Shopping en ligne et sécurité : éviter les escroqueries sur Internet

Les e-mails d’hameçonnage, d’attaques informatiques et d’ingénierie sociale se font de plus en plus nombreux. Ce qui était vrai il y a un an, lorsque cet article a été publié pour la première fois, l’est encore aujourd’hui. Il ne se passe guère une semaine sans que les médias ne fassent état d’une nouvelle arnaque. On note également une recrudescence des attaques lors des fêtes de fin d’année, période pendant laquelle le chiffre d’affaires est le plus élevé. La clientèle de Digitec et Galaxus est, elle aussi, régulièrement victime de telles arnaques.

Une bonne raison pour demander à Martin Wrona, notre expert interne en sécurité informatique, des conseils et astuces pour éviter les mauvaises surprises lors de vos achats. En vous arrêtant quelques instants sur les e-mails étranges et en les examinant d’un œil critique, vous avez déjà fait la moitié du chemin.

Martin, à quelles arnaques la clientèle de Galaxus et Digitec est-elle actuellement confrontée ? Sur Internet, les escrocs font preuve de créativité et tentent par tous les moyens de récupérer les données de leurs victimes. Nous recevons toutes et tous des e-mails d’hameçonnage, ou phishing, presque quotidiennement, clamant par exemple qu’il faut renouveler l’abonnement à Netflix ou régler les frais de douane pour que le colis poursuive son chemin. Si l’on n’est pas attentif, on peut rapidement tomber dans les filets des escrocs et leur dévoiler nos identifiants.

Comment reconnaître un e-mail de phishing ?
Il y a souvent des indices très clairs. Je constate toutefois que les e-mails d’escrocs sont de plus en plus sournois. Certains cybercriminels sont de véritables artistes et leurs e-mails sont difficilement reconnaissables.

À quoi faut-il faire attention ?
Pour tous les e-mails, je vous recommande de vous poser les questions suivantes : ai-je un lien avec l’expéditeur ? Si la réponse est non, vous pouvez supprimer l’e-mail sans même l’ouvrir. Deuxièmement, y a-t-il des fautes de frappe, des formulations étranges ou est-ce que quelque chose cloche avec le logo de l’entreprise ? Si c’est le cas, supprimez l’e-mail. Troisièmement, si une pression quelconque est exercée, par exemple en vous menaçant de résilier un contrat en cours, vous pouvez aussi supprimer l’e-mail. Quatrièmement, l’adresse e-mail de l’expéditrice ou de l’expéditeur est-elle masquée ? En survolant l’expéditeur avec la souris ou en cliquant dessus, vous pouvez voir son adresse e-mail. Si quelque chose semble clocher, supprimez l’e-mail. Important : n’ouvrez jamais les pièces jointes ou ne cliquez pas sur les liens contenus dans ces e-mails.

Comment puis-je protéger mon compte Galaxus et/ou Digitec contre l’accès de tiers ?
Les possibilités d’augmenter la sécurité de ses comptes sont nombreuses. Mon premier conseil est d’utiliser un mot de passe unique (en anglais) d’une longueur et d’une complexité suffisantes. Nous recommandons un mot de passe d’au moins dix caractères avec des caractères spéciaux et des lettres majuscules/minuscules. Avec douze caractères ou plus, le mot de passe est encore plus sûr. Et quand je dis « unique », j’entends bien que le mot de passe n’est vraiment utilisé que pour un seul compte. Utiliser la même combinaison d’identifiant et mot de passe pour l’e-banking, le système de réservation du marchand de pneus et la commande chez le marchand de légumes, c’est s’exposer à un risque de fraude inutile.

... même si le mot de passe comporte douze caractères ou plus et combine, conformément aux règles, des lettres majuscules et minuscules, des chiffres et des caractères spéciaux ?
Cela n’a pas d’importance. C’est précisément parce que les combinaisons identifiant et mot de passe sont souvent identiques que le travail des escrocs est facilité. Ils obtiennent les mots de passe par le biais d’e-mails d’hameçonnage ou de logiciels malveillants tels que les virus et les chevaux de Troie. Vous recevez par exemple un mail avec le logo de Digitec ou Galaxus dans lequel vous pouvez lire : « Votre commande est prête, cliquez ici pour la récupérer ». En cliquant dessus, vous accédez à une nouvelle page, généralement bien copiée, du prétendu fournisseur. Une fois les données de connexion saisies, apparaît souvent un message du type « Identifiant ou mot de passe erroné ». En arrière-plan, les données sont toutefois enregistrées par les cybercriminels.

Et comment ces combinaisons identifiant/mot de passe sont-elles mises en circulation ?
Sur Internet, les voleurs vendent des listes de données de connexion à des escrocs qui tentent ensuite de se connecter sur les boutiques en ligne. Les personnes qui utilisent plusieurs fois des combinaisons identifiant/mot de passe sont donc particulièrement vulnérables à la fraude sur Internet.

Et qu’en est-il du deuxième niveau de sécurité comme l’authentification à double facteur, tel que nous le connaissons des prestataires de services financiers ?
Nous recommandons ce que l’on appelle une authentification à double facteur (2FA). Une fois la 2FA activée, vous devez confirmer chaque nouvelle connexion sur votre téléphone portable, par exemple lorsque vous vous connectez pour la première fois sur un nouvel ordinateur portable. Nous attirons l’attention de nos clientes et clients sur notre option 2FA par le biais d’articles rédactionnels et après chaque commande. En effet, le deuxième niveau de sécurité peut empêcher les fraudeurs de se connecter au compte client et de passer des commandes à leur insu. L’idéal est d’activer l’authentification à double facteur sur tous les comptes où elle est proposée.

Pourquoi Galaxus et Digitec n’exigent-ils pas la 2FA par défaut ?
Nous ne voulons pas mettre notre clientèle sous tutelle, même en matière de sécurité. Bien sûr, nous, les spécialistes de la sécurité informatique, nous préférerions voir un grand panneau d’avertissement rouge avec inscrit dessus « Activer la 2FA ». Mais nous ne voulons forcer personne. Notre système de détection des fraudes est efficace et nous le développons en permanence. Mais lorsque les escrocs ont réussi à obtenir les bonnes données de connexion et que la fonction 2FA n’est pas activée, il nous est très difficile de détecter les commandes frauduleuses.

À quoi dois-je faire attention lorsque je fais des achats avec ma carte bancaire ?
Les données des cartes bancaires ne sont pas enregistrées chez nous, mais chez l’entreprise spécialisée Datatrans. Pour la sécurité de notre clientèle, nous exigeons en outre des émetteurs de cartes bancaires la protection 3-D Secure, c’est-à-dire que pour chaque paiement, l’utilisateur ou l’utilisatrice doit fournir une deuxième preuve d’identité, comme pour le 2FA, dès lors que la banque le demande. Par exemple, en entrant un code SMS ou en scannant son empreinte digitale. Nous ne pouvons pas vérifier si toutes les banques exigent bien ce deuxième facteur. Nous vous recommandons donc de n’utiliser pour vos achats en ligne que les cartes bancaires qui déclenchent une demande 3-D Secure.

Quelles mesures de sécurité n’avons-nous pas encore abordées ?
La plupart du temps, il suffit de faire appel à son bon sens et de supprimer immédiatement les e-mails douteux. Par exemple, ces promotions absurdes, qui utilisent des étiquettes de prix tape à l’œil pour attirer les gens, du type « Macbook Pro 2022 pour 1,99 CHF ». Et si, pour des raisons de sécurité, vous supprimez par mégarde un e-mail important, vous pouvez être sûr que l’expéditeur vous contactera à nouveau.

* Cet article a été publié pour la première fois en novembre 2023. Il a été mis à jour et republié à l’approche de la semaine Black Friday et des fêtes de fin d’année.