A l’approche du Black Friday et de Noël, on peut se réjouir que le site e-marchand AliExpress ait patché une importante faille de sécurité – il lui aura fallu deux jours pour cela. Mais on peut se poser de façon plus large la quesion de la sécurité des sites d’e-commerce.
C’est Check Point qui a découvert le pot aux roses : une faille de sécurité dans le site marchand AliExpress, qui fait partie du groupe AliBaba. Avec plus de 100 millions de clients et 23 milliards de dollars de revenu, AliExpress est un des sites de shopping les plus populaires au monde. La vulnérabilité découverte permet aux hackers de cibler les utilisateurs d’AliExpress en leur envoyant un mail de phishing avec un lien vers une page AliExpress contenant un code malicieux Javascript. “Quand la personne ouvre la page, le code s’exécute dans le moteur de recherche, et contourne les protections contre les attaques du type cross-site Scripting, en utilisant une vulnérabilité dite open redirect”, explique l’éditeur en cybersécurité. Une fois sur la page malicieuse, l’utilisateur ne se rend compte de rien et continue de faire son shopping. Le hacker va ensuite déclencher une fenêtre pop-up, offrant une réduction, et lui demandant de rentrer ses codes de carte bancaire.
L’éditeur a mis en ligne une vidéo sur YouTube pour expliquer le fonctionnement de l’arnaque :
Selon Threatmetrix, 50 millions d’attaques sont attendues au niveau mondial pendant les journées du Black Friday. Plus inquiétant, si l’on se réfère cette fois-ci à la dernière étude de Radware, réalisée par Ponemon Research sur la compromission des données, 30 % des responsables de la sécurité des détaillants interrogés laissent entendre qu’ils peinent à protéger correctement leurs données sensibles au cours des périodes du Black Friday et du Cyber Monday. Une partie des clients en ligne n’est d’ailleurs pas naïve à ce sujet. 21 % des consommateurs, à lire une étude Gemalto publiée en janvier dernier, pensent que la cybercriminalité augmente beaucoup pendant les périodes du Black Friday et de Noël – ce qui ne les empêchent pas de continuer à faire leurs achats sur Internet, d’ailleurs en augmentation sur ces périodes. Fatalistes, ou réalistes, ils sont 6 sur 10 à être persuadés qu’ils seront victimes d’une attaque à un moment ou à un autre. Mais, avis aux retailers, la majorité d’entre eux, 6 sur 10 également, prétendent qu’ils cesseraient d’utiliser un site de vente en ligne s’il venait à subir une brèche.