Alors que la grande messe du commerce en ligne débute ce jeudi 25 décembre, le Centre national de la cybersécurité britannique (NCSC) tient à avertir les entreprises utilisant la plateforme Magento pour leur site d’e-commerce : le Black Friday attire de très nombreux consommateurs, mais également beaucoup de cybercriminels…

Magento prise pour cible

Rachetée par Adobe il y a quelques années, Magento est l’une des plateformes de commerce électronique open source les plus utilisées au monde, que ce soit en version payante ou gratuite, préconisée par les petites et moyennes entreprises.

Malheureusement, Magento est également dans le viseur des cybercriminels, particulièrement dans le domaine du piratage de cartes bancaires. L’année dernière par exemple, l’entreprise néerlandaise Sansec, spécialisée en cybersécurité, a fait la découverte d’une vidéo proposant des conseils de piratage de Magento pour 5 000 dollars, rapporte The Register. En 2019 déjà, une faille de sécurité avait permis à des hackers d’avoir accès aux données personnelles des utilisateurs de la plateforme.

Le NCSC demande ainsi aux retailers britanniques de bien vérifier que la version de Magento dont ils se servent est à jour, d’autant plus pour la période du Black Friday et du Cyber Monday, où l’activité sur les sites de commerces en ligne explose ; malheureusement, de nombreuses petites entreprises n’ont pas recours aux mises à jour par manque de connaissances en informatique, laissant la porte ouverte aux cybercriminels. À la fin du mois de septembre, le programme de cyberdéfense du NCSC a ainsi identifié 4 151 sites de vente en ligne qui hébergeaient à leur insu des « skimmers » de cartes de crédit, outils permettant de récupérer les données des cartes bancaires.

Un petit paquet cadeau avec un signe affichant moins 50 %

Les cybercriminels profitent de l'activité lors du Black Friday pour dérober des données. Photographie : Tamanna Rumee / Unsplash

Comment les détaillants peuvent protéger leur plateforme des cybercriminels

« Nous voulons que les petits et moyens détaillants en ligne sachent comment éviter que leurs sites soient exploités par des cybercriminels opportunistes pendant la période de pointe des achats. Être victime d'un acte de cybercriminalité peut vous laisser, vous et vos clients, sans le sou et porter atteinte à votre réputation. Il est important de garder les sites Web aussi sûrs que possible et j'invite tous les propriétaires d'entreprises à suivre nos conseils et à s'assurer que leurs logiciels sont à jour », a déclaré Sarah Lyons, directrice adjointe pour l'économie et la société au NCSC.

Il est par ailleurs recommandé d’activer l'authentification multifactorielle sur les comptes du personnel, mais également d’encourager les consommateurs à utiliser des numéros de carte de crédit à usage unique, qui sont disponibles auprès de certaines banques.

Les consommateurs doivent tout autant se méfier

D’ailleurs, les consommateurs doivent, eux aussi, redoubler de vigilance durant la période du Black Friday : en plus du piratage des données et des cartes bancaires, les cybercriminels ont également recours au phishing de manière plus intensive durant cette période.

Omer Dembinsky, de l’entreprise Check Point, fournisseur de solutions en cybersécurité, détaille le procédé des hackers, ainsi que les comportements à adopter pour mieux s’en prémunir : « Les pirates redoublent de stratégie pour attirer les consommateurs dans la fraude par des offres "trop belles pour être vraies", en promettant des rabais importants tels que 80 % ou 85 % de réduction. Leur stratégie consiste à tirer parti de l'excitation du consommateur après avoir vu une réduction spectaculaire. Je recommande vivement aux consommateurs de se méfier de ces offres lorsqu'ils font des achats en ligne. Vous pouvez vous protéger en étant attentif aux domaines similaires, en effectuant vos achats auprès de sources fiables et en repérant les notifications de réinitialisation de mot de passe et autres notifications liées au compte qui montrent une urgence excessive. Ne cliquez pas sur ces liens et, si nécessaire, rendez-vous directement sur le site web et modifiez les détails de votre compte ».

Alors que la cybercriminalité atteint des sommets depuis la pandémie de Covid-19 et le transfert de nombreuses activités en ligne, cette période du Black Friday peut faire craindre le pire…