Acheter un livre par Internet ? Réserver ses billets d’avions en ligne ? Commander une voiture d’occasion par un simple clic de souris? Les achats sur Internet sont devenus une réalité pour de nombreux Européens. Mais le commerce électronique présente aussi des dangers pour ses utilisateurs. A quoi faut-il faire attention et comment peut-on se protéger contre des fraudes ? François Thill du Ministère de l’Economie et Laurent Schroeder de la Police grand-ducale ont donné les réponses à ces questions lors du 4e Midi de l’Europe le 16 avril 2008 à la Maison de l’Europe.
Les Midis de l’Europe sont organisés par le Bureau d'Information du Parlement européen à Luxembourg, la Représentation de la Commission européenne au Luxembourg, le Mouvement Européen Luxembourg et le Centre européen des consommateurs.
Au sein de l’Union européenne, le commerce électronique est régi par la directive 2000/31/CE, qui est entrée en vigueur depuis 2000. Elle a instauré le cadre juridique de base pour le commerce électronique au sein du marché intérieur. François Thill, chef de projet de "Cases" du Ministère de l’Economie, a présenté les différents risques auxquels les internautes peuvent être confrontés: social engineering, phishing, escroquerie, autant d’éléments auxquels il faut veiller lorsqu’on fait des transactions en ligne.
Tout d’abord, le social engineering. "Il s’agit d’une technique de manipulation de l’utilisateur pour obtenir des informations confidentielles", a expliqué l’expert. Ensuite, le phishing. "Le phishing est un phénomène très vieux. Son but est de se procurer les mots de passe des utilisateurs", a souligné François Thill. Il a distingué entre deux sortes de phishing :
Le phishing traditionnel se caractérise par plusieurs éléments. Un email à caractère très impersonnel est envoyé à grande échelle à des utilisateurs. Par un hyperlien contenu dans le mail, la victime est redirigée vers un site pirate, qui ressemble comme une goutte d’eau au site original. Des entreprises comme Paypal, Amazon, Ebay, ainsi que les Banques sont les plus concernées par ce phénomène.
Le spear phishing par contre se fait d’une manière plus sélective. Les mails sont envoyés de manière ciblée à un groupe restreint d’utilisateurs, dont le hacker a réussi à obtenir des informations personnelles auparavant.
Sur le site Internet www.cases.lu du Ministère de l’Economie, les internautes peuvent trouver des dossiers détaillés sur les risques de la navigation en ligne, et des tuyaux comment se protéger.
Laurent Schroeder, du Service judiciaire de la Police grand-ducale, a montré comment des acheteurs de voitures en ligne sont devenus les victimes d’arnaqueurs peu scrupuleux. "Ces fraudes ne concernent pas beaucoup de monde, mais ce sont des cas particulièrement graves", a-t-il estimé.
Selon Laurent Schroeder, il existe deux méthodes par lesquelles les fraudeurs grugent leurs victimes : Ou bien le consommateur est dirigé vers un site pirate qui ressemble à un site très connu, ou bien les fraudeurs placent des annonces sur des sites comme "Autoscout". Les annonces attirent les consommateurs par un prix ou un kilométrage particulièrement intéressants. Selon Laurent Schroeder, l’absence d’un nom de vendeur dans l’annonce est souvent un signe sûr qu’il s’agit d’une arnaque. Le prétendu vendeur propose ensuite à sa victime de faire la transaction de l’argent via un site apparemment sécurisé. En réalité, il s’agit encore d’un site monté par le fraudeur.
D’après les informations de la police, une vingtaine de nouveaux sites frauduleux apparaissent chaque semaine. Pour que le nombre de victimes ne monte pas davantage, la police mise sur la prévention, notamment à travers son site Internet, sur lequel un dossier dédié à la vente de véhicules par Internet peut être retrouvé sur le site de la Police.
Interrogé sur la question comment se protéger de manière effective contre les attaques de social engineering et de phishing, François Thill a cité plusieurs règles essentielles, qui à ses yeux permettent d’éviter des attaques.
Première règle : se doter d’un programme antivirus et d’un firewall, que l’on peut par ailleurs obtenir gratuitement sur Internet. Ensuite, faire des actualisations régulières de son ordinateur.
Deuxième règle : faire attention aux sites que l’on va consulter.
Thill a cependant admis qu’il restait toujours un risque à acheter en ligne. A titre d’exemple, il a cité le site Internet Monster.lu, qui vient d’être victime d’une attaque sur sa base de données. François Thill a par ailleurs mentionné la directive européenne sur la protection des données personnelles, qui doit garantir à chaque citoyen européen qu’une entreprise ne puisse abuser de ses données personnelles.