Black Friday et fêtes de fin d’année : le risque de cyberattaques pèse sur le E-commerce français, avec 57 % des attaques menées par des bots en 2021, selon une étude de Proofpoint

Proofpoint, spécialiste de la cybersécurité et de la conformité, a publié une étude indiquant que 60% des 20 premiers site de ventes en ligne Français ne protègent pas de manière proactive leurs clients utilisateurs dès lors qu’ils n’adoptent pas le niveau de protection le plus strict recommandé par DMARC (Domain-based Message Authentication, Reporting & Conformance). Ce protocole empêche les cybercriminels d’usurper l'identité d'une entreprise ou d’une marque et réduit le risque de fraude par email des clients utilisateurs.

Les cybercriminels utilisent régulièrement la méthode de l'usurpation de domaine pour se faire passer pour des organismes gouvernementaux, des institutions respectées et des marques connues, en envoyant un email à partir d'une adresse d'expéditeur supposée légitime. Ces emails sont conçus pour inciter les gens à cliquer sur des liens ou à partager des informations personnelles qui peuvent ensuite être utilisées pour voler de l'argent ou des identités et il peut être presque impossible pour un internaute ordinaire d'identifier un faux expéditeur d'un vrai.

Alors que l’activité économique reprend petit à petit son cours en France, l’arrivée de grands temps forts de consommation tels que Black Friday et les fêtes de Noël s’annonce bénéfique pour les sites de vente en ligne. Comme chaque année, l’approche des fêtes de fin d’année entraîne un pic annuel de ventes sur les sites de e-commerce. D’après les chiffres communiqués par la Fédération du e-commerce et de la vente à distance (FEVAD), 42 millions de consommateurs ont acheté en ligne durant le deuxième trimestre 2021, soit 1 million de plus que l'année précédente à la même période, selon l'Observatoire des usages internet de Médiamétrie. Ainsi, pas moins de 46,8 millions d'internautes français ont consulté au moins une application ou un site web appartenant au top 20 chaque mois au cours du deuxième trimestre 2021. Le moment est donc choisi par les cybercriminels pour diffuser de nouvelles menaces afin de dérober les données d’un plus grand nombre de consommateurs en ligne.

L’email étant le principal vecteur utilisé par les cybercriminels pour propager une cyberattaque, vérifier le niveau de sécurité de ce canal est un bon indicateur du niveau de protection et du risque encouru pour une marque. C’est d’ailleurs une bonne pratique que recommande vivement l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, dans un guide à ce sujet pour accompagner les entreprises dans leur démarche, en préconisant notamment la mise en place de standards comme DMARC pour combattre le fléau de la fraude par email, le principal vecteur d’attaque aujourd’hui. Considéré comme l’équivalent d’un contrôle de passeport dans le monde de la sécurité des emails, le standard DMARC est utilisé aujourd’hui comme une arme puissante pour lutter contre le spoofing (usurpation d’identité) et le phishing (hameçonnage).

Les principales conclusions de la recherche :

  • 17 sur 20 des premiers sites de vente en ligne (85%) en France ont publié un enregistrement DMARC, ce qui signifie que 15 % ne prennent aucune mesure pour protéger leurs clients contre les emails provenant de domaines frauduleux.
  • Cependant, seuls 8 sur 20 (40%) ont adopté le niveau le plus strict et le plus recommandé de DMARC (Reject mode), ce qui laisse les clients de 60 % des principaux sites marchands français largement exposés à la fraude par email.


Comment se situe la France par rapport à l’échelle globale ? En prenant un peu de hauteur, on peut constater grâce à l’étude menée par Forbes Global 2000 que la même tendance persiste, avec un faible taux d’adoption du plus haut niveau de protection DMARC pour les plus grandes enseignes de e-commerce à échelle mondiale.

En effet en comparant avec le secteur du commerce de détail du Forbes Global 2000 (analyse menée sur la base de 70 entreprises au total) :

  • 21 sur 70 (30 %) des détaillants du Forbes Global 2000 n’ont pas d’enregistrement DMARC et sont largement exposés à la fraude par email et à l’usurpation d’identité.
  • 70 % ont atteint un certain niveau de mise en œuvre de DMARC.
  • 14 sur 70 (20 %) ont atteint le plus haut niveau de protection et bloquent de manière proactive les emails frauduleux pour préserver leurs clients, partenaires, fournisseurs et employés.


Nom : proofpoint.png
Affichages : 1073
Taille : 2,5 Ko

« Les cybercriminels usurpent régulièrement le nom de domaine de marques hautement reconnues, entraînant des cyberattaques massives contre les consommateurs. Les acteurs de la menace n’ont pas perdu de temps avec la reprise de l’activité pour propager leurs menaces à des utilisateurs en ligne, certes de plus en plus nombreux et fidèles, mais aussi plus vulnérables car exposés à de grands risques. » explique Loïc Guézo, Directeur Senior, Stratégie Cybersécurité, SEMEA chez Proofpoint. « Il est de la responsabilité des sites de vente en ligne de s’armer contre ces menaces et de protéger leurs clients via l’adoption et la mise en œuvre des pratiques d'authentification par emails standardisés. Par ailleurs, durant les temps forts de consommation tels que Black Friday ou les fêtes de fin d’année, les consommateurs doivent redoubler de vigilance et vérifier la légitimité de tous les emails ».

Afin d’effectuer ses achats en ligne en toute sécurité, Proofpoint recommande aux consommateurs d’adopter certains reflexes :

  • Utilisez des mots de passe forts : Ne réutilisez pas deux fois le même mot de passe. Pensez à adopter un gestionnaire de mots de passe pour rendre votre expérience en ligne agréable, en toute sécurité

  • Attention aux sites "lookalike" : Les cybercriminels créent des sites « lookalike » imitant les marques connues. Ces sites frauduleux vendent des produits contrefaits (ou inexistants), ils sont infectés par des logiciels malveillants et volent de l'argent ou des identifiants.

  • Évitez les attaques potentielles de phishing et SMiShing : le phishing par email mène à des sites Web non sécurisés qui volent les données personnelles, tels que des identifiants et des données de carte bancaires. Méfiez-vous également du phishing par SMS (SMiShing) et des messages envoyés via les réseaux sociaux.

  • Vérifiez avant d'acheter : Les publicités malveillantes, les sites Web et les applications mobiles peuvent être difficiles à repérer. Lorsque vous téléchargez une nouvelle application ou visitez un site inconnu, prenez le temps de lire les commentaires en ligne et les plaintes des clients.


A propos de DMARC :

Pour de nombreuses entreprises, la voie vers la réduction du risque de fraude par email est pavée de DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocole par emails adopté à l'échelle mondiale similaire au contrôle des passeports. Il vérifie que le domaine supposé de l'expéditeur ne soit pas usurpé. La vérification de DMARC s'appuie sur les normes DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) établies pour s'assurer que l’email n'usurpe pas le domaine. Cette authentification protège les employés, les clients et les partenaires contre les cybercriminels qui cherchent à se faire passer pour un domaine de confiance.

Méthodologie :

Afin d'évaluer l’enregistrement DMARC des e-commerçants en France, Proofpoint a réalisé une analyse des principaux domaines d'activité des 20 premiers e-commerçants, tels que décrits par la FEVAD. L'analyse des 20 sites en ligne les plus visités en France au deuxième trimestre de l’année 2021 selon Médiamétrie et la FEVAD. Toutes les analyses ont été effectuées en novembre 2021. L'analyse du Forbes Global 2000 2021 a été réalisée sur la base des 70 d’enseignes de e-commerce figurant dans le classement Forbes Global 2000. Toutes les analyses ont été effectuées en novembre 2021.

À propos de Proofpoint

Proofpoint est une entreprise spécialisée dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques.

Source : Proofpooint

Et vous ?

Trouvez-vous cette étude pertinente ?
Utilisez-vous beaucoup les sites d'achat en ligne ? comment vous protégez-vous des menaces ?

Voir aussi :

Les coûts moyens du phishing ont quadruplé depuis 2015 et s'élèvent à 14,8 millions de dollars, la compromission d'emails professionnels et les rançongiciels sont les plus coûteux, selon Proofpoint

Le CAC 40 se mobilise contre la fraude par email avec DMARC, une méthode d'authentification des expéditeurs d'emails, selon de nouvelles recherches de Proofpoint

Trois milliards de messages par jour usurpent encore l'identité de l'expéditeur, malgré l'adoption en hausse de la technologie de vérification d'identité DMARC, selon un nouveau rapport de Valimail