Faire ses achats en ligne en toute sécurité ; ne pas tomber dans le filet des escrocs
En coulisse

Faire ses achats en ligne en toute sécurité ; ne pas tomber dans le filet des escrocs

Traduction: Anne Chapuis

Les achats sur Internet sont en plein essor. En parallèle, une armée de cybercriminel·les se met en place pour arnaquer les acheteur·rices crédules. Notre spécialiste en sécurité Martin Wrona vous explique comment vous protéger au mieux des escrocs sur Internet.

Le flot d’e-mails d’hameçonnage, d’attaques informatiques et d’ingénierie sociale ne cesse de grandir. L’année dernière, l’Office fédéral de la statistique a fait état d’un peu plus de 33 000 infractions commises, soit 10 % de plus que l’année précédente. C’est justement pendant les mois où le chiffre d’affaires est le plus élevé que les pirates informatiques sévissent de plus en plus. Parmi les personnes lésées, on trouve régulièrement des client·es de Digitec et Galaxus.
Une bonne raison pour demander à Martin Wrona, notre expert interne en sécurité informatique, des conseils et astuces pour éviter les mauvaises surprises lors de vos achats. En vous arrêtant quelques instants sur les e-mails étranges et en les examinant d’un œil critique, vous avez déjà fait la moitié du chemin.

**Martin, à quelles arnaques les clients·es de Galaxus et Digitec sont-iels actuellement confronté·es ? **
Les escrocs sur Internet font preuve de créativité et tentent par tous les moyens de récupérer les données des client·es. Actuellement, les courriels dits d’hameçonnage, que chacun·e d’entre nous reçoit quotidiennement dans sa boîte mail, sont très en vogue. Par exemple, un message indiquant que l’abonnement Netflix doit être renouvelé ou que les douanes ne peuvent pas poursuivre l’envoi du colis tant que les frais de douane n’ont pas été réglés. Si l’on n’est pas attentif·ve, on peut tomber dans le filet des « hameçonneur·euses » et divulguer ses données.

Comment, en tant que profane, puis-je reconnaître un e-mail de phishing ?
Dans de nombreux cas, il existe des indices clairs. Je constate toutefois que les e-mails dont l’expéditeur·rice est falsifié·e sont de plus en plus perfides. Certain·es cybercriminel·les sont de véritables artistes : leur courrier toxique n’est reconnaissable qu’au deuxième coup d’œil.

À quoi dois-je faire attention ?
Pour tous les e-mails, posez-vous les questions suivantes :

  1. Ai-je quelque chose à voir avec l’expéditeur·rice ? Si la réponse est non, placez l’e-mail dans la corbeille sans l’ouvrir.
  2. Est-ce que je vois des fautes de frappe, des formulations étranges ou quelque chose qui ne va pas avec le logo de l’entreprise de l’expéditeur·rice dans le texte de l’e-mail ? Si c’est le cas, supprimer l’e-mail.
  3. Si une pression quelconque est exercée, par exemple en menaçant de résilier un contrat en cours, vous pouvez aussi supprimer l’e-mail.
  4. L’expéditeur·rice dissimule-t-iel son adresse électronique ? Si vous passez le curseur de la souris sur le nom de l’expéditeur·rice ou cliquez sur ce dernier, vous voyez l’adresse réelle de l’expéditeur·rice. S’il y a quelque chose d’étrange, le message doit être placé dans la corbeille. Important : n’ouvrez pas les pièces jointes ou ne cliquez pas sur les liens présents dans ces e-mails en question.

Comment puis-je protéger mon compte Galaxus et/ou Digitec contre l’accès de tiers ?
Il existe plusieurs possibilités permettant à chacun·e d’augmenter de manière significative la sécurité de ses comptes. Le conseil le plus important : utilisez impérativement un mot de passe unique suffisamment long et suffisamment complexe. Nous recommandons un mot de passe d’au moins dix caractères avec des caractères spéciaux et des lettres majuscules/minuscules pour l’identifiant. Douze caractères ou plus seraient encore mieux. Et quand je dis « unique », cela signifie que le mot de passe n’est vraiment utilisé qu’une seule fois. Utiliser la même combinaison identifiant/mot de passe pour l’e-banking, le système de réservation du vendeur de pneus et la commande chez le marchand de légumes, c’est s’exposer à un risque de fraude inutile.

... même si le mot de passe comporte douze caractères ou plus et combine, conformément aux règles, des lettres majuscules et minuscules, des chiffres et des caractères spéciaux ?
Cela n’a pas d’importance. C’est précisément parce que les combinaisons identifiant/mot de passe sont souvent identiques que les escrocs ont la partie facile. Les mots de passe sont obtenus par le biais d’e-mails d’hameçonnage ou de logiciels malveillants tels que les virus et les chevaux de Troie. Par exemple, on reçoit un mail avec le logo de Digitec ou Galaxus et on peut y lire : « Votre commande est prête, cliquez ici pour la récupérer ». En cliquant dessus, on accède à une nouvelle page, généralement bien copiée, du prétendu fournisseur. Si l’on révèle alors ses données de connexion, le message « Login et mot de passe erronés » apparaît souvent. En arrière-plan, les données sont toutefois enregistrées par les criminel·les.

Et comment ces combinaisons identifiant/mot de passe sont-elles mises en circulation ?
Sur Internet, les criminel·les vendent des listes de combinaisons identifiant/mot de passe volées à des escrocs qui tentent de se connecter à des boutiques en ligne courantes. Les personnes qui utilisent plusieurs fois les mêmes combinaisons identifiant/mot de passe sont donc particulièrement vulnérables à la fraude sur Internet.

Et qu’en est-il du deuxième niveau de sécurité comme l’authentification à deux facteurs, telle que nous la connaissons des prestataires de services financiers ?
Nous recommandons ce que l’on appelle l’authentification à deux facteurs (2FA). Avec cette dernière, nous demandons une confirmation via téléphone portable à chaque nouvelle connexion, par exemple lorsque l’on se connecte pour la première fois avec son nouvel ordinateur portable. Nous attirons l’attention de nos clientes et clients sur notre option 2FA par le biais d’articles rédactionnels et après chaque commande. En effet, le deuxième niveau de sécurité peut empêcher les fraudeur·euses de se connecter au compte client·e et de passer des commandes à leur insu.

Pourquoi Galaxus et Digitec n’exigent-ils pas la 2FA par défaut ? En d’autres termes : pourquoi la mesure de sécurité est-elle optionnelle ?
Nous ne voulons pas mettre nos client·es sous tutelle, même en matière de sécurité. Bien sûr, nous, les spécialistes de la sécurité informatique, nous préférerions voir un grand panneau d’avertissement rouge avec : « Activer la 2FA ». Mais nous ne voulons forcer personne. Notre système de détection des fraudes est efficace et nous le développons en permanence. Mais si les escrocs ont réussi à obtenir un identifiant et un mot de passe valables sur l’ordinateur de la victime et que la fonction 2FA n’est pas activée, il nous est très difficile de détecter les commandes frauduleuses.

À quoi dois-je faire attention lorsque je fais des achats avec ma carte de crédit ?
Nous n’enregistrons pas les données des cartes de crédit : c’est l’entreprise spécialisée Datatrans qui effectue les paiements pour nous. Pour la sécurité de nos clientes et clients, nous exigeons en outre des émetteurs de cartes de crédit une obligation dite 3-D Secure : pour chaque accès, chaque paiement, l’utilisateur·rice doit fournir, comme pour la 2FA, une deuxième preuve d’identité, un « deuxième facteur », demandé par la banque. Par exemple, en entrant un code SMS ou en scannant son empreinte digitale. Nous ne pouvons pas vérifier si toutes les banques exigent ce deuxième facteur. C’est pourquoi nous recommandons à nos client·es de n’utiliser pour leurs achats en ligne que les cartes de crédit qui déclenchent une demande 3-D Secure.

Et quelle mesure de sécurité n’avons-nous pas encore abordée ?
La plupart du temps, il suffit de faire appel à son bon sens et de supprimer immédiatement les e-mails douteux. Par exemple, ces promotions absurdes, qui attirent les gens avec une étiquette de prix lumineuse : « Macbook Pro 2022 pour 1,99 CHF ». Et si, pour des raisons de sécurité, on supprime par mégarde un e-mail important, on peut être sûr que l’expéditeur·rice nous recontactera.

Cet article plaît à 127 personne(s)


User Avatar
User Avatar
Tobias Billeter
Head of Corporate Communications
tobias.billeter@digitecgalaxus.ch

Mon travail, c’est de m'assurer que les employés et les journalistes sont au courant de ce qui se passe chez Digitec Galaxus. Cela dit, rien ne fonctionne sans un grand bol d'air frais et une bonne dose d’activité physique. Je recharge mes batteries dans la nature pour rester à jour et je trouve la sérénité nécessaire pour apprivoiser mes enfants en écoutant du jazz. 


Sécurité
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

Ces articles pourraient aussi vous intéresser

Commentaire(s)

Avatar