Le 6 décembre, des enseignes de grande surface ont constaté que leurs cartes de fidélité font l’objet d’un trafic de cagnotte auprès des hackeurs. Les pirates tentent de récupérer l’identifiant et le mot de passe de l’utilisateur, notamment via le hameçonnage, puis vendent les informations à des acheteurs via les messageries cryptées sur internet. Une fois en possession des coordonnées, l’acheteur se connecte sur l’application de l’enseigne pour ensuite dépenser la cagnotte en magasin.
Les cartes de fidélité en proie au phishing des hackeurs
La dématérialisation de la carte de fidélité est une tendance de fond depuis de nombreuses années pour le plus grand bénéfice des clients, des enseignes et des fraudeurs.
La grande distribution est une cible de choix, car elle combine un grand nombre d’utilisateurs (donc de cibles potentielles) et une valeur marchande des cagnottes de fidélité simples à utiliser. Il y a aussi peu de risques pour les hackers car il s’agit de fraudes assez simples à mettre en œuvre. Il suffit de récupérer les identifiants login et mot de passe des possesseurs de cartes de fidélité et de se connecter à leur compte pour récupérer la cagnotte.
Et ces identifiants ne sont pas difficiles à trouver car les clients utilisent souvent les mêmes identifiants sur de nombreux sites (environ 75% des utilisateurs des sites de e-commerce utilisent les mêmes identifiants pour tout ou partie de leurs comptes client), et il suffit qu’un site soit hacké (data breach ou brute force) ou simplement attaqué (par du credential stuffing) pour que le compte de l’utilisateur se retrouve en vente sur le dark web. On estime aujourd’hui à plusieurs centaines de millions de comptes compromis dans le monde, dont près de 3,4 millions en France !
Tout n’est pas perdu, des solutions existent ! Par exemple, on constate que la mise en place d’une seconde authentification stoppe 99% des accès aux comptes compromis. Il est possible de faire appel à des partenaires IT afin qu’ils puissent détecter, analyser, remédier mais également mettre en place toutes les mesures pour prémunir les entreprises et leurs clients de ce types fraudes, sans compromis sur l’expérience utilisateur des utilisateurs légitimes.