Riskified, fournisseur en solutions de paiement et de prévention de fraude en ligne, publie une étude à l’échelle nationale révélant la vulnérabilité des e-commerçants français face au piratage de compte. Faute de mesures préventives, ces attaques dites « Account Takeover » devraient se multiplier…

Près de 40 % des e-commerçants ont déclaré qu’au moins un compte client sur dix a été victime de piratage l’année dernière en France. C’est ce que révèle cette enquête menée par Riskified auprès de 100 professionnels du e-commerce (RSSI, Directeur CRM et fidélisation, Directeur des paiements, Directeur financier, Responsable revenue assurance, Directeur e-commerce…) et 1 000 consommateurs français.

Ces attaques (dites Account Takeover ou ATO) surviennent lorsqu’un fraudeur prend le contrôle d’un compte en se servant des identifiants du titulaire légitime et l’utilise à des fins malveillantes. La prise de contrôle d’un compte n’est pas l’objectif final d’une personne malveillante. Son objectif final est de pouvoir passer des commandes.

Cette enquête constate également que :

  • Près d’un quart des e-commerçants admettent n’avoir mis aucune mesure en place pour se prémunir contre ce type d’attaque ;
  • Plus de la moitié d’entre eux (52 %) estiment que la fraude en ligne va augmenter en raison de la pandémie.

Cette étude démontre à quel point cette forme de fraude a des répercussions négatives pour les enseignes, portant préjudice à la fois à leur réputation et à leur chiffre d’affaires.

63 % des e-commerçants et 90 % des acheteurs craignent que leurs comptes ne soient piratés. Les ATO peuvent coûter particulièrement cher aux sites marchands : 76 % des utilisateurs interrogés déclarent qu'ils cesseraient d’effectuer des achats en ligne auprès du site où leur compte a été piraté et plus d’un tiers iraient chez un concurrent.

Mais les professionnels semblent démunis pour parer à ce type d’attaque : 18 % des détaillants interrogés déclarent ne pas avoir la capacité de détecter une usurpation de compte durant le processus d’achat et 10 % déclarent ignorer qu’un piratage a eu lieu à moins que la victime ne les contacte.

Certains retailers et e-commerçants ont mis en place des mesures. 40 % des professionnels interrogés indiquent appliquer une authentification forte pour certaines tentatives de connexion et 68 % exigent des mots de passe complexes.

Mais, la moitié des clients reconnaissent utiliser le même mot de passe pour plusieurs de leurs comptes en ligne…

« Sans une analyse dynamique et exhaustive de toutes les données pertinentes, les e-commerçants s’exposent à des pertes financières, des clients mécontents et une réputation ternie. Des solutions s’appuyant sur le machine learning permettent d'identifier les clients légitimes en temps réel, facilitant leur progression dans le tunnel d’achat », explique Assaf Feldman, cofondateur et directeur technique de Riskified.

Pour détecter ces attaques, les e-commerçants doivent s’appuyer sur le plus de données possible. Par exemple, prendre en compte l’appareil, le réseau utilisé, l’éventuelle utilisation d’un proxy et analyser les connexions antérieures pour déterminer s’il s’agit bien du titulaire du compte.

Si l’un de ces éléments est inhabituel ou présente les signes caractéristiques d’un piratage, il est préférable de se mettre directement en relation avec le propriétaire légitime, voire d’imposer une authentification forte.

Source: Riskified