À vendre : programmes de fidélité Fraude dans le secteur de
l'hôtellerie et de la vente au détail
Volume 6, numéro 3
[état des lieux d'Internet] / sécuritéRésumé :
[état des lieux d'Internet] / sécurité
À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 2
Les criminels n'ont pas peur d'utiliser notre fidélité contre nous.
Comme nous l'avons déjà dit, la réutilisation des mots de passe est un problème important dans tous les secteurs.
Les programmes de fidélité rencontrent un problème supplémentaire de perception. De nombreux utilisateurs ne
pensent pas que ces programmes peuvent présenter un risque élevé et sont plus susceptibles d'utiliser des mots
de passe peu sécurisés ou de réutiliser des mots de passe sur plusieurs comptes différents. Même si votre compte
compromis n'est pas utilisé pour réserver un voyage ou si vos points ne sont pas dépensés pour des produits, les
comptes eux-mêmes sont des produits précieux qui peuvent être vendus à d'autres criminels sur le Dark Web.
Lorsque nous parlons de « programmes de fidélité à vendre » dans ce rapport, nous l'entendons presque
littéralement. Bien que votre fidélité à un commerçant, une compagnie aérienne ou une chaîne d'hôtels ne soit pas
littéralement à vendre, il y a de fortes chances que le compte associé à un programme de fidélité que vous utilisez
le soit.
Jeff Borman, fondateur et dirigeant chez travelINNsights, est notre auteur invité pour cette édition. Il nous donne
son point de vue d'initié sur le secteur de l'hôtellerie, souvent géré par des propriétaires de franchises et de
grandes entreprises de marque qui s'efforcent d'équilibrer le retour sur investissement tout en protégeant leurs
données et celles de leurs clients.
Nous ne pouvons pas en parler sans aborder ce qui a vraiment influencé cette année : le COVID-19 a fortement
touché les secteurs de l'hôtellerie et du commerce de détail.
Ces secteurs, connus pour l'importance qu'ils accordent au service client et à l'interaction en face à face, ont
renforcé ou créé plusieurs programmes pour soutenir leurs clients. Toutefois, ces mesures, y compris l'extension des
points sur divers programmes de fidélité, les primes, etc., n'ont pas pu empêcher la baisse des activités au cours du
premier semestre 2020.
Il y a vingt ans, les plus grandes marques géraient des hôtels. Aujourd'hui, elles gèrent une base de clients. L'un des inconvénients de cette approche est que les grandes chaînes hôtelières comptent sur les propriétaires de chaque établissement pour continuer à investir dans leurs hôtels. Les investissements vont de l'amélioration de l’établissement proprement dit avec de nouveaux designs de meubles, à des logiciels de gestion d'hôtel. Lorsque Hilton a lancé la clé numérique en 2016, le premier processus d'enregistrement sans contact du secteur, il a dû s'assurer que chaque propriétaire d'hôtel installait les serrures appropriées et exécutait les procédures système adaptées. De telles améliorations coûtent cher, et une entreprise comme Hilton doit donc faire preuve de beaucoup de diligence dans le choix des initiatives à mettre en œuvre. »
Jeff Borman, fondateur et dirigeant chez travelINNsights
«
[état des lieux d'Internet] / sécurité
À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 3
Au cours des confinements du premier trimestre 2020, les criminels ont profité de la situation mondiale, diffusé
des listes de combinaisons de mots de passe et ciblé chacun des secteurs du commerce. C'est à cette période
que les criminels ont commencé à refaire circuler d'anciennes listes d'identifiants dans le but de détecter de
nouveaux comptes vulnérables, ce qui a conduit à une légère hausse des ventes liées aux programmes de
fidélité.
Vous pouvez voir ci-dessous les attaques par « credential stuffing » enregistrées entre juillet 2018 et juin 2020,
mais nous avons retiré un client non commercial de l'ensemble des données, car son volume d'attaque a généré
un trafic important, et seulement six mois de données étaient disponibles au moment de l'élaboration de ce
rapport. La première chose à remarquer est la cohérence des attaques, quelle que soit la ligne suivie. Dans
les secteurs du commerce de détail, du tourisme et de l'hôtellerie combinés, 63 828 642 449 attaques par
« credential stuffing » ont été enregistrées, soit plus de 100 milliards au total. Plus de 90 % des attaques dans la
catégorie du commerce visaient le secteur de la vente au détail.
Tentatives quotidiennes de vols d'identifiants Juillet 2018 – Juin 2020
0 M
100 M
200 M
300 M
1er juil18
1er oct18
1er jan19
1er avr19
1er juil19
1er oct19
1er jan20
1er avr20
1er juil20
Tous les secteurs Commerce
27 avril 2019172 497 571
17 sept. 2019189 086 267
14 janvier 2020190 931 368
15 juin 2020229 552 603
Tent
ativ
es d
e co
nnex
ions
mal
veill
ante
s (m
illio
ns)
[état des lieux d'Internet] / sécurité
À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 4
Principaux vecteurs d'attaque Web ciblant le commerceJuillet 2018 – Juin 2020
Le « credential stuffing » n'est pas la seule façon pour les criminels de cibler les industries du commerce de détail,
du tourisme et de l'hôtellerie. Ils visent les entreprises de ces secteurs à la source en utilisant des attaques par
injection SQL (SQLi) et par inclusion de fichiers locaux (LFI). Entre juillet 2018 et juin 2020, Akamai a observé
4 375 711 860 attaques Web contre le commerce de détail, le tourisme et l'hôtellerie, soit 41 % du volume total
des attaques tous secteurs confondus. Dans cet ensemble de données, 83 % de ces attaques Web ont ciblé le
secteur du commerce de détail.
0 B
1 B
2 B
3 B
Vecteur d'attaque
Att
aque
s (m
illia
rds)
78,971%
13,956%
SQLi LFI Téléchargement de fichiers malveillants
XSS RFI Autre
2,344% 1,805% 1,181% 1,742%
[état des lieux d'Internet] / sécurité
À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 5
Nous n'avons pas oublié les attaques par déni de service distribué (DDoS) dans ce rapport. Ces attaques sont
redoutées par tous les détaillants, car si leur portail de commerce en ligne s'effondre sous l'assaut de paquets et
de trafic malveillant, cela pourrait leur coûter des milliers de dollars par seconde.
Entre juillet 2019 et juin 2020, comme le montrent les chiffres ci-dessous, la catégorie du commerce a été
confrontée à 125 attaques DDoS, dont 90 % contre des organisations opérant dans le secteur du commerce de
détail, le reste affectant l'industrie du tourisme et de l'hôtellerie.
Événements hebdomadaires liés à des attaques DDoSJuillet 2019 – Juin 2020
0
50
100
150
1er juil2019
1er août2019
1er sept2019
1er oct2019
1er nov.2019
1er déc2019
1er jan2020
1er fév2020
1er mars2020
1er avr2020
1er mai2020
1er juin2020
Évén
emen
ts d
'att
aque
DD
oS
Tous les secteurs Commerce
[état des lieux d'Internet] / sécurité
À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 6
Akamai sécurise et diffuse des expériences digitales pour les plus grandes entreprises du monde entier. L'Intelligent Edge Platform d'Akamai englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises. Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures multiclouds. Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces. Les solutions de sécurité en bordure de l'Internet, de performances Web et sur mobile, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24 et 7 j/7, 365 jours par an. Pour savoir pourquoi les plus grandes marques du monde font confiance à Akamai, rendez-vous sur www.akamai.com, blogs.akamai.com ou @Akamai sur Twitter. Nos coordonnées dans le monde entier sont disponibles à l'adresse www.akamai.com/locations. Publication : 10/20.
Les secteurs du commerce de détail, de l'hôtellerie et du tourisme sont constamment visés par les criminels,
car ils ont accès à des ressources facilement monnayables. Ces ressources peuvent être des renseignements
personnels, des informations financières, des programmes de fidélité basés sur une marque, ou tous ces
éléments combinés.
Certains des principaux programmes de fidélité ciblés n'exigent rien de plus qu'un numéro de téléphone mobile
et un mot de passe numérique, tandis que d'autres s'appuient sur des informations facilement obtenues comme
moyen d'authentification. Il est urgent d'améliorer les contrôles d'identité et les contre-mesures pour éviter les
attaques contre les API et les ressources serveur.
Le perpétuel combat entre les criminels et les défenseurs des secteurs du commerce, du tourisme et de
l'hôtellerie ne disparaîtra pas. C'est aux organisations elles-mêmes et à leurs équipes internes de travailler
ensemble pour garder une longueur d'avance.
Lire le rapport complet[état des lieux d'Internet / sécurité Volume 6, numéro 3 À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail
Télécharger
https://www.akamai.com/fr/frhttps://blogs.akamai.com/frhttps://twitter.com/akamai?lang=frhttps://www.akamai.com/fr/fr/locations.jsphttps://www.akamai.com/fr/fr/multimedia/documents/state-of-the-internet/soti-security-loyalty-for-sale-retail-and-hospitality-fraud-report-2020.pdfTop Related