ACTUALITÉ
Arnaque en ligne

Le vol de formulaire agit en secret

Le formjacking est un danger invisible, qui s’infiltre dans le code de sites d’e-commerce. Cette arnaque, dont certaines sociétés renommées ont été victimes en 2018, est indétectable par le consommateur, qui se fait dérober ses données personnelles lors d’une opération d’achat en ligne. Décryptage.

L’arnaque au formjacking, ou vol de formulaire, est invisible mais bien réelle. De quoi parle-t-on ? Des hackers s’infiltrent dans le code de sites d’e-commerce afin de dérober les données personnelles des visiteurs. Lorsqu’un internaute entre ses coordonnées pour procéder à un paiement en ligne, ses informations (nom, adresse, coordonnées bancaires…) sont aspirées en direct lors de l’opération d’achat par le programme malveillant, qui enregistre les touches frappées. Sauf que cette arnaque est indétectable : le consommateur finalise sa commande, sans moyen de déceler le piratage, qui ne laisse aucune trace. Seuls des débits frauduleux sur le relevé de compte le révèleront enfin, mais trop tard. L’entreprise Symantec, qui édite des solutions de sécurité informatique, recense dans un récent rapport sur les menaces à la sécurité Internet (« Internet Security Threat report ») une augmentation du nombre d’attaques par formjacking, avec 4 800 sites Internet touchés par mois en 2018. Un chiffre à relativiser selon Jérôme Notin, directeur général de la plateforme Cybermalveillance : « Ce n’est pas forcément énorme. Mais si un gros site est attaqué, le nombre de victimes peut monter très vite. » En effet, Ticketmaster a vu plusieurs dizaines de milliers de ses clients anglais se faire voler leurs coordonnées bancaires via ce procédé l’an passé. Les hackers avaient infiltré le code d’un prestataire (support client) de la billetterie en ligne. Comme le rapportent nos homologues anglais Which?, la banque Monzo a sonné l’alerte après avoir constaté une quantité croissante de fraudes, dont une grande partie émanaient de personnes ayant effectué un achat sur Ticketmaster entre décembre 2017 et avril 2018.

British Airways victime de formjacking

La compagnie aérienne British Airways a également été la cible d’un tel piratage l’année dernière : l’attaque, qui a sévi durant plusieurs mois avant que l’entreprise ne s’en rende compte au mois de septembre, a touché 244 000 personnes. La compagnie a assuré à ses clients qu’elle rembourserait toute victime volée. L’ICO (« Information Commissioner’s Office », l’équivalent de la Cnil en Angleterre) enquête sur ce dossier et « pourrait infliger une amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial, s’il pensait que British Airways était en faute », exposait Which? dans un article du 25 octobre 2018. Une sanction conforme aux dispositions du Règlement général sur la protection des données (RGPD) en vigueur depuis le 25 mai 2018, qui représenterait dans ce cas près de 500 millions de livres.

Effets à retardement

Les dommages causés par ce type de vol sont rarement immédiats. Une fois les informations récoltées, les hackers les vendent à des réseaux mafieux, qui vont ensuite s’en servir pour effectuer des achats frauduleux ou mener des campagnes de phishing. Le remboursement ne sera pas automatique. La banque ne peut pas plaider la négligence du consommateur qui se verrait dérober de l’argent, car le piratage s’effectue en sous-marin lors d’un véritable achat. Mais de son côté, l’internaute ne peut pas prouver qu’il s’est fait aspirer ses données. Le RGPD oblige cependant les sites à informer leurs visiteurs victimes de toute « violation de données à caractère personnel » qui comporte un risque (article 34). Averti, le client peut notamment prévenir sa banque, qui peut à son tour surveiller les mouvements suspects sur son compte et remplacer la carte bancaire.

Que faire si vos données personnelles sont volées

Éviter de tomber dans un tel piège s’avère ardu. Un antivirus installé sur l’appareil de l’internaute ne pourra ni empêcher ni détecter l’attaque qui est à l’œuvre sur le serveur du site d’e-commerce et non dans l’ordinateur ou le smartphone de l’utilisateur.

Préférez les systèmes de paiement en ligne dotés d’une sécurisation renforcée comme le 3D-Secure (code unique de validation reçu par SMS).

Si vous apprenez avoir été victime de cette arnaque, prévenez immédiatement votre banque, qui pourra surveiller votre compte et sera plus à même d’accepter de rembourser ce paiement non autorisé en ayant connaissance du problème. Elle procédera éventuellement au changement de votre carte.

Changez vos identifiants de connexion sur le site concerné. Si vous utilisez le même mot de passe pour d’autres sites, changez-le également.

Usurpation du numéro de carte, le danger numéro 1

Dans son dernier rapport annuel (données 2017), l’Observatoire de la sécurité des moyens de paiement (Banque de France) précise que « l’usurpation de numéros de cartes pour réaliser des paiements illicites reste toujours la principale origine de la fraude sur le paiement et le retrait par carte » (66 % en montant). Le phishing et les malwares, dont le formjacking fait partie, représentent les techniques les plus fréquentes pour y parvenir. De telles arnaques posent la question de la sécurisation des données des utilisateurs. « Le temps où un site “https” était sécurisé est terminé. Ce n’est plus vrai du tout », déclare Jérôme Notin, observant la facilité d’obtention d’un tel certificat aujourd’hui pour les sites. Revient donc aux e-commerçants la responsabilité de se prémunir des attaques, notamment depuis l’entrée en vigueur du RGPD, le 25 mai 2018, en déployant des systèmes comme le 3D-Secure. De tels « dispositifs d’authentification forte », désormais rendus obligatoires par la directive européenne sur les services de paiement (DSP2) entrée en vigueur en 2018, expliquent une baisse du montant des fraudes, indique l’observatoire. La somme des fraudes concernant les paiements à distance par carte bancaire (transactions nationales) s’élève à 131,9 millions d’euros en 2017, contre 152,3 millions d’euros en 2016.

Lire aussi

Soutenez-nous, rejoignez-nous

La force d'une association tient à ses adhérents ! Aujourd'hui plus que jamais, nous comptons sur votre soutien. Nous soutenir

image nous soutenir

Newsletter

Recevez gratuitement notre newsletter hebdomadaire ! Actus, tests, enquêtes réalisés par des experts. En savoir plus

image newsletter