logo kiwik

Blog-Kiwik

le blog Kiwik avec des vraies pépites d’actu dedans !

Vous avez un projet e-commerce génial ?

Contactez-nous

tel kiwik

Catégories: Non classé

Mieux comprendre les cyberattaques, un sujet critique

Le marché français de l’e-commerce est florissant, avec l’ouverture de 10 000 nouvelles boutiques en 2022, portant à 207 000 le nombre de sites marchands actifs en France. Cette croissance s’explique en partie par les suites de la pandémie du COVID durant laquelle les commerçants se sont massivement tournés vers la vente en ligne, mais surtout par l’évolution du comportement des acheteurs, notamment les plus jeunes.

Malheureusement, cet essor va de pair avec celui de la cybercriminalité, qui dit plus de sites ouverts… dit plus de proies faciles à disposition.

En plus de provoquer du stress et des dommages financiers préjudiciables à votre entreprise, de par la potentielle perte de chiffre d’affaire assorti d’un coût conséquent pour réparer les dégâts (sans compter le temps passé à le faire), un piratage induirait une perte de confiance plus ou moins irrémédiable chez vos clients, qui n’hésiteront pas à se tourner vers un concurrent qu’ils jugeront plus sûr.

Les TPE/PME constituent une cible de choix pour les cybercriminels, ces dernières possédant en général peu de ressources dédiées à la protection de leurs systèmes.

Selon une étude menée par le Prestashop Million Club en septembre 2022, 41% des e-commerçants sondés auraient été victimes d’une cyberattaque en 2021, avec des attaques prenant principalement la forme de robots malveillants (43%), d’attaques DDoS (33%) ou d’injections SQL (30%). Qu’est-ce que c’est que tout ça ? Pas de panique, nous vous expliquons les méthodes d’attaque les plus communes !

Quelques attaques communes

Commençons avec l’injection de code SQL (pour Structured Query Language, utilisé pour gérer les bases de données) dans des champs de formulaires ou des URL non sécurisés. L’objectif ? Contourner les contrôles de sécurité dans le but de gagner accès à une base de données et à ce qu’elle contient, ce qui inclut données personnelles, mots de passe… ou encore coordonnées bancaires.

Passons maintenant au Cross Site Scripting (ou XSS). Similaire aux attaques par injection SQL, le cross-site scripting exploite les failles d’un site pour y injecter du code malveillant, par exemple en HTML, JavaScript ou tout autre langage que saura interpréter le navigateur. Ce type d’attaque, plutôt que de viser l’accès à une base de données, prend l’utilisateur qui ne se doute de rien comme cible: redirections vers des pages malveillantes, vol de données de session permettant au pirate d’accéder aux comptes de la victime sans même connaître ses identifiants, enregistrement des touches du clavier… Ce type d’attaque peut également laisser grande ouverte une porte pour laisser entrer d’autres programmes malveillants sur la machine de la victime.

La plus opportuniste ? La voici, l’attaque par Brute force. Elle consiste à tenter de “craquer” un mot de passe en testant des combinaisons les unes après les autres, ou en utilisant un robot-dictionnaire. Une méthode qui paraît grossière mais pas si inefficace puisque de nombreux utilisateurs peu imaginatifs utilisent “123456” ou “azerty” comme mot de passe… (si c’est votre cas, ne facilitez pas la vie des cybercriminels et changez-le très vite ! )

La plus sournoise, le skimmer. Le fléau des skimmers, ces dispositifs frauduleux clandestinement installés sur des distributeurs de billets et autres terminaux de paiement afin de dupliquer les cartes bancaires et récupérer les codes PIN des usagers de la machine, est aussi une menace sur le Web. À l’instar des skimmers physiques, les skimmers Web interceptent les données bancaires des clients d’un site vulnérable victime d’une injection de code malveillant: les utilisateurs du site pensent se trouver devant une page de paiement légitime et ne se doutent de rien. Ce genre d’attaque est dévastateur pour le propriétaire du site marchand qui ne reçoit plus de paiement pour ses commandes, ainsi que pour le client qui voit ses données aspirées.

Terminons avec le “Denial of Service”, (DoS) ou attaque par déni de service. Ce type d’attaque consiste à rendre un système inaccessible en le surchargeant de requêtes pour le saturer. Similaires, les attaques de type “Distributed Denial of Service” (DDoS), ou déni de service distribué, recourant à un réseau d’ordinateurs “zombies” déjà infectés par les cybercriminels afin de s’en servir pour étouffer un système avec plus de requêtes qu’il ne peut en supporter.

Mais ça n’est pas très rassurant tout ça !

Tomber entre les mains d’un cybercriminel est la hantise de tous les commerçants en ligne.  Cependant, soyez rassurés: ce n’est pas une fatalité, il existe quelques moyens, du simple au complexe, de se prémunir contre nombre d’attaques, et nous sommes en première ligne pour y faire face !

Dans un prochain article, nous partagerons un retour d’expérience sur un cas de piratage, de la réponse apportée à l’accompagnement du client impacté.

Étude Prestashop Million Club: https://www.globalsecuritymag.fr/Etude-PrestaShop-Million-Club-Pres,20221014,131166.html