Le dynamisme du marché français de l’e-commerce est indéniable, marqué par l’apparition de 10 000 nouvelles boutiques en 2022, portant ainsi à 207 000 le nombre de sites marchands actifs en France. Cette croissance significative trouve ses racines dans divers facteurs, notamment les répercussions de la pandémie de COVID-19 qui ont poussé de nombreux commerçants à se tourner vers le commerce en ligne, ainsi que dans l’évolution des habitudes d’achat des consommateurs, en particulier des jeunes générations.
Cependant, cette expansion s’accompagne malheureusement d’une hausse concomitante de la cybercriminalité. En effet, une augmentation du nombre de sites ouverts signifie également une augmentation des cibles potentielles pour les cybercriminels.
Outre le stress et les dommages financiers infligés aux entreprises, y compris la perte potentielle de chiffre d’affaires et les coûts considérables associés à la réparation des préjudices (sans oublier le temps nécessaire pour le faire), une violation de sécurité entraînerait également une perte de confiance plus ou moins irréversible de la part des clients. Ces derniers pourraient alors se tourner vers des concurrents perçus comme plus fiables.
Les petites et moyennes entreprises (PME) représentent une cible de choix pour les cybercriminels, car elles disposent généralement de ressources limitées pour la protection de leurs systèmes.
Selon une étude réalisée par le Prestashop Million Club en septembre 2022, 41% des e-commerçants interrogés auraient été victimes d’une cyberattaque en 2021. Les attaques ont principalement revêtu la forme de robots malveillants (43%), d’attaques par déni de service distribué (33%) ou d’injections SQL (30%). Pour ceux qui se demandent ce que cela signifie, pas de panique, nous allons expliquer les méthodes d’attaque les plus courantes.
Décortiquons quelques-unes de ces attaques :
L’injection de code SQL vise à contourner les contrôles de sécurité pour accéder à une base de données et y récupérer des informations sensibles telles que les données personnelles ou les coordonnées bancaires.
Passons maintenant au Cross Site Scripting (ou XSS). Similaire aux attaques par injection SQL, le cross-site scripting exploite les failles d’un site pour y injecter du code malveillant, par exemple en HTML, JavaScript ou tout autre langage que saura interpréter le navigateur. Ce type d’attaque, plutôt que de viser l’accès à une base de données, prend l’utilisateur qui ne se doute de rien comme cible: redirections vers des pages malveillantes, vol de données de session permettant au pirate d’accéder aux comptes de la victime sans même connaître ses identifiants, enregistrement des touches du clavier… Ce type d’attaque peut également laisser grande ouverte une porte pour laisser entrer d’autres programmes malveillants sur la machine de la victime.
La plus opportuniste ? La voici, l’attaque par Brute force. Elle consiste à tenter de “craquer” un mot de passe en testant des combinaisons les unes après les autres, ou en utilisant un robot-dictionnaire. Une méthode qui paraît grossière mais pas si inefficace puisque de nombreux utilisateurs peu imaginatifs utilisent “123456” ou “azerty” comme mot de passe… (si c’est votre cas, ne facilitez pas la vie des cybercriminels et changez-le très vite ! )
Les skimmers Web, similaires à leurs homologues physiques, interceptent les données bancaires des clients sur des sites vulnérables, causant des préjudices tant pour les propriétaires des sites que pour les clients.
Terminons avec le “Denial of Service”, (DoS) ou attaque par déni de service. Ce type d’attaque consiste à rendre un système inaccessible en le surchargeant de requêtes pour le saturer. Similaires, les attaques de type “Distributed Denial of Service” (DDoS), ou déni de service distribué, recourant à un réseau d’ordinateurs “zombies” déjà infectés par les cybercriminels afin de s’en servir pour étouffer un système avec plus de requêtes qu’il ne peut en supporter.
Mais ça n’est pas très rassurant tout ça !
Malgré ces menaces, il est important de souligner qu’il existe des moyens de se protéger contre ces attaques, du plus simple au plus complexe. Dans un prochain article, nous partagerons un retour d’expérience sur un cas de piratage, de la réponse apportée à l’accompagnement du client impacté.
À Partager sans modération
Laisser un commentaire
Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *