La période des fêtes approche, et avec elle le Black Friday ; l’occasion pour les Français de se ruer sur les bonnes affaires, et pour les cybercriminels de se faire passer pour des enseignes de e-commerce afin de tromper leurs victimes via des mails d’hameçonnage (« phishing »).

A cette occasion, Proofpoint dévoile les résultats de son étude sur les niveaux de protection cyber des plus grands sites d’e-commerce en France. L’analyse révèle que sur les 50 sites marchands les plus consultés, 58% d’entre eux n’ont toujours pas mis en place de mesures de cybersécurité de base pour lutter contre les attaques par courriel, exposant leurs clients à un risque accru d'attaques par courrier électronique en cette période de fêtes.

La protection DMARC des sites marchands français encore insuffisante

L’analyse menée par Proofpoint se fonde sur l’existence ou non, d’un enregistrement DMARC (pour Domain-based Message Authentication, Reporting & Conformance) par les e-commerçants. DMARC est un standard international qui constitue à ce jour l’une des armes les plus puissantes pour lutter contre une classe d’attaque par courriel très efficace : le domain spoofing (ou usurpation de domaine).

DMARC comporte trois niveaux de traitement des courriels : surveillance, mise en quarantaine et rejet — ce dernier étant le niveau le plus sûr pour empêcher les messages suspects d’atteindre la boîte de réception du destinataire.

D’après l’étude, 58 % des principaux sites marchands en France étudiés n’auraient pas le niveau recommandé de protection DMARC (reject), laissant aux acteurs malveillants l’opportunité d’usurper leur nom de domaine pour escroquer les consommateurs avec de faux courriels, contenant une pièce jointe infectée ou un lien vers une fausse page de paiement par exemple.

Les principales conclusions de l’étude sont les suivantes :

• 90% des principaux sites marchands en France ont publié un enregistrement DMARC de base. Ils sont donc encore 10% à ne pas prendre de mesures pour protéger leurs clients de courriels frauduleux ;

• Seulement 42% d’entre eux ont le niveau de protection DMARC recommandé et le plus strict (reject), indiquant qu’ils sont 58% à ne pas bloquer proactivement les courriels frauduleux destinés à leurs clients.

• On retrouve cette tendance sur les sites de la liste ayant adopté l’extension ‘.fr’ qui représentent plus de la moitié des sites analysés (29 sur 50). Sur les 24 ayant un enregistrement DMARC, seule la moitié est au niveau recommandé (reject)

Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint explique que « Le courrier électronique reste le vecteur le plus courant de compromission de la sécurité informatique, dans tous les secteurs d’activité, mais tout particulièrement dans le commerce électronique lorsqu’il s’agit de cibler des particuliers.

Alors que les fortes périodes de consommation augmentent la surface des attaques, les achats en ligne restent toutefois une menace quotidienne. Chaque jour, des milliers de consommateurs sont la cible de courriels et, de plus en plus, de SMS frauduleux.

A ce titre, DMARC reste la seule technologie ouverte capable de protéger contre l’usurpation de nom de domaine, mais aussi contre le risque d’usurpation d’identité qui en découle. Lorsque DMARC est mis en place en mode “rejet”, un courrier électronique malveillant ne peut pas atteindre la boîte de réception du destinataire. Il est urgent pour les e-commerçants de s’armer, pour que leurs clients puissent effectuer leurs achats en toute sérénité. »

La France, bon élève à l’échelle de l’Europe.

Proofpoint a également analysé les principaux sites de e-commerce de plusieurs pays européens, révélant une tendance similaire à travers l’Europe. En effet, mis à part l’Espagne, dont 65% des sites sont protégés par la protection DMARC (reject) et le Royaume-Uni (53%), et la France (42%) qui se classe ainsi troisième, les résultats des autres pays ne dépassent pas les 40%.

Voici la proportion des principaux sites ayant la meilleure protection DMARC (reject) pour les autres pays européens analysés :

• Royaume-Uni : 53% des sites en mode « reject »
• Italie : 30% des sites en mode « reject »
• NOR : 35% des sites en mode « reject »
• Allemagne : 40% des sites en mode « reject »
• Suisse : 30% des sites en mode « reject »
• Espagne : 65% des sites en mode « reject »
• France : 42% des sites en mode « reject »

Néanmoins, alors que les tentatives de cyberattaques par phishing ont récemment augmenté en France - atteignant 80% l’an dernier selon le rapport State of the Phish de Proofpoint - il est tout de même inquiétant de constater que des acteurs aussi sujets aux risques de fraudes ne protègent pas du tout leurs clients.

Vous trouverez les résultats de cette étude.