Le 12 septembre dernier, Jeff Bezos, le patron d’Amazon, a dû avoir un petit coup de blues. Ce jour-là, le brevet de l’une de ses innovations majeures – l’achat en un clic -, protégé depuis dix-sept ans, est tombé dans le domaine public. Or ce bouton magique, qui rend le shopping sur Internet si diaboliquement facile, a été l’un des principaux moteurs de la croissance turbo du numéro 1 mondial de l’e-commerce. On comprend que Jeff n’ait pas sauté de joie. En réalité, il s’était fait une raison tant cet outil a déjà été largement copié. Notamment en Europe, où les autorités avaient refusé d’enregistrer le brevet Amazon.

Le paiement simplifié ou par abonnement a ainsi conquis des centaines d’e-commerçants, qui y ont vu un bon moyen de doper leurs ventes. Aujourd’hui, on vous le propose pour régler vos achats en ligne mais aussi pour payer vos courses Uber, louer un scooter électrique avec l’appli Cityscoot ou régler votre ticket de stationnement avec PayByPhone. Et les pirates du Web, eux, se frottent les mains. “Avec le 1-Click, il leur suffit de débusquer votre identifiant et votre mot de passe pour usurper votre identité et réaliser des achats frauduleux”, constate Olivier Pantaleo, président de Provadys, une société spécialisée dans la cybersécurité.

Le paiement simplifie exige en effet qu’en amont vous ayez enregistré toutes vos données, dont votre numéro de carte bancaire, une fois pour toutes, sur l’appli ou le site utilisés. “Les pirates ont réalisé que rafler et revendre ces données sur le Dark Net (le Web caché) représentaient un business très juteux”, précise Olivier Pantaleo. Durant les deux dernières années, Yahoo s’est ainsi fait voler plus de 500 millions de comptes clients, LinkedIn 167 millions, Sony 67 millions et Uber 57 millions.

Parmi des dizaines de témoignages recueillis, l’aventure de ce cadre sup, appelons-le Pierre, est pour le moins renversante. En octobre dernier, ce quinqua s’alarme de voir sa facture Uber s’envoler sur son relevé bancaire : 1 000 euros dans le mois ! Il déclenche alors une inspection générale de toutes les courses effectuées par sa famille (ils sont quatre à utiliser la plate-forme de chauffeurs VTC). Et là, stupeur ! “Il y avait plusieurs centaines de courses sur l’année qui ne correspondaient à aucun de nos emplois du temps”, nous raconte-t-il. Montant total du préjudice ? 6.300 euros. Une vraie saignée, mais fractionnée en petites dépenses, pour ne pas attirer l’attention. Pierre est persuadé que son compte Uber a été “vampirisé” par un arnaqueur. Celui-ci l’aurait acheté sur le marché noir du Web, où, après le piratage d’Uber en 2016 (1,4 million de comptes français avaient alors été siphonnés), des fichiers clients se sont retrouvés en vente entre 1 et 5 dollars pièce.

Le plus scandaleux dans l’histoire est que l’entreprise américaine a caché ce vol à ses clients et aux autorités pendant plus d’un an. Elle aurait même versé 100.000 dollars aux pirates de ce casse en ligne afin qu’ils n’ébruitent pas leur coup et s’engagent à détruire les données volées. Les autorités américaines et la Commission nationale de l’informatique et des libertés (Cnil), en France, enquêtent toujours sur le comportement de l’entreprise dans l’affaire. Quant à Pierre, il a pu se faire rembourser par sa banque, tout titulaire d’une carte bancaire étant assuré automatiquement contre les paiements frauduleux. Contactée par Capital au sujet des témoignages similaires qui pullulent sur le Net, Manon, une porte-parole d’Uber, nous a assuré par e-mail que la plate-forme “n’a constaté aucune fraude ni aucun abus lié à cet incident (le piratage de 2016)”, tout en précisant : “Nous surveillons de près les comptes concernés qui bénéficient d’une protection renforcée contre la fraude.”

 

Plus de 75% des sites web sont mal protégés

Au-delà du cas Uber, quelle est l’ampleur réelle de ces arnaques ? Difficile à évaluer. En France, on sait juste que la fraude en ligne sur les cartes bancaires a atteint 266 millions d’euros l’an dernier, selon l’Observatoire de la sécurité des moyens de paiement. Pas vraiment étonnant : “Plus de 75% des sites, et pas seulement ceux des e-commerçants, sont mal protégés face aux attaques, qui sont de plus en plus nombreuses et mieux ciblées”, relève Julie Gommes, consultante au sein d’un groupe américain de cybersécurité. Plus surprenant, la volonté des e-commerçants de maximiser leur chiffre d’affaires, qui expliquerait la vulnérabilité de leurs plates-formes, au grand dam de leurs propres responsables sécurité. “De façon assez franche, certains nous ont confié être impuissants face à l’impératif édicté par leur direction de fluidifier à l’extrême le parcours client, notamment en proposant l’achat en un clic”, remarquent Mathieu Sené et Bertrand Pineau, auteurs du Livre blanc de la Fédération du e-commerce et de la vente à distance (Fevad) sur le sujet.

Même constat pour la (mauvaise) qualité des mots de passe requis. “Cela fait des années que l’on répète aux opérateurs de sites qu’ils doivent contraindre leurs clients à créer des mots de passe plus complexes. Certains opérateurs le font bien sûr, mais beaucoup hésitent encore, craignant que, à chaque niveau de complexité supplémentaire imposé aux internautes, ceux-ci ne leur échappent”, note Julie Gommes. De même, trop d’e-commerçants se montrent réticents à instaurer le système 3D Secure, qui exige la saisie d’un code reçu par SMS pour confirmer un achat en ligne. Une étape qui générerait entre 10 et 15% d’abandons.

L’arme d’Amazon contre les fraudes : le scoring

“Fluidifier la vente tout en sécurisant son paiement est un équilibre délicat à trouver”, concède François Lecomte-vagniez, fondateur de la société de conseil spécialisé Lobary. Le plus gros site marchand de la planète, encore lui, semble l’avoir trouvé. “Pour adapter au mieux le niveau de sécurité au type de transaction, Amazon a mis en place un système de “scoring” ultrasophistiqué”, précise notre consultant.

Destinée à l’origine à mieux connaître les clients et leurs goûts, la technologie du scoring permet aussi d’analyser en temps réel les transactions et leurs risques. Le client est-il connu du site ? Utilise-t-il son ordinateur habituel ? veut-il être livré à son domicile ? Si oui, le paiement en un clic est validé. A l’inverse, si la commande est passée à partir d’un ordinateur différent et que la livraison est demandée dans un point-relais loin du lieu de résidence, la méfiance s’impose. Le site vous demandera alors une authentification via le système 3D Secure (avec envoi de code sur smartphone). Pas de confirmation de votre part, pas de validation de votre achat et donc pas de livraison.

Empreinte digitale, reconnaissance faciale…

La bonne nouvelle, c’est que les marchands du Web vont pouvoir recourir à d’autres technologies de sécurisation , à la fois plus rapides et plus sûres. “D’ici peu, vous serez identifiés grâce à l’intelligence artificielle et à la biométrie”, assure François Lecomte-vagniez. En fait, c’est déjà le cas. Vous déverrouillez votre smartphone en appuyant simplement dessus avec votre doigt ? C’est de la biométrie. Or il n’y a qu’une chance sur 64 milliards pour que deux individus aient les mêmes empreintes. Autant dire que le risque d’usurpation est très faible. C’est pourquoi des banques comme ING proposent sur leurs applis une identification par empreinte digitale.

Pour 10 euros par an, La Banque postale vous invite, quant à elle, de troquer votre mot de passe contre une reconnaissance vocale. L’étape suivante ? Probablement la reconnaissance faciale. A Shanghai, le géant chinois Alibaba teste un logiciel baptisé Smile to pay qui permet de payer… en souriant. Enfin, l’entrée en vigueur en mai prochain du règlement général sur la protection des données (RGPD) devrait accélérer la protection des données personnelles des internautes. Les entreprises auront notamment l’obligation de signaler toutes les attaques aux autorités et à leurs clients. Avec des sanctions accrues contre celles qui n’auraient pas assez protégé ces données, l’amende pouvant atteindre 4% du chiffre d’affaires mondial. “Face aux dirigeants d’entreprise, je commence toujours par évoquer les conséquences financières d’un éventuel laxisme, et ça fait mouche”, souligne Olivier Pantaleo (Provadys). Comme quoi, même en matière de cybersécurité, rien ne vaut la vieille technique du bâton.

 

Comment Uber s’est fait pirater les données de 57 millions de clients

  • 1. Pour utiliser l’appli Uber, il suffit d’entrer une fois pour toutes ses coordonnées : adresse, identifiant, mot de passe et numéro de carte bancaire. Cela permet un paiement simplifié, dont le 1-Click est la variante la plus connue.
  • 2. Ces données personnelles stratégiques sont stockées par le site. Censées être protégées, elles sont devenues l’une des cibles préférées des pirates du Web, qui cherchent à s’en emparer pour les revendre ou exercer un chantage à l’encontre du site.
  • 3. En 2016, Uber a été victime d’un piratage massif : les données de 57 millions de ses utilisateurs (dont 1,4 million de Français) ont été volées. Le groupe ne le dévoilera pourtant au public qu’en novembre 2017. Il aurait payé 100.000 dollars aux pirates pour qu’ils n’ébruitent pas leur coup et détruisent les données. Les autorités américaines et la Cnil, en France, enquêtent sur le comportement de l’entreprise.
  • 4. Une partie des comptes piratés se sont retrouvés en vente sur le Dark Net, où des petits malins indélicats pouvaient les acheter entre 1 et 5 dollars pièce. Uber n’a pas été la seule victime. Des milliers de comptes LinkedIn ont aussi subi le même sort. Selon un expert, deux ans après, quatre utilisateurs de LinkedIn sur dix n’ont pas changé leur mot de passe.
  • 5. Une fois en possession du numéro de téléphone, de l’identifiant et du mot de passe d’un utilisateur, un escroc peut commander un Uber en se faisant passer pour sa victime.
  • 6. Le chauffeur n’a aucun moyen de savoir qu’il a embarqué un usurpateur à bord. Il effectue la course qui sera débitée automatiquement sur le compte du client. Uber assure n’avoir constaté aucune fraude ni abus lié au piratage massif de 2016, mais va renforcer sa sécurité et ses contrôles.

Avec capital