Avez-vous vérifié la sécurité de votre site avant les achats de Noël ?

Ecommerce christmas time and securityAvec les fêtes de fin d’année qui arrivent et les soldes de janvier qui suivent, les achats en ligne sont au programme. Vos annonces, visuels et promotions sont prêts, mais avez-vous pensé à la sécurité de votre site ?
Nous n’allons pas vous rappeler de faire vos mises à jour et installer les patchs ou de surveiller les opérations suspectes (ce que vous faites déjà), mais nous concentrer sur trois éléments pour protéger les données de vos clients et les rassurer sur votre sécurité.

 

1/ Le certificat HTTPS

Utiliser HTTPS est indispensable pour un site e-commerce. Les utilisateurs attendent de voir le fameux cadenas vert sur les pages où ils donnent leurs informations. Nombreux sont ceux qui se basent seulement sur une URL commençant par HTTPS et le cadenas pour estimer la fiabilité d’un site.

Cependant, les hackers malveillants le savent également. Ils créent désormais des sites avec le certificat HTTPS pour tromper les utilisateurs. Une étude de PhishLabs (en anglais) estime qu’au 3e trimestre 2018, 49% des sites de phishing utilisent un certificat HTTPS.
(Nous détaillons ici comment identifier les emails suspects pour éviter les différentes stratégies de phishing, qui peuvent piéger même les utilisateurs expérimentés.)

En effet, le certificat classique est à validation du domaine. Il indique seulement que les échanges sont chiffrés entre le navigateur et le site. Il ne vérifie pas le contenu, ou l’identité du propriétaire du site.

Pour contrer cela, il existe des certificats HTTPS plus complets, qui nécessitent un contrôle par une Autorité de Certification pour être délivrés :

  • le certificat à validation de l’organisation (SSL OV), qui inclut votre nom dans le certificat,
  • le certificat à validation étendue (SSL EV), qui affichera votre nom commercial et la raison sociale dans la barre d’adresse, dans la plupart des navigateurs sur fond vert.

Certificate extended validation HTTPSPar un clic sur le cadenas, le certificat à validation étendue donne des informations complémentaires : la ville et le pays du siège social de l’entreprise, des détails sur l’émetteur du certificat et autres informations techniques (comme ci-contre).

Vous pouvez dédier un paragraphe ou une page sur votre site pour expliquer votre certificat à vos clients. Cela renforcera leur confiance envers vous et leur donnera les clés pour identifier qu’ils se trouvent bien sur votre site.

 

2/ Votre nom de domaine

Votre nom de domaine est la base de votre présence en ligne. Son détournement est intéressant pour les attaquants pour créer de faux sites copiés sur le vôtre, afin de récupérer des données personnelles et financières, mener des attaques de phishing, etc. en particulier durant les fêtes de fin d’année où des commandes sont passées par des personnes moins à l’aise sur le web.

Le nom de domaine peut être détourné en enregistrant :

  • un nom proche avec une erreur d’orthographe,
  • un nom avec une extension de domaine différente, (savez-vous qu’il existe 1535 noms de domaines ?*)
  • ou bien un nom avec une modification typographique portant volontairement à confusion.

Par prévention, enregistrez les noms de domaines très proches du vôtre, ainsi que les extensions cohérentes avec votre activité (par exemple .blog, .support, .delivery, .booking, etc.).

Bien sûr, vous ne pouvez pas acheter toutes les possibilités, mais limiter les risques est important.

Les utilisateurs sont de plus en plus conscients des risques et restent méfiants lors d’achats e-commerce. Vous pouvez leur rappeler de bien vérifier l’adresse du site sur lequel ils se trouvent avant de rentrer leurs identifiants ou de passer une commande.
De plus, vous pouvez détailler sur votre site vos procédures (pour les retours, pour un changement d’adresse de livraison…), afin que vos clients sachent si l’email (ou le sms) qu’ils ont reçu est prévu et authentique.

 

3/ Les contenus mixtes

Les contenus mixtes sont par exemple des images, un fichier audio ou un chatbot, qui utilisent HTTP dans une page en HTTPS. Les contenus mixtes sont soit passifs, c’est-à-dire qu’ils vont récupérer un contenu depuis une source qui n’est pas en HTTPS. Ou bien il peut s’agir d’un contenu mixte actif qui interagit avec la page, comme un script.

Lors d’une navigation sur un site mélangeant les contenus sécurisés et non sécurisés, certains navigateurs ne chargent pas du tout les contenus mixtes, ce qui crée des zones vides sur le site ou des bugs.
Dans d’autres cas, le navigateur web affiche un message d’alerte sur la présence des éléments non sécurisés sur la page. Pour vos utilisateurs, deux réactions sont possibles. Ou bien ils écoutent l’alerte et quittent votre site. Ou bien ils restent sur votre site, mais avec un doute sur la sécurité, et n’effectueront probablement pas de commandes.

Dans les deux cas, vos visiteurs penseront que vous ne gérez pas correctement la sécurité de votre site. Les contenus mixtes ont nui à votre image de marque, ce que vous ne souhaitez pas en cette période d’achats intenses.

Le risque que les contenus mixtes soient modifiés par des attaquants est réel, par exemple pour voler des informations rentrées sur la page (attaque de l’homme du milieu ou man-in-the-middle), ou bien pour modifier les contenus affichés pour vous porter préjudice.

Pour remédier à ce risque, prenez soin de bien contrôler tout ce qui est utilisé dans vos pages, et que les ressources viennent de pages sécurisées.

 

Conclusion

Les acheteurs en ligne sont de plus en plus conscients des risques, et souhaitent avoir plus d’informations pour savoir comment se protéger.
C’est le moment pour les e-commerçants de renforcer le lien de confiance avec leurs clients en leur donnant les clés pour comprendre les actions qu’ils mettent en place pour garantir la sécurité des achats.

 

*Source : ICANN, 4 déc. 2018