Achats festifs : soyez prudent(e)s ! Conseils aux titulaires de marques internationales et aux consommateurs pour se protéger contre les menaces de sécurité des noms de domaine

Par le Directeur mondial CSC Vincent D’Angelo,
le Conseiller exécutif Global Brand Security Quinn Taggart
et la Responsable Global Marketing Sue WattsShare this post

Avec la persistance de la pandémie de Covid-19, le shopping se fera principalement en ligne pour les achats des fêtes de fin d’année 2020. Si rester chez soi est l’option la plus sûre actuellement, elle entraîne également une plus grande vulnérabilité des consommateurs face à la fraude en ligne, la contrefaçon et la cybercriminalité. L’augmentation de l’activité en ligne fournit de nombreuses opportunités aux escrocs sans scrupules pour commettre des abus de marques reconnues afin de rediriger les visiteurs d’un site vers leur propre contenu frauduleux.

Conclusions de l’étude : Résumé de l’étude consacrée aux achats festifs et à la sécurité des noms de domaine pour le e-commerce

Dans notre dernier rapport sur la sécurité, nous avons analysé la stratégie de sécurité de 500 domaines internationaux de e-commerce et de vente en ligne*. Nous avons ensuite analysé dans quelle mesure ces sites web très fréquentés sont ciblés par le spoofing de noms de domaine.

Ⅰ. Risque de spoofing de noms de domaine

Comme l’a montré notre étude récente sur la sécurité des élections, le spoofing de noms de domaine est l’un des vecteurs d’attaque les plus utilisés. Selon le blog Tech Tuesday du bureau du FBI de l’Oregon : « Les cyberacteurs activent des noms de domaine usurpés, qui imitent les noms de domaine légitimes à quelques caractères près. Un nom de domaine usurpé peut légèrement modifier l’orthographe d’un mot (« electon » au lieu de « election » par exemple), ou utiliser l’extension [.]com au lieu de [.]gov. » En outre, les fraudeurs entendent profiter au maximum des mesures de confinement liées à la Covid-19 qui frappent les consommateurs, notamment pendant la saison festive qui représente un pic des achats.

Pour illustrer l’ampleur de la menace qui pèse sur les titulaires de marques et les consommateurs, nous avons identifié et analysé plusieurs noms de domaine mal orthographiés associés à 10 des plus grandes marques de vente en ligne.

Résultats de notre étude :

Plus de 70 % des 1 553 noms de domaine mal orthographiés enregistrés sont détenus par des tiers. Parmi les noms de domaine détenus par des tiers :

  • Près de 48 % sont configurés avec des enregistrements MX (messagerie) qui permettent d’envoyer des e-mails de phishing ou d’intercepter des e-mails.
  • 40 % utilisent des services de confidentialité de noms de domaine afin de masquer ou de dissimuler leur titre de propriété ou leur identité, ce qui montre le caractère douteux de leurs intentions.
  • De plus, ces noms de domaine usurpateurs reçoivent plus de 5 millions de visites** annuellement. En s’intéressant de plus près aux 100 noms de domaine malveillants les plus visités, notre étude montre qu’ils sont utilisés de la manière suivante :
    • 38% redirigent les internautes vers du contenu publicitaire ou des liens sponsorisés.
      • Risque : Une récente étude de Palo Alto montrait que les noms de domaine sponsorisés sont utilisés pour diffuser des logiciels malveillants via des services de parking de domaines.
    • 27% ne proposaient aucun contenu web actif.
      • Risque : Bien que ces noms de domaine ne semblent proposer aucun contenu web, 37 % d’entre eux sont configurés pour envoyer et recevoir des e-mails avec enregistrements MX.
    • 15% pratiquent le renvoi vers des affiliés.
      • Risque : Le titulaire de la marque peut être la cible de l’activité illégale de l’affilié, et peut donc subir un préjudice financier.
    • 12% redirigeaient les utilisateurs vers un site de vente en ligne.
      • Risque : Le titulaire de la marque peut subir une perte financière et le consommateur peut entrer en contact avec des revendeurs douteux susceptibles de vendre des articles contrefaits et/ou s’exposer à une piètre expérience d’achat.
    • 8% redirigeaient les utilisateurs vers un contenu web malveillant.
      • Risque : Le risque est que le consommateur puisse consulter des sites web avec du contenu malveillant (comme des logiciels malveillants).

Nous pensons que le problème du spoofing de noms de domaine est largement sous-estimé, parce que nous savons qu’il existe des centaines de milliers de noms de domaine enregistrés liés à des tiers et associés à certains des plus grands sites de vente en ligne. 

Ⅱ. Adoption de mesures de sécurité du nom de domaine

Comme nous l’indiquons dans notre Rapport sur la sécurité des noms de domaine : les entreprises du Forbes Global 2000, ces sites de e-commerce et de vente en ligne s’en sortent mieux que les sites des entreprises du Global 2000, sans toutefois avoir mis en œuvre les mesures de sécurité de base en matière de nom de domaine. Ces entreprises dépendent tellement des ventes en ligne pour leur chiffre d’affaires, qu’une panne peut leur coûter plus de 500 000 USD de l’heure*, voire plus.

Il est donc surprenant, comme l’explique une récente étude de l’université d’Harvard sur la redondance DNS, que ces entreprises ne sécurisent pas leur présence en ligne contre les attaques DDoS (déni de service distribué), puisque 16 % d’entre elles seulement bénéficient d’une redondance de l’hébergement DNS. De plus, étant donné qu’un détournement de DNS peut essentiellement permettre de prendre le contrôle d’une entreprise, nous sommes surpris de constater un faible taux d’adoption (18 %) du verrouillage du registre. Ces lacunes s’expliquent partiellement par le fait que 40 % des noms de domaine observés sont encore hébergés par des registrars grand public, qui n’offrent généralement pas de fonctionnalités de sécurité avancées. Le taux de déploiement DNSSEC est proche de 3 % (DNSSEC est une mesure de sécurité visant à empêcher l’empoisonnement de cache DNS). Enfin, bien que près de 60 % des noms de domaine analysés bénéficient d’une authentification des messages par rapport au nom de domaine, d’une fonction de reporting et d’enregistrements DMARC de conformité, nous savons que l’absence d’une politique DMARC de rejet des messages douteux pose toujours un risque de phishing pour des centaines de millions de consommateurs du monde entier.

Nos conclusions :

Chacune des mesures de sécurité répertoriées ci-dessus sont des meilleures pratiques sectorielles permettant de limiter les cyber-attaques, et s’inscrivent dans l’approche défense en profondeur (DiD) de CSC

3 conseils de shopping festif pour les titulaires de marques

  1. Établissez un comité de sécurité des noms de domaine qui participera à la définition d’une politique et d’une stratégie de noms de domaine. Celles-ci incluent l’identification et l’enregistrement défensifs des noms de domaine sur les marchés des pays essentiels, y compris leurs formes mal orthographiées et leurs mots-clés. En outre, le comité doit promouvoir des recommandations de Défense en profondeur pour favoriser une gestion sécurisée des noms de domaine, y compris le verrouillage du registre, le recours à des registrars de niveau entreprise, l’application des protocoles DMARC et DNSSEC (extensions de sécurité du DNS) et la redondance du DNS. 
  2. Surveillez en continu l’espace de nom de domaine et les canaux numériques clés comme les places de marché, les applis et les e-mails pour repérer les abus de marque, les infractions et la fraude.
  3. Menez des interventions au niveau mondial, y compris en obtenant le retrait de certains sites et en appliquant des techniques avancées de blocage Internet.

4 conseils aux consommateurs pour les achats festifs

Vous trouverez ci-dessous des conseils supplémentaires du FBI*** :

Assurez-vous que vos systèmes d’exploitation et vos applications soient mis à jour vers la version la plus récente.

Mettez à jour vos logiciels anti-logiciels malveillants (malware) et antivirus, et réalisez des analyses réseau régulières.

Utilisez une forte authentification bifactorielle autant que possible, via l’identification biométrique (empreinte digitale ou reconnaissance faciale, par exemple), des jetons cryptographiques ou des applis d’authentification.

Ne fournissez jamais des informations personnelles, quelles qu’elles soient, par e-mail.

Enfin, en ce qui concerne la sécurité du consommateur en ligne, CSC recommande d’utiliser la documentation éducative et informative de la National Cyber Security Alliance (NCSA) (en anglais).

« Nous sommes ravis que des sociétés comme CSC incitent les entreprises et les marques en ligne à mettre en place les protocoles de sécurité nécessaires pour protéger non seulement la réputation de leurs marques, mais également leurs clients, contre la fraude en ligne et la cybercriminalité », explique Daniel Eliot, directeur des initiatives stratégiques et éducatives de la NCSA. « La mission de la National Cyber Security Alliance est d’éduquer les consommateurs et les entreprises à propos de ces risques réels, et de l’importance de mettre en œuvre les meilleures pratiques de cyber-sécurité recommandées. L’étude de CSC participe également fortement à cette recommandation pour les consommateurs, en mettant en lumière le risque omniprésent que représentent ces cyber-attaques et ces noms de domaine frauduleux. » 

*Données extraites du site SimilarWeb.com.

**Estimation à partir des données de trafic pour septembre de SimilarWeb’, multipliées par 12 afin d’obtenir une estimation annuelle des visites.

***fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-against-election-spoofing