Fevad, soit 45 milliards d’euros de chiffre d’affaires, montre que l’impact de la fraude reste important. L’ensemble des tentatives de fraude se chiffrerait à plus de 1,7 milliard d’euros en 2012. La cybersécurité et la mutualisation des connaissances doivent donc être plus que jamais des éléments clés de la stratégie des e-commerçants, d’autant plus que tous ne disposent pas des mêmes moyens de contrôle.
Depuis 2000, FIA-NET édite un Livre Blanc annuel consacré à la fraude à la carte bancaire sur Internet. Sa finalité est d’apporter une vision objective de la fraude sur le marché du e-commerce et ainsi d’être un outil d’aide pour les marchands souhaitant optimiser leur gestion de la fraude. Le Livre Blanc Certissim présente les grands indicateurs de la fraude sur Internet, grâce aux chiffres provenant des déclarations d’incidents de paiement de ses sites marchands clients et des fraudes détectées par Certissim. Le savoir-faire de Certissim et son implication dans la lutte contre la fraude lui permet également de détailler les nouvelles techniques des cybercriminels.
Fraude sur Internet : tous responsables !
Le e-commerce en France continue sa progression, en phase mais encore à la traîne par rapport aux marchés anglais et allemands, qui donnent le La du commerce électronique en Europe. Selon la Fevad, la croissance des ventes en 2012 a atteint 19%, poussée notamment par l’explosion du m-commerce, qui représente désormais 6% des ventes totales (2% en 2011). Avec un taux de satisfaction après achat de 98%, le e-commerce en France a désormais atteint sa maturité, et s’est définitivement installé dans le quotidien des français. Ce constat idyllique contraste fortement avec l’évolution négative du taux de fraude sur Internet. En augmentation continue depuis 2007, celui-ci atteint, selon l’Observatoire de la sécurité des cartes de paiement, le taux record de 0,34%, sans aucun signe de retournement de tendance.
Ainsi l’ensemble des paiements sur Internet ne représente que 8,4% de la valeur des transactions nationales, mais déjà 61% du montant de la fraude sur les cartes de paiement (253 millions sur 413 millions d’Euros). Un chiffre d’autant plus inquiétant que le marché français du paiement en ligne recèle encore un très fort potentiel de croissance. A titre de comparaison, la taille du marché britannique est double de celle du marché français. Tout se passe comme si un boulevard s’ouvrait devant les fraudeurs, d’autant plus grand que l’écosystème du e-commerce français dans sa globalité ne semble pas avoir la volonté de le rétrécir.
Comment en sommes-nous arrivés là et quelles sont les solutions pour y remédier ? Principale cause de la fraude : l’usurpation des numéros de cartes. Ce n’est un secret pour personne : l’origine principale de la fraude sur Internet provient de l’usurpation des numéros de cartes bancaires. Selon l’Observatoire de la sécurité des cartes, cette cause représentait déjà près de 63% du total des fraudes en 2010, loin devant les cartes volées ou les cartes contrefaites. Il est donc évident pour tout le monde que ces numéros ne sont pas suffisamment sécurisés, et qu’il reste relativement simple de les usurper. La carte bancaire n’a pas été conçue au départ pour être utilisée pour des achats à distance. Il en résulte des failles de sécurité évidentes.
Hormis tout ce qui est stocké dans la puce, tous ses identifiants sont en clair par exemple, y compris le fameux cryptogramme visuel, valable deux ans. Les différents acteurs du marché e-commerce ont-ils conscience de cette réalité ? La réponse est oui. Une série de solutions de sécurité ont d’ailleurs été conçues depuis le milieu des années 2000 pour y remédier. A commencer par e-Carte Bleue et 3D Secure, conçu par les grands opérateurs de cartes bancaires, mis en place en Europe dès 2008, visant à introduire une seconde phase d’authentification par la génération d’un code à usage unique. En outre, le standard de sécurité PCI DSS, qui regroupe un ensemble de bonnes pratiques, s’impose désormais à tous les e-commerçants. Sur les sites marchands, d’autres technologies de sécurité peuvent également être mises en œuvre, telles que les certificats SSL déjà très répandus, les systèmes Capcha ou les emails certifiés.
Les solutions anti-fraude mises en œuvre : un constat d’échec La mise en œuvre en France de ces diverses solutions de sécurité anti-fraude a-t-elle été couronnée de succès ? La réponse est clairement non. L’échec de 3D Secure dans notre pays est patent. Aujourd’hui dans sa deuxième version, ce système de sécurité pourtant efficace n’a jamais réussi à s’imposer. Certes, 40% des e-commerçants l’utilisent aujourd’hui, mais ceux-ci ne représentent qu’environ 10% des paiements par carte et 15% seulement des montants. Toutes les banques l’ont certes adopté, mais avec retard et en ordre dispersé. Leur implémentation du système s’est révélée trop complexe. De fait, le processus d’authentification n’est pas normalisé et les consommateurs doivent jongler entre plusieurs systèmes différents selon les banques, ce qui n’encourage pas la simplicité d’utilisation … Du côté des e-commerçants, le rejet est encore plus net. Toutes les grandes enseignes, c’est-à-dire la vingtaine de sites qui réalisent la grande majorité des transactions en ligne, n’ont pas à ce jour adopté le système, notamment en raison de ses conséquences sur le taux d’abandon de commande.
La norme PCI DSS n’ont plus n’a pas eu le résultat escompté. D’abord parce qu’elle n’est pas infaillible, des cas célèbres de vols massifs de données l’ont montré. Ensuite parce que la législation française ne l’impose pas formellement. Il en résulte un flou manifeste dans l’interprétation de sa liste de bonnes pratiques, notamment dans le durée de vie des données carte bancaire stockées. Certains sites les conservent pendant plusieurs années au-delà de la simple nécessité liée au paiement, voire ne les effacent jamais, ce qui augmente d’autant le risque de vol d’identifiants. D’autres systèmes de sécurité telles que l’email certifié, qui est pourtant l’arme absolue contre le « phishing », ne sont quasiment jamais utilisés.
Une seule victime : le consommateur Plusieurs raisons expliquent ce paradoxe, qui toutes convergent vers les principes élémentaires de la gestion du risque. En premier lieu, même si le coût financier de la fraude sur Internet est supporté environ à égalité par les banques et les commerçants, et non par les consommateurs, qui sont généralement remboursés, ce sont en fait ces derniers qui paient seuls les pots cassés. En effet, les banques sont assurées contre le risque de non-paiement, et répercutent le coût de cette assurance sur le prix de leurs services. De même les commerçants répercutent leurs pertes financières sur les prix de leurs produits, comme la fameuse ‘démarque inconnue’ de la grande distribution. Banques et commerçants ne sont donc pas directement impactés par la fraude, et se contentent de gérer le risque.
En second lieu, les commerçants sont avant tout concentrés sur la croissance de leurs ventes. Ils répondent aux attentes des internautes, et facilitent le processus d’achat au maximum, afin d’éviter tout abandon de panier. Résultat : les vérifications d’identité sont réduites au minimum, et la sécurisation des paiements est sacrifiée à l’autel de la simplicité d’utilisation. La montée en puissance des fonctions de ‘paiement en un clic’ sur les sites de e-commerce en est l’exemple le plus flagrant. Ces sites font tout pour simplifier la vie de leurs clients, mais la plupart ne maîtrisent pas les impacts que cela implique en matière de sécurité. La cohérence des comptes clients créés par exemple n’est quasiment jamais vérifiée.
En troisième lieu, les pouvoirs publics ne se sont jamais vraiment impliqués dans la résolution du problème. Pour 3D Secure par exemple, la Banque de France qui est pourtant garante de la sécurité des moyens de paiement, n’a pas le pouvoir d’imposer une règle précise au groupement qui gère les cartes bleues, n’ayant que le statut d’observateur. De même, l’administration n’a jamais communiqué en direction du grand public pour encourager l’adoption du système, comme ce fut le cas dans d’autres pays, ou pour le cadenas SSL.
Les acteurs doivent assumer leurs responsabilités La montée inexorable de la fraude sur Internet n’est pourtant pas une fatalité. Le cas du marché britannique en constitue un exemple éclatant. Dans ce pays, le taux de fraude en e-commerce se rapproche de celui constaté dans les points de vente ‘traditionnels’. 96% des transactions sur Internet utilisent 3D Secure, et le taux d’échec d’authentification 3D Secure ne dépasse pas 3%, alors qu’il est de 13% en France. La raison de ce succès réside dans l’établissement d’un cercle vertueux associant la mise en place d’une procédure unique d’authentification adoptée par toutes les banques et tous les opérateurs de cartes bancaires, et une adoption massive des commerçants. Pour inverser la tendance en France, plusieurs mesures de bon sens pourraient rapidement être mises en œuvre.
A commencer par une meilleure sensibilisation des consommateurs aux risques liés au paiement sur Internet. De la part des e-commerçants d’abord, qui doivent mieux informer leurs clients sur les risques qu’ils prennent lorsqu’ils saisissent des données personnelles sur Internet. Beaucoup de sites bancaires diffusent régulièrement des alertes de sécurité, aucun grand site de e-commerce ne fait de même par exemple. Il serait logique que la Fevad prenne en charge une réelle sensibilisation du grand public sur ce sujet. De la part des pouvoirs publics ensuite. Une véritable communication gouvernementale sur la sécurité des paiements devrait être développée, comme c’est le cas dans de nombreux autres pays. En France, ce sont surtout les entreprises qui sont sensibilisées sur la sécurité, et non les consommateurs. D’autre part, les banques doivent logiquement s’entendre sur une procédure unique d’authentification, simple à comprendre et à mettre en œuvre, qui permette d’obtenir l’adhésion à la fois des consommateurs et des commerçants. Enfin, les consommateurs ont également leur part de responsabilité, et doivent prendre conscience que le respect de règles élémentaires de sécurité s’impose à eux tout au long de leur acte d’achat sur Internet. Le taux de fraude ne pouvant continuer à croître indéfiniment, cette évidence finira par s’imposer. Pour l’intérêt des consommateurs comme celui de l’industrie du e-commerce, le mieux serait qu’elle le soit rapidement. (Par Fabien Dachicourt pour DataSecurityBreach.fr / RSSI de Coreye)