+33 1 53 75 82 00
Nous contacter

Retail

Merci de bien vouloir fournir les informations ci-dessous pour accéder au rapport Verizon sur les compromissions de données.

Merci !

Vous recevrez sous peu un email avec un lien pour confirmer votre accès, ou suivez le lien ci-dessous.

Télécharger document

Thank you.

You may now close this message and continue to your article.

  • En bref

    Les attaques contre les applications e-commerce demeurent le fléau numéro 1. À l'heure où les acteurs du retail migrent leurs opérations sur le web, les cybercriminels n'ont pas tardé à les suivre. Conséquence logique, les intrusions sur les systèmes de points de vente, autrefois prédominantes, restent à un niveau faible, semblable à celui de l'an passé. Si les données de paiement sont généralement prisées des cybercriminels, ces derniers montrent également un très vif intérêt pour les identifiants et données personnelles.


    Volume

    287 incidents, dont 146 compromissions de données confirmées


    Principaux schémas

    Les attaques d'applications web, les erreurs diverses et tout ce qui n'entre pas dans les autres catégories représentent 72 % des compromissions.


    Attaquants

    Externes (75 %), internes (25 %), partenaires (1 %), multiples (1 %) (compromissions)


    Motivations

    Financières (99 %), espionnage (1 %) (compromissions)


    Données compromises

    Données personnelles (49 %), de paiement (47 %), identifiants (27 %), autres (25 %) (compromissions)


    Contrôles de sécurité critiques (CSC) recommandés

    Protection périmétrique (CSC 12), sécurisation des configurations (CSC 5, CSC 11), gestion continue des vulnérabilités (CSC 3)


     

    Une caverne d’Ali Baba pour les attaquants


    Si vous travaillez dans le retail, vous savez déjà que votre secteur est un terreau fertile pour les attaques à visées financières. Rien de plus naturel pour une industrie caractérisée par d'énormes volumes de transactions. Le retail est donc dans la ligne de mire des groupes cybercriminels en quête de données de carte de paiement. Il faut dire que les enseignes en ont à revendre, pour ainsi dire. Comme l’année dernière, les fraudes concernent de moins en moins les règlements sur présentation d'une carte et de plus en plus les paiements à distance. Cette tendance s'inscrit dans un mouvement de fond entamé en 2016, et qui voit les hackers abandonner peu à peu les racleurs de RAM (RAM scraper). Les compromissions des enseignes de la distribution concernent surtout les données personnelles, suivies de très près par les données de carte paiement. Souvent, ces dernières constituent la cible première de l'attaque. Mais si les attaquants se heurtent à un mur, les informations personnelles constituent un joli lot de consolation dans la mesure où elles sont également monétisables. 

    J’irai où tu iras

    La figure 98 illustre bien à quel point la nature des compromissions a évolué dans le retail. Ces dernières années (entre 2014 et 2019), les attaquants ont changé leur fusil d'épaule. Les attaques sur les applications web ont ainsi connu une forte hausse, tandis que dans le même temps, les compromissions de contrôleurs et systèmes de points de vente étaient en chute libre. Rien d'étonnant à cela puisque la majorité des transactions s'effectuent désormais sur le web. Ainsi, à mesure que l’infrastructure change, les attaquants transforment leur mode opératoire afin de tracer le chemin le plus court jusqu’aux données.44 Dans le rapport DBIR 2019, nous annoncions déjà que la majorité des compromissions toucheraient les serveurs web. La figure 99 ne fait que confirmer nos prévisions. Vu la tendance des dernières années, ce n'était qu'une question de temps !


  • Les attaques sur les applications web s’appuient sur deux grands vecteurs : l’utilisation d’identifiants volés et l’exploitation des vulnérabilités des infrastructures web. D’après la figure 100, ces deux modes opératoires sont au coude-à-coude en termes de compromissions. Dans un monde idéal, les compromissions des uns n’auraient aucun impact sur les autres. Seulement voilà, lorsque les attaquants font main basse sur les bases de données d’identifiants d'une entreprise, ils s'en servent généralement pour s'attaquer à d'autres cibles.

    Fort Boyard

    Nos données hors incidents montrent que le « credential stuffing » est un vrai problème dans ce secteur (cf. Figure 101). Si le nombre de tentatives dans le retail est légèrement inférieur aux valeurs des autres secteurs, il est peu probable que les attaquants cessent d’exploiter à tout va la mine d’identifiants en leur possession.

  • Et quand bien même ils n’utilisent pas les « clés » d’autres entreprises pour déverrouiller votre infrastructure, c'est aux vulnérabilités non corrigées de vos applications web qu'ils s'en prennent. D’après les données de la figure 102, près de la moitié des vulnérabilités seulement sont corrigées dans les trois mois qui suivent leur découverte. Pourtant, ici comme ailleurs, il est préférable de ne pas remettre à demain ce que l'on peut faire aujourd'hui. En effet, nos études montrent que lorsqu'une vulnérabilité n'est pas corrigée immédiatement, elle tend à tomber aux oubliettes. D’après notre analyse, les injections SQL, PHP et de fichiers locaux sont les attaques les plus couramment recensées dans ce secteur (cf. Figure 103).

  • Types de données

    Si vous deviez créer un classement des types de données les plus faciles à revendre, les informations de carte de paiement occuperaient sans aucun doute la première place. Après tout, qui ne succombe pas à la tentation de « faire chauffer la carte » dès qu’elle est en votre possession ? D’après la figure 104, les attaquants ont les mêmes penchants, surtout quand il ne s'agit pas de leur argent. Toutefois, les données personnelles suivent de très près. En effet, à l’heure où les applications web s’imposent comme le vecteur d'attaque n°1, les données personnelles associées aux cartes de paiement font souvent partie du lot. Deux pour le prix d'un.

    Enfin, la figure 105 liste les principaux termes liés à ces données sur les marketplaces et forums de cybercriminels. SEO oblige, ces termes reflètent la demande. Il est donc clair que les données bancaires et de carte de paiement ont le vent en poupe.

44 Bien sûr, si vous restez adepte du commerce « brick-and-mortar » à l'ancienne, votre infrastructure POS n’est pas à l’abri du danger.