Quelques précautions pour vos achats sur Internet

Selon une étude de Kasperky Lab, 65% des Français prévoient d’acheter en ligne tout ou une partie de leurs achats pour les fêtes de fin d’année. La sensibilisation au risque informatique de ces dernières années a fait son effet puisque 75% des Français prennent en compte le facteur sécurité de leurs données lors d’un achat sur la toile. En revanche, ce n’est pas parce qu’ils s’inquiètent de leur sécurité sur internet que les Français ne font pas confiance aux sites sur lesquels ils commandent. En effet, 74% d’entre eux pensent que leurs paiements sont bien sécurisés. Cette confiance est justifiée, car la sécurité des transactions web n’est pas à remettre en cause.

Cependant, si commander dans les bonnes conditions ne présente presque aucun risque, il faut être prudent et s’assurer que toutes les conditions de sécurité sont réunies pour éviter les (trop) nombreuses arnaques présentes sur la toile.

Quelques conseils pour éviter les mauvaises surprises lors de vos achats sur internet

Attention aux emails de phishing

Le phishing (ou traduction officielle « filoutage ») est une technique très courante d’arnaque par email. C’est la première source de vol de donnée sur internet.

L’arnaque est simple, vous recevez un courrier électronique très proche du courrier officiel que pourrait vous transmettre un site ou une organisation. En réalité, il n’en est rien, c’est un faux, une arnaque consistant à vous voler des informations bancaires, personnelles ou encore vous amener à exécuter un programme malveillant (virus, trojan, etc.).

Lien dans un email = danger !

Exemple Impots.gouv.fr :

 

 

Plusieurs indices nous incitent à la méfiance : Les fautes d’orthographe grossières et le caractère avantageux du mail (187.80 euros en notre faveur). Le réel problème de ce type d’email vient du lien. Il ne faut surtout pas cliquer dessus. On s’aperçoit en le survolant avec la souris que le lien est « vaytinchap.vn/impost.php », ce n’est absolument pas « impots.gouv.fr ». C’est un faux site destiné à voler vos informations officielles (création de faux papiers à votre nom), vos informations bancaires (prélèvement d’argent sur votre compte) et parfois à vous faire télécharger un logiciel malveillant (offrir le contrôle total de votre machine et de vos informations). Dans le doute, il faut toujours ouvrir son navigateur, se rendre soit même sur le vrai site (ici « impots.gouv.fr ») et vérifier à partir de là les informations reçues par email. Ne jamais faire confiance à 100% à un lien dans un email, ceux-ci ne sont pas fiables.

Pièce jointe = Danger !

Exemple site marchand amazon :

 

Ce mail de phishing est très dangereux. Il est propre, sans fautes, et très proche d’un email légitime. La victime n’a jamais commandé d’ordinateur Apple. Inquiet et paniqué, l’utilisateur ouvre la facture en pièce jointe sans se méfier. En faisant cela, l’utilisateur vient d’installer un logiciel malveillant sur son PC offrant le contrôle total de sa machine et de ses informations à la personne à l’origine de l’email de phishing. Ici, la bonne démarche est de se dire « alerte je n’ai rien commandé, je ne clique surtout pas sur la pièce jointe« . J’ouvre mon navigateur et je me rends sur le site d’amazon, je me connecte à mon compte et je me rends dans l’historique des commandes. Si la commande n’apparaît pas, pas d’inquiétude ma carte bancaire n’a pas été volée et mon compte n’a pas été débité, il n’agit d’un phishing. Je supprime l’email.

Évitez les accès wifi publics

On distingue deux grandes catégories de réseau wifi pour l’utilisateur final. Les réseaux wifi privés et offrant un niveau correct de sécurité (réseau wifi d’entreprise, réseau wifi domestique protégé par une clé de sécurité, etc.) et les réseaux wifi publics non sécurisés par une clé de chiffrement (mcDonalds, hotel, freeWifi, gare SNCF, etc.). Il ne faut jamais accorder sa confiance aux données émises et reçues sur un réseau public. Il est extrêmement facile pour un informaticien connecté à ce réseau de lire toutes vos transmissions (login, mot de passe, etc.) et modifier à la volée les résultats (redirection sur des faux sites, etc.).

Sur un réseau public, les précautions suivantes sont à prendre :

  • Eviter au maximum les services qui nécessitent des identifiants (emails, impôts, ecommerce, etc.)
  • Toujours être attentif aux comportements étranges
  • Utiliser si possible des connexions sécurisées (HTTPS, VPN, IMAPS, etc.)

Assurez vous d’être sur le VRAI site marchand

Les sites contrefaits sont monnaie courante sur internet. Ils sont très semblables au site légitime, mais présentent tous les risques d’un site contrefait (vol d’identifiant, logiciels malveillants, etc.). Pour éviter de tomber dans le piège, plusieurs précautions sont à prendre :

  • Toujours taper soit même l’URL du site ou s’y rendre depuis un moteur de recherche reconnu (Google, Bing, etc.)
  • Eviter de faire confiance aux sites provenant d’un lien autre (emails, forum, commentaire, etc.)
  • Toujours être attentif aux comportements étranges
  • Ne jamais entrer d’informations bancaires ou confidentielles sur un site en HTTP. Toujours vérifier la présence du httpS pour « Secure ».
  • Vérifier l’identité du site à l’aide de son certificat numérique

Exemple de procédure pour l’achat d’un accessoire de smartphone sur le site marchand Touchmods :

Utilisation de google.fr pour rechercher le site marchand « Touchmods ». Je me rends sur « www.google.fr ». Le site est bien en httpS, la connexion est donc chiffrée, le cadenas est présent et la couleur verte m’indique que tout va bien. Je suis donc bien sur le vrai « google.fr ». Je peux rechercher le site marchand qui m’intéresse et je peux accorder une certaine confiance au lien qui m’est proposé.

 

 

J’arrive maintenant sur le site marchand Touchmods. Le site est en httpS donc sécurisé. C’est cependant la première fois que je commande sur ce site, je vérifie donc son identité en cliquant sur le petit cadenas à gauche. Mon navigateur (et non pas le site) m’indique plusieurs choses :

  • Je suis bien sur www.touchmods.fr
  • La société derrière ce site marchand est : TouchMods à Montpellier dans l’Hérault et a bien été validée par Symantec, un tiers de confiance. Je suis donc sur le site d’une vraie société et non pas une contrefaçon.
  • La connexion est sécurisée par un chiffrement. Cela signifie que mes identifiants et mes informations bancaires ne pourront pas être interceptés.

 

Je peux maintenant acheter mes articles en toute sécurité sur ce site.

Méfiez vous du vilain keylogger

Le keylogger (enregistreur de frappes de clavier) est un programme malveillant qui enregistre tout ce que vous tapez au clavier. Il cherche particulièrement à récupérer les mots de passe et informations bancaires que vous saisissez. Il y a diverses façons de vous faire piéger par un logiciel malveillant, pour garder votre ordinateur saint il faut donc respecter quelques bonnes pratiques :

  • Les règles que nous avons vu précédemment sur les emails et la navigation sur internet
  • Toujours être attentif lorsqu’un programme demande les droits « administrateur »
  • Toujours avoir un antivirus actif et à jour d’installé sur sa machine (PC comme MAC)

Prenez vos précautions avant l’enregistrement de vos informations bancaires

Certains sites enregistrent vos informations bancaires en prévision de vos achats futurs. En cas d’intrusion sur l’un de ces sites, vos informations bancaires peuvent être révélées. Il est conseiller de n’accepter l’enregistrement que sur les gros sites marchant de confiance type amazon. Ceux-ci prennent en effet les mesures nécessaires pour :

  • Sécuriser le stockage de vos informations bancaires
  • S’assurer que toute modification de l’adresse de livraison entraîne la ressaisie de vos informations bancaires
  • S’assurer que toute commande sur votre compte depuis l’étranger nécessite la ressaisie de vos informations bancaires

Conclusion

Les achats sur internet peuvent être fait sans plus de risques qu’un achat en boutique à condition de prendre certaines précautions :

  • Se méfier des liens et pièces jointes dans les emails
  • Eviter les achats depuis un réseau wifi public (mcDonalds, hotel, freeWifi, gare SNCF, etc.)
  • Vérifier l’identité du site marchand et la connexion httpS
  • Avoir un antivirus à jour et actif installé sur sa machine

Sources des chiffres avancés :

  • Etude Opinion Way pour Kaspersky Lab sur 1028 personnes du 13 au 17 novembre 2014
  • Etude Opinion Way pour Kaspersky Lab 1009 personnes les 2 et 3 juillet 2014

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *