Achat en ligne: les risques restent importants

Thibaud Vadjoux

— 

La cybercriminalité - les escroqueries et abus de confiance sur Internet - progressent fortement, comme en témoignent les professionnels de la sécurité sur Internet et la police. Pourtant aucune statistique fiable n'est disponible sur ce phénomène. Le ministère de l'Intérieur a rendu public, lundi 19 janvier, le bilan 2008 sur la délinquance mais la montée en puissance des attaques des pirates demeure inchiffrable. La faute à un outil "statistique obsolète", explique un responsable de l'Observatoire National de la Délinquance (OND).

Une estimation grossière est cependant possible. Les actes malveillants sur Internet sont regroupées au sein de la catégorie "escroqueries économiques et abus de confiance". Ces derniers ont explosé en 2008. Selon l'OND, les escroqueries économiques ont augmenté de 20%, soit la plus forte progression de tous les chiffres de la délinquance en 2008. 214.402 actes ont été recensés. Sur cinq ans, cet indice a augmenté de 47%. Il est donc possible d'imaginer un effet cybercriminalité sur cette flambée récente. "La diffusion du haut-débit a permis d'augmenter le temps passé et les activités sur Internet mais aussi le nombre de victimes potentielles", explique Pascal Lointier, président du Clusif, club de la sécurité de l'information sur Internet, qui a vient de dresser un panorama de la sécurité sur le Net en 2008.

L'association souligne les défaillances sur les achats en ligne alors que ceux-ci ont explosé. "En règle générale, la conservation des données personnelles (mot de passe, identifiant et numéro de cartes bleue) pose problème. Les sites de e-commerce demandent aux clients de s'identifier à l'aide d'un mot de passe et d'un identifiant sur une page non sécurisée. Seule la transaction est protégée (visible grâce au code "https" ou au cadenas apparaissant en logo). Si on peut encore faire confiance à la protection "https" qui utilise le certificat MD5 et même s'il a déjà été cassé, il n'est pas normal que la demande d'information personnelle ne soit pas sécurisée", poursuit Pascal Lointier. Les pirates peuvent recueillir ces données personnelles non sécurisées assez facilement.

De plus, un client d'un site de e-commerce ne connait pas la destination des ces données bancaires. "Elles peuvent très bien être détruites, conservées, ou sous-traitées. Le client ne dispose d'aucune visibilité sur les pratiques du commerçant car aucun standard ou règle n'existe", ajoute t-il.

Aux Etats-Unis, en mars, la chaîne de supermarché Hannaford a ainsi découvert une fraude aux cartes bancaires. 4,2 millions de références ont été piratées (numéro de la carte, date d’expiration) après l'intrusion des pirates dans des serveurs situés outre-Atlantique.

Les fraudes sur Internet ont créé un marché si lucratif que la vente des services des pirates est devenue très accessible. A Hambourg, un journaliste allemand a réussi à marchander avec des pirates la vente de plus de 21 millions de références bancaires pour 12 millions d'euros.

La revente à des tiers de services de piratages est devenue si fréquente que les prix ont beaucoup baissé sur ce marché noir. "Des cartes bleues peuvent être achetée pour une poignée d'euros sur des sites en ligne. Des sites russes proposent également aux Internautes leurs services pour 80 dollars par jour. Ils sabotent un site internet concurrent (virus, spam, saturation du serveur…) ou peuvent faire échouer une enchère Ebay à la dernière minute pour ne faire profiter que la dernière enchère, celle de leur client complice.

Les banques sont "très vigilantes et réactives au piratage", estime P. Lointier. Les défaillances proviennent, selon lui, soit du manque de vigilance des Internautes soit du manque de sécurité des sites en ligne.