Achats sur Internet & Co.: comment payer en ligne en toute sécurité
9 min

Achats sur Internet & Co.: comment payer en ligne en toute sécurité

Quel est le moyen de paiement le plus sûr? Quel est le principal danger de l’e-banking? Ivan Bütler, expert en cybersécurité et professeur à la Haute école technique de Rapperswil (HSR), apporte des réponses à ces questions. Il nous livre aussi trois conseils d’initié pour effectuer des paiements en ligne en toute sécurité.

En 2019, les Suissesses et les Suisses ont acheté pour 10,3 milliards de francs de marchandises et services sur Internet. Et la crise du Covid-19 dope le commerce en ligne. Ainsi, le Credit Suisse prévoit une croissance globale de 30% des ventes en ligne pour 2020. «Une raison de plus pour s’intéresser de près aux dangers liés aux transactions en ligne», déclare Ivan Bütler.

Cet expert en cybersécurité s’occupe principalement de la sécurité des systèmes informatiques de grandes entreprises. Et occasionnellement des problèmes informatiques de son père. «Il a été victime de plusieurs attaques de phishing», précise Bütler. «Toute personne qui est la cible de ce genre d’attaques devrait changer le mot de passe du compte concerné dès qu’elle le peut. Idéalement à partir d’un autre appareil, si c’est possible.» 

L’expert en cybersécurité Bütler a aussi des conseils importants à l’attention des clients des boutiques en ligne, des personnes qui effectuent des achats intégrés via une application mobile («in-app») ou des utilisateurs d’e-banking. Parce que les transactions en ligne sont particulièrement sensibles. Il explique comment faire des achats et des paiements sur Internet sans crainte, en toute sécurité.

Achats en ligne: comment payer en toute sécurité?

En principe, vous devez effectuer vos achats en ligne via une connexion https cryptée – et ce, jusqu’à ce que la procédure de paiement soit terminée. C’est la condition préalable pour éviter que les données de votre carte de crédit et vos mots de passe ne soient dérobés. Faites également attention au masque de saisie des paiements qui s’affiche lorsque l’on vous demande par exemple d’entrer les données de votre carte de crédit. Il vous semble familier? Il devrait l’être.

Car pratiquement toutes les grandes boutiques en ligne utilisent les mêmes masques de saisie des paiements, qui leur sont fournis par un prestataire externe. Pour les gérants de boutiques en ligne, créer eux-mêmes un masque de saisie des paiements et négocier avec les fournisseurs de cartes de crédit s’avérerait bien trop coûteux. Autre point important: utilisez impérativement l’authentification à deux facteurs, que ce soit pour votre carte de crédit, l’e-banking ou PayPal. En créant un deuxième obstacle pour les paiements sortants, elle augmente ainsi votre sécurité.

Quel est le moyen de paiement le plus sûr en ligne?

Les cartes de crédit, PayPal, Twint, Apple Pay, Samsung Pay ou Google Pay sont tous des systèmes de paiement qui satisfont à des normes de sécurité élevées et qui ont fait leurs preuves. Pour effectuer des paiements en ligne, évitez dans la mesure du possible les paiements anticipés ou les acomptes ainsi que les transferts via Western Union, car en cas de litige, il vous serait très difficile de récupérer votre argent. L’existence d’un pool pour la couverture des dommages est un critère d’évaluation central de la sécurité des moyens de paiement. Pour chaque transaction, un micro-montant est alors versé dans un fonds qui sert à couvrir les dommages. C’est le cas notamment pour les fournisseurs de cartes de crédit.

Quel est le principal danger lors d’achats en ligne?

Le plus grand danger vient des chevaux de Troie dans le terminal. En effet, si le terminal est infecté, la procédure de paiement peut être en soi tout à fait sûre, cela n’empêche pas que vos données puissent être subrepticement dérobées. Le maillon faible des transactions en ligne est l’être humain et son interaction avec les ordinateurs, laptops et tablettes.

Sur le même sujet

Savez-vous détecter les pièges lors d’achats sur lnternet?

Commerçants peu scrupuleux, procédures de paiement douteuses ou e-mails d’hameçonnage sont des pièges qui nous guettent lors d’achats en ligne. Parcourez notre vidéo interactive et,…

Lire la suite

De nombreux utilisateurs n’ont pas de protection antivirus sur leur smartphone. Acheter en ligne via son smartphone est-il plus risqué que via son ordinateur?

Non, en principe, ce n’est pas plus risqué car, contrairement à un ordinateur de bureau ou à un laptop, il n’est pas obligatoire de télécharger une application antivirus sur un smartphone. Pour la bonne raison que seuls le système d’exploitation et les applications sont installés sur le smartphone. Vous ne pouvez pas contrôler ni limiter l’accès à des applications installées via le niveau administrateur comme vous pouvez le faire sur un ordinateur. Et cela n’est pas nécessaire, car les applications pour smartphones ont accès uniquement à certaines données générales, telles que les contacts ou les photos. La communication d’une application à l’autre est en outre impossible.

Swisscom Internet Security pour tous les appareils

Commerçants pas sérieux ou procédures de paiement douteuses – les achats en ligne peuvent s’avérer dangereux. Évaluez les risques que vous prenez en achetant sur Internet grâce à notre vidéo interactive.

Comment puis-je reconnaître une fausse application?

Il est difficile de reconnaître les applications frauduleuses («fake apps»). Les hackers qui les créent utilisent les mêmes noms que les applications d’origine. Il faut examiner attentivement l’icône: correspond-elle à l’icône officielle de cette appli? ll est en principe possible de le vérifier sur le site web du fournisseur de l’appli. Regarder également depuis quand cette appli existe. S’il s’agit d’une application connue qui est proposée dans l’App Store depuis seulement deux semaines ou qui n’a été téléchargée qu’un faible nombre de fois, vous devriez avoir de sérieux doutes. 

Comment puis-je me protéger des achats intégrés involontaires?

Cette fonction peut en général être désactivée manuellement, bien qu’à mon avis, ce ne soit pas vraiment nécessaire. Il me semble plus pertinent de configurer son smartphone de façon à ce qu’une confirmation soit exigée pour tout achat intégré au sein d’une application mobile. Il faut alors la valider en entrant un mot de passe ou via le capteur d’empreintes digitales. Les parents devraient activer la réception des confirmations d’achat. Cela permet de découvrir les achats supplémentaires réalisés involontairement et de mieux contrôler les dépenses.

Comment gérer le renouvellement automatique des abonnements aux applications?

Je suis bien sûr aussi déjà tombé dans le piège. À l’heure actuelle, je ne vois aucune solution technique. Le seul conseil que je puisse donner est d’établir une liste de vos abonnements avec leurs dates de résiliation et d’entrer ces données dans votre calendrier. 

Quels réseaux présentent le moins de risque pour l’utilisation de l’e-banking?

Le principal danger vient des réseaux que l’on ne connaît pas, comme une connexion wi-fi gratuite à l’aéroport, à la gare ou à l’hôtel. Bien sûr, le https d’une connexion protège des espions. Des avertissements peuvent toutefois apparaître dans le navigateur, en signalant par exemple que la connexion n’est pas privée. L’utilisateur lambda est alors bien désemparé et clique sur «continuer», ce qui permet à un pirate informatique de lire ses données. En Suisse, quand on dispose d’un accès à distance VPN privé ou professionnel, il est préférable d’utiliser Internet via ces connexions VPN. Si ce n’est pas le cas, il faut être plus attentif aux avertissements ou s’abstenir d’effectuer des opérations bancaires en ligne sur des réseaux wi-fi gratuits.

L’e-banking est-il aussi sûr sur un smartphone que sur un ordinateur?

Il est même encore plus sûr sur un smartphone que sur un PC. En effet, le principal danger vient des chevaux de Troie, qui sont beaucoup plus difficiles à implanter sur un smartphone que sur un ordinateur. Les applications n’étant pas connectées entre elles, les applications troyennes n’ont en outre aucun accès aux données des autres applications. L’élément central en matière de sécurité de l’e-banking est la double authentification. Elle doit absolument être activée, que l’on utilise un smartphone ou un ordinateur. 

Quel est le principal danger de l’e-banking?

Il vient assurément de ses utilisateurs. Si l’on ne s’aperçoit pas qu’une facture a été manipulée, on va la payer sur un faux compte. Et ce risque pourrait bien croître avec l’émergence des factures à code QR. Quand on reçoit une facture avec un code QR en format PDF par e-mail, il n’y a plus de données à saisir, il suffit de scanner le code QR. C’est pratique, mais il existe déjà des chevaux de Troie qui manipulent ces codes QR et modifient le compte du destinataire. Il est donc impératif de vérifier soigneusement sur quel compte et à quel émetteur de factures vous transférez l’argent. 

Ivan Bütler

Ivan Bütler est le fondateur et le directeur général de Compass Security, une entreprise spécialisée dans le piratage éthique et les tests d’intrusion basée à Rapperswil. Lui et son équipe simulent des attaques de hackers pour signaler aux clients d’éventuelles failles de sécurité dans leur système informatique. Compass Security apporte également son soutien à ses clients victimes d’attaques informatiques en offrant un service 7/24 et gère un laboratoire de piratage virtuel pour former des spécialistes de la cybersécurité. Professeur de sécurité informatique à la Haute école technique de Rapperswil (HSR), Ivan Bütler a été élu expert en cybersécurité de l’Académie suisse des sciences techniques (SATW). 

Quant à vous, comment effectuez-vous vos paiements en ligne?

Personnellement, j’utilise l’e-banking avec une double authentification. Par ailleurs, je règle les petits montants avec Twint et ceux plus importants avec ma carte de crédit. Je paie aussi régulièrement en bitcoins, principalement les services que j’ai achetés à l’étranger, par exemple un graphique réalisé par un graphiste au Brésil ou le développement d’un logiciel par un jeune ingénieur aux États-Unis.

Les 3 conseils de l’expert en cybersécurité

1. Utilisez un mot de passe différent pour chaque service et ne stockez jamais vos mots de passe dans l’application Notes de votre smartphone, car d’autres applications y ont accès. Utilisez plutôt un gestionnaire de mots de passe, tel que SecureSafe. SecureSafe est très fiable, je l’ai personnellement vérifié.

2. Contrôlez que votre adresse électronique et votre mot de passe n’aient pas été exposés à une fuite de données. Cela pourrait notamment être le cas si Facebook, LinkedIn, Adobe ou Netflix ont été piratés. Et demandez à recevoir une alerte si votre e-mail et/ou votre mot de passe se baladent quelque part dans le monde. Vous pouvez le faire avec le moniteur de Firefox par exemple. 

3. L’authentification à deux facteurs est un élément clé pour sécuriser les paiements sur Internet. Activez-la impérativement pour tous les moyens de paiement et services, tels que les cartes de crédit ou PayPal et bien sûr pour l’e-banking.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lisez maintenant