À vendre : programmes de fidélité Fraude dans le secteur de

l'hôtellerie et de la vente au détail

Volume 6, numéro 3

[état des lieux d'Internet] / sécuritéRésumé :

[état des lieux d'Internet] / sécurité

À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 2

Les criminels n'ont pas peur d'utiliser notre fidélité contre nous.

Comme nous l'avons déjà dit, la réutilisation des mots de passe est un problème important dans tous les secteurs.

Les programmes de fidélité rencontrent un problème supplémentaire de perception. De nombreux utilisateurs ne

pensent pas que ces programmes peuvent présenter un risque élevé et sont plus susceptibles d'utiliser des mots

de passe peu sécurisés ou de réutiliser des mots de passe sur plusieurs comptes différents. Même si votre compte

compromis n'est pas utilisé pour réserver un voyage ou si vos points ne sont pas dépensés pour des produits, les

comptes eux-mêmes sont des produits précieux qui peuvent être vendus à d'autres criminels sur le Dark Web.

Lorsque nous parlons de « programmes de fidélité à vendre » dans ce rapport, nous l'entendons presque

littéralement. Bien que votre fidélité à un commerçant, une compagnie aérienne ou une chaîne d'hôtels ne soit pas

littéralement à vendre, il y a de fortes chances que le compte associé à un programme de fidélité que vous utilisez

le soit.

Jeff Borman, fondateur et dirigeant chez travelINNsights, est notre auteur invité pour cette édition. Il nous donne

son point de vue d'initié sur le secteur de l'hôtellerie, souvent géré par des propriétaires de franchises et de

grandes entreprises de marque qui s'efforcent d'équilibrer le retour sur investissement tout en protégeant leurs

données et celles de leurs clients.

Nous ne pouvons pas en parler sans aborder ce qui a vraiment influencé cette année : le COVID-19 a fortement

touché les secteurs de l'hôtellerie et du commerce de détail.

Ces secteurs, connus pour l'importance qu'ils accordent au service client et à l'interaction en face à face, ont

renforcé ou créé plusieurs programmes pour soutenir leurs clients. Toutefois, ces mesures, y compris l'extension des

points sur divers programmes de fidélité, les primes, etc., n'ont pas pu empêcher la baisse des activités au cours du

premier semestre 2020.

Il y a vingt ans, les plus grandes marques géraient des hôtels. Aujourd'hui, elles gèrent une base de clients. L'un des inconvénients de cette approche est que les grandes chaînes hôtelières comptent sur les propriétaires de chaque établissement pour continuer à investir dans leurs hôtels. Les investissements vont de l'amélioration de l’établissement proprement dit avec de nouveaux designs de meubles, à des logiciels de gestion d'hôtel. Lorsque Hilton a lancé la clé numérique en 2016, le premier processus d'enregistrement sans contact du secteur, il a dû s'assurer que chaque propriétaire d'hôtel installait les serrures appropriées et exécutait les procédures système adaptées. De telles améliorations coûtent cher, et une entreprise comme Hilton doit donc faire preuve de beaucoup de diligence dans le choix des initiatives à mettre en œuvre. »

Jeff Borman, fondateur et dirigeant chez travelINNsights

«

[état des lieux d'Internet] / sécurité

À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 3

Au cours des confinements du premier trimestre 2020, les criminels ont profité de la situation mondiale, diffusé

des listes de combinaisons de mots de passe et ciblé chacun des secteurs du commerce. C'est à cette période

que les criminels ont commencé à refaire circuler d'anciennes listes d'identifiants dans le but de détecter de

nouveaux comptes vulnérables, ce qui a conduit à une légère hausse des ventes liées aux programmes de

fidélité.

Vous pouvez voir ci-dessous les attaques par « credential stuffing » enregistrées entre juillet 2018 et juin 2020,

mais nous avons retiré un client non commercial de l'ensemble des données, car son volume d'attaque a généré

un trafic important, et seulement six mois de données étaient disponibles au moment de l'élaboration de ce

rapport. La première chose à remarquer est la cohérence des attaques, quelle que soit la ligne suivie. Dans

les secteurs du commerce de détail, du tourisme et de l'hôtellerie combinés, 63 828 642 449 attaques par

« credential stuffing » ont été enregistrées, soit plus de 100 milliards au total. Plus de 90 % des attaques dans la

catégorie du commerce visaient le secteur de la vente au détail.

Tentatives quotidiennes de vols d'identifiants Juillet 2018 – Juin 2020

0 M

100 M

200 M

300 M

1er juil18

1er oct18

1er jan19

1er avr19

1er juil19

1er oct19

1er jan20

1er avr20

1er juil20

Tous les secteurs Commerce

27 avril 2019172 497 571

17 sept. 2019189 086 267

14 janvier 2020190 931 368

15 juin 2020229 552 603

Tent

ativ

es d

e co

nnex

ions

mal

veill

ante

s (m

illio

ns)

[état des lieux d'Internet] / sécurité

À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 4

Principaux vecteurs d'attaque Web ciblant le commerceJuillet 2018 – Juin 2020

Le « credential stuffing » n'est pas la seule façon pour les criminels de cibler les industries du commerce de détail,

du tourisme et de l'hôtellerie. Ils visent les entreprises de ces secteurs à la source en utilisant des attaques par

injection SQL (SQLi) et par inclusion de fichiers locaux (LFI). Entre juillet 2018 et juin 2020, Akamai a observé

4 375 711 860 attaques Web contre le commerce de détail, le tourisme et l'hôtellerie, soit 41 % du volume total

des attaques tous secteurs confondus. Dans cet ensemble de données, 83 % de ces attaques Web ont ciblé le

secteur du commerce de détail.

0 B

1 B

2 B

3 B

Vecteur d'attaque

Att

aque

s (m

illia

rds)

78,971%

13,956%

SQLi LFI Téléchargement de fichiers malveillants

XSS RFI Autre

2,344% 1,805% 1,181% 1,742%

[état des lieux d'Internet] / sécurité

À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 5

Nous n'avons pas oublié les attaques par déni de service distribué (DDoS) dans ce rapport. Ces attaques sont

redoutées par tous les détaillants, car si leur portail de commerce en ligne s'effondre sous l'assaut de paquets et

de trafic malveillant, cela pourrait leur coûter des milliers de dollars par seconde.

Entre juillet 2019 et juin 2020, comme le montrent les chiffres ci-dessous, la catégorie du commerce a été

confrontée à 125 attaques DDoS, dont 90 % contre des organisations opérant dans le secteur du commerce de

détail, le reste affectant l'industrie du tourisme et de l'hôtellerie.

Événements hebdomadaires liés à des attaques DDoSJuillet 2019 – Juin 2020

0

50

100

150

1er juil2019

1er août2019

1er sept2019

1er oct2019

1er nov.2019

1er déc2019

1er jan2020

1er fév2020

1er mars2020

1er avr2020

1er mai2020

1er juin2020

Évén

emen

ts d

'att

aque

DD

oS

Tous les secteurs Commerce

[état des lieux d'Internet] / sécurité

À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail : Résumé 6

Akamai sécurise et diffuse des expériences digitales pour les plus grandes entreprises du monde entier. L'Intelligent Edge Platform d'Akamai englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises. Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures multiclouds. Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces. Les solutions de sécurité en bordure de l'Internet, de performances Web et sur mobile, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24 et 7 j/7, 365 jours par an. Pour savoir pourquoi les plus grandes marques du monde font confiance à Akamai, rendez-vous sur www.akamai.com, blogs.akamai.com ou @Akamai sur Twitter. Nos coordonnées dans le monde entier sont disponibles à l'adresse www.akamai.com/locations. Publication : 10/20.

Les secteurs du commerce de détail, de l'hôtellerie et du tourisme sont constamment visés par les criminels,

car ils ont accès à des ressources facilement monnayables. Ces ressources peuvent être des renseignements

personnels, des informations financières, des programmes de fidélité basés sur une marque, ou tous ces

éléments combinés.

Certains des principaux programmes de fidélité ciblés n'exigent rien de plus qu'un numéro de téléphone mobile

et un mot de passe numérique, tandis que d'autres s'appuient sur des informations facilement obtenues comme

moyen d'authentification. Il est urgent d'améliorer les contrôles d'identité et les contre-mesures pour éviter les

attaques contre les API et les ressources serveur.

Le perpétuel combat entre les criminels et les défenseurs des secteurs du commerce, du tourisme et de

l'hôtellerie ne disparaîtra pas. C'est aux organisations elles-mêmes et à leurs équipes internes de travailler

ensemble pour garder une longueur d'avance.

Lire le rapport complet[état des lieux d'Internet / sécurité Volume 6, numéro 3 À vendre : programmes de fidélité - Fraude dans le secteur de l'hôtellerie et de la vente au détail

Télécharger

https://www.akamai.com/fr/frhttps://blogs.akamai.com/frhttps://twitter.com/akamai?lang=frhttps://www.akamai.com/fr/fr/locations.jsphttps://www.akamai.com/fr/fr/multimedia/documents/state-of-the-internet/soti-security-loyalty-for-sale-retail-and-hospitality-fraud-report-2020.pdf