Dans les coulisses
4331

Sécurité des achats en ligne : deux précautions valent mieux qu’une

Tobias Billeter
2/11/2022

Smartphone, autocuiseur ou chaussettes : vous avez commandé, payé avec votre carte de crédit et reçu vos achats dans votre boîte aux lettres. Mais que faire lorsque six ordinateurs que vous n’avez jamais commandés sont mentionnés sur le relevé de carte de crédit ? Deux de nos spécialistes en sécurité informatique expliquent comment fonctionne le shopping en ligne sécurisé et ce que vous pouvez faire pour contribuer à la sécurité.

Rendre la vie dure aux fraudeurs et aux pirates informatiques afin de protéger les comptes des clients contre les accès non autorisés, tel est le travail de Martin Wrona, Security Software Engineer, et de Christian Margadant, Head of Engineering. Dans une interview avec Sharon Zucker, ils expliquent ce que les client·e·s peuvent et doivent faire pour acheter en toute sécurité sur Internet avec leurs cartes de crédit.

Salut Martin, salut Christian. Dans quelle mesure les données des clientes et clients de Digitec Galaxus sont-elles sécurisées lorsqu’iels paient par carte de crédit ?

Martin : nous n’avons pas de données de carte de crédit en notre possession. Comme pour presque tous les moyens de paiement, nous faisons appel à un partenaire de renom qui gère les paiements pour nous. Nous n’entrons donc jamais en contact avec les données de carte de crédit.

**Et qui s’occupe de la sécurité des achats par carte de crédit ? **

Chris : pour la sécurité de nos clientes et clients, nous exigeons de la banque qui émet la carte de crédit une obligation dite 3-D Secure. Pour chaque accès, chaque paiement, l’utilisateur doit donc en théorie fournir une deuxième preuve d’identité, ce que l’on appelle un deuxième facteur, que la banque lui demande de fournir. Par exemple, en entrant un code SMS ou en scannant son empreinte digitale.

**Que signifie « en théorie » ? **

Martin : nous ne pouvons pas vérifier si toutes les banques exigent ce deuxième facteur. Lors de la dernière vague de fraudes, nous avons malheureusement dû constater que certaines banques ne remplissent pas ou pas toujours leur obligation. La responsabilité en cas de paiement frauduleux par carte de crédit incombe alors à la banque. Celle-ci peut toutefois la céder au client ou à la cliente.

De gauche à droite : Chris Margadant et Martin Wrona en conversation avec Sharon Zucker
De gauche à droite : Chris Margadant et Martin Wrona en conversation avec Sharon Zucker

**Mais comment les criminels parviennent-ils à commander quelque chose via un compte client·e et à payer par carte de crédit ? **

Martin : de nombreux clients utilisent plusieurs fois la même combinaison pour le login et le mot de passe, par exemple le login identique pour le compte e-mail, l’e-banking et le formulaire de commande chez le fournisseur de boissons local. Si les cybercriminels volent toutes les données de clients d’un distributeur de boissons par exemple, ils connaissent automatiquement les identifiants de divers autres prestataires de services du client. Et c’est là que réside le problème. De telles listes d’identifiants et de mots de passe sont vendues sur Internet et utilisées en cas de fraude. Ceux qui utilisent toujours la même combinaison sont exposés à la fraude.

Chris : souvent, les combinaisons login/mot de passe sont également obtenues par le biais d’e-mails d’hameçonnage privés ou de logiciels malveillants. Par exemple, un escroc crée un e-mail avec le logo de Digitec ou Galaxus et écrit : « Votre commande est prête, cliquez ici pour la retirer ». En cliquant dessus, on accède à une nouvelle page, généralement bien copiée, du prétendu fournisseur. Si l’on révèle alors ses données de connexion, le message « Login et mot de passe erronés » apparaît souvent. En arrière-plan, les données sont toutefois enregistrées par les criminels.
C’est pourquoi nous recommandons de toujours activer le deuxième facteur dans le compte client·e, ce que l’on appelle l’authentification multifacteur (AMF). En faisant cela, on peut empêcher des pirates informatiques avertis de se connecter au compte client·e et de passer une commande.

**Deux niveaux de sécurité sur le compte client·e et sur la carte de crédit. N’est-ce pas un peu paranoïaque et exagéré ? **

Chris : c'est définitivement plus sûr. Si vous recevez par exemple un crédit de Digitec ou Galaxus, vous n’avez plus de banque entre les deux qui demande le deuxième facteur lors d’une commande. Ainsi, si quelqu’un connaît ou a volé votre login et votre mot de passe, il peut utiliser votre crédit et acheter ce qu’il veut. Généralement, les criminels achètent ensuite des cartes cadeaux numériques, par exemple celles d’Apple. En effet, il faudrait se faire envoyer un iPhone ou une console de jeu à une adresse physique. Les crédits numériques, en revanche, fonctionnent avec des codes que l’on peut revendre sans problème sur Internet.

Martin : chez Digitec Galaxus, on peut activer ce deuxième facteur en option. Il est ainsi presque impossible pour des personnes non autorisées d’accéder à votre compte client·e. Les criminels devraient avoir accès simultanément au compte client·e et au téléphone portable. En outre, en cas de tentative de connexion suspecte, nous envoyons aux client·e·s un mot de passe OneTime par e-mail afin de nous assurer qu’il s’agit bien du titulaire du compte.

**Pourquoi demandons-nous à nos client·e·s d’activer un niveau de sécurité supplémentaire uniquement en option ? **

Chris : pour les clientes et les clients, AMF est un obstacle supplémentaire lors du processus de commande. Certain·e·s sont découragé·e·s par cet obstacle, d’autres le considèrent comme une mise sous tutelle. Bien sûr, nous, au département de sécurité informatique, nous préférerions avoir un grand panneau d’avertissement rouge clignotant invitant à : « Activer AMF ». Mais nous ne pouvons et ne voulons forcer personne à le faire. Notre système de détection des fraudes est efficace et nous le développons en permanence. Mais il est également clair que chaque niveau de protection supplémentaire aide à lutter contre l’usage abusif de données. Ici, une double protection est effectivement un plus.

**Quelle est la chose la plus importante à faire en tant que client·e ? **

Martin : utiliser impérativement un mot de passe unique (en anglais) avec une longueur et une complexité suffisantes. Nous recommandons un mot de passe d’au moins dix caractères avec des caractères spéciaux et des lettres majuscules/minuscules pour le login. Encore mieux, 12 caractères ou plus.

**La plupart des services de commande en ligne posent à un moment donné la question suivante : « Voulez-vous enregistrer votre mot de passe pour ce site Internet ? Faut-il le faire ? **

Martin : la sécurité du mot de passe dépend de l’appareil lui-même. Si un logiciel malveillant est installé sur l’appareil, il « sait » quel mot de passe a été enregistré pour quel site Internet, ce qui peut bien sûr être volé. Cela signifie qu’il faut absolument tenir à jour le système d’exploitation et la protection antivirus. Personnellement, je n’enregistre jamais les mots de passe de toute façon.
Chris : moi, oui. Pas pour tous les sites, mais pour certains. Partout où je dépose un moyen de paiement, par exemple pour la banque en ligne, j’ai configuré AMF. Et je n’y enregistre pas non plus mon mot de passe.

**Les nombreux mots de passe agacent... c'est pourquoi on n’en a souvent que deux ou trois et sous une forme modifiée. Faut-il vraiment avoir un mot de passe séparé pour chaque chose ? **

Chris : on augmente automatiquement la sécurité si on a un mot de passe séparé pour tout.

Martin : si c’est trop compliqué, on peut utiliser un gestionnaire de mots de passe.

Chaque obstacle supplémentaire permet d’éviter les abus à son propre compte client·e.
Chris Margadant

**En résumé, on peut donc dire que les données et la sécurité pour la carte de crédit sont du ressort de la banque, la sécurité de la connexion incombe au client ou à la cliente. Pour que personne ne commande à mes frais six ordinateurs à une adresse inconnue, je dois garder les yeux ouverts. **

Martin : c’est vrai. Même si nous avons ici chez Digitec Galaxus de très bonnes mesures de protection techniques qui détectent les tentatives d’escroquerie, chaque obstacle supplémentaire aide à empêcher l’utilisation abusive du compte client·e.

Chris : nous souhaitons sensibiliser les gens et ainsi inciter le plus grand nombre à activer l’AMF et à surmonter les appréhensions.

**Espérons que de très nombreuses personnes liront cette interview afin de surmonter leurs appréhensions vis-à-vis de l’AMF. Comment et où peut-on activer AMF chez Digitec Galaxus ? **

Martin : on peut activer l’AMF dans les paramètres de son compte client·e sous « Mot de passe et sécurité », cliquer ensuite sur « Activer l’authentification à deux facteurs » et c’est parti pour la configuration.

Chris : ce n’est vraiment pas compliqué et c’est même faisable pour les personnes qui ne s’occupent pas d’informatique au quotidien.

Cet article plaît à 43 personne(s)

User Avatar
User Avatar
Tobias Billeter
Head of Corporate Communications
Tobias.Billeter@digitecgalaxus.ch

Mon travail, c’est de m'assurer que les employés et les journalistes sont au courant de ce qui se passe chez Digitec Galaxus. Cela dit, rien ne fonctionne sans un grand bol d'air frais et une bonne dose d’activité physique. Je recharge mes batteries dans la nature pour rester à jour et je trouve la sérénité nécessaire pour apprivoiser mes enfants en écoutant du jazz. 

Tech
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

Ces articles pourraient aussi vous intéresser

  • Dans les coulisses

    « Juste rapide : bon marché, l’abo Internet de Galaxus va à l’essentiel »

    par Martin Jungfer

  • Dans les coulisses

    Les fêtes de fin d’année sont une aubaine pour les escrocs en ligne

    par Tobias Heller

  • Dans les coulisses

    Boutiques Digitec : pourquoi nous existons aussi hors ligne

    par Stephan Kurmann

31 commentaires

Avatar
later