Pourquoi utilisons-nous des cookies? Nous utilisons des cookies propres et des cookies tiers pour améliorer la qualité de la navigation, personnaliser les contenus, développer des statistiques, diffuser des annonces adaptées à vos préférences et faciliter votre interaction avec vos réseaux sociaux. Pour ce faire, nous traitons des données personnelles telles que, par exemple, vos données de navigation. Si vous continuez à naviguer sur notre site, vous acceptez nos cookies. Si vous souhaitez obtenir des informations supplémentaires sur notre politique de cookies ou annuler tous ou partie des cookies, cliquez ici

Achats en ligne

Failles de sécurité dans 55 % des boutiques en ligne

24 oct. 2018

La sécurité des boutiques en ligne doit être améliorée : 55 boutiques en ligne  sur les 100 inspectées par Test Achats présentent des failles de sécurité. Une boutique sur quatre présente des problèmes graves à très graves. Un résultat inquiétant et décevant, sachant que l'organisation de consommateurs tirait déjà la sonnette d’alarme en 2015, suite à un test dont les résultats étaient similaires. Test Achats souligne l'importance d'une "politique de divulgation responsable" qui permettrait aux hackers éthiques de signaler plus facilement les problèmes de sécurité.

100 boutiques en ligne testées, dont 55 mal sécurisées

La sécurité à 100 % n'existe pas, mais vous êtes en droit d’attendre des principales boutiques en ligne qu’elles disposent d’une bonne protection de base. Test Achats a donc commencé par vérifier si la porte était correctement fermée dans une sélection de 100 boutiques populaires, sur base du top 100 de BeShopping et de sa propre évaluation des magasins en ligne. Les problèmes de sécurité ont été détectés à partir d'une liste des dix failles les plus courantes (le top 10 de l'OWASP). Sur les 100 boutiques en ligne testées, 55 ont présenté des problèmes, dont 25 cas de failles graves comme la possibilité de prendre le contrôle des sessions des utilisateurs ou administrateurs, ou de modifier le site grâce au phishing.

Inacceptable
En raison de leur manque de sécurité, les boutiques en ligne offrent aux cybercriminels la possibilité de piéger les consommateurs. Par exemple, si un pirate exploite une faille permettant de modifier le site web d’une boutique, il peut subtiliser des données ou de l’argent via un faux écran d’identification ou de paiement. Pire encore : un pirate qui accède à la base de données des clients dispose de toutes les informations nécessaires pour lancer une attaque très ciblée et convaincante (spear phishing), comme un e-mail adressé personnellement au consommateur et faisant référence à l’une de ses dernières commandes.

3 ans après une première enquête ...

Ce n'est pas la première fois que Test Achats évalue la sécurité des boutiques en ligne. Par rapport au test de 100 boutiques en ligne en 2015, le nombre de problèmes graves a certes diminué (25 contre 33), mais le nombre total de boutiques présentant des problèmes a augmenté de 5 %. Il est à noter que les sites web sont souvent mis à jour ou renouvelés et que tout changement peut entraîner de nouvelles failles.

Peu de réactions
Une fois de plus, Test Achats a informé les boutiques concernées en leur donnant le temps de résoudre leurs problèmes. Seules 17 d'entre elles ont contacté Test Achats avant la communication du 24 octobre 2018. L'organisation de consommateurs a également informé l’Autorité de protection des données (APD) de ses conclusions, comme il se doit.

La nécessité d’une "divulgation responsable"
En raison de l'immense popularité des boutiques en ligne, une bonne sécurité est une priorité absolue. De plus, il n'est pas facile aujourd'hui de signaler un problème de sécurité à un magasin en ligne. C’est pour cette raison qu’aux Pays-Bas, le gouvernement, les entreprises et les boutiques en ligne utilisent une politique de divulgation responsable pour faire tester la sécurité de leur site web par des pirates éthiques. Une telle politique d'ouverture ne peut qu'améliorer la sécurité des boutiques en ligne et devrait donc également devenir la norme en Belgique.