En à peine trois ans, le Black Friday est devenu l'un des moments de consommation les plus puissants de l'année, presque au niveau de Noël. Pendant une semaine, magasins physiques et sites de vente en ligne proposent des promotions de taille. L'occasion pour les consommateurs de faire de très bonnes affaires, par exemple en anticipant les achats de Noël. Mais attention, les hackers aussi profitent du Black Friday pour piéger les internautes. "Chaque année, on enregistre un pic des attaques lors du Black Friday. Cette année, nous avons repéré 15 malwares différents qui visent plus de 90 sites de e-commerce", explique à Europe 1 Ivan Kwiatkowski, expert en cybersécurité chez Kaspersky. Il livre ses conseils pour ne pas se faire avoir.
Être encore plus vigilant que d'habitude sur les promotions
Le Black Friday peut parfois ressembler à un concours de la plus grosse promotion. Et les vendeurs matraquent le plus souvent leurs offres par mail. Difficile d'y voir clair et c'est justement là que les hackers s’infiltrent. "C'est une période avec des promotions partout. Le fait d'en recevoir une de plus dans ses mails, peut-être un peu plus attirante, passe relativement inaperçu", alerte Ivan Kwiatkowski. "C'est le problème du Black Friday car le reste de l'année, une offre beaucoup trop belle pour être vrai nous paraîtrait immédiatement suspecte." Une seule solution : être encore plus vigilant et ne pas croire au père Noël.
Ne pas cliquer sur n'importe quel lien
La méthode la plus courante des arnaques en ligne est le phishing. "Concrètement, ce sont des mails envoyés aux consommateurs par des hackers se faisant passer pour des sites marchands. Ils essayent de diriger l'internaute vers un faux site copié sur l'original et de l'inciter à immédiatement rentrer ses identifiants", précise Ivan Kwiatkowski. À partir de là, les hackers peuvent utiliser les identifiants pour passer des commandes à votre place et se les faire livrer chez eux.
Si vous avez un doute sur l'offre, ne cliquez pas immédiatement sur le lien. "Passez votre souris dessus. En bas du navigateur, vous aurez un aperçu du site de destination. Si ce n'est pas le site marchand habituel dans le mail, c'est qu'il y a un piège", rappelle Ivan Kwiatkowski. Même les meilleures promotions peuvent attendre quelques secondes de plus.
Mail, adresse, site : tout passer au peigne fin
Les méthodes des hackers sont parfois très sophistiquées mais, la plupart du temps, elles se révèlent assez visibles pour qui est familier d'Internet. Première chose à vérifier : l'adresse mail de l'expéditeur. "Les hackers vont reproduire l'adresse originelle à un ou deux caractères près, par exemple un chiffre en plus ou une lettre en moins", indique le spécialiste de Kaspersky. Cherchez également les fautes d'orthographe, signe que le mail est sans doute frauduleux.
Regardez également l'adresse du site, située dans la barre de recherche en haut. Un faux site de vente ne sera pas certifié "https". Par ailleurs, "il ne portera pas le nom de domaine du vrai site mais une variation en apparence légitime. Par exemple, ce ne sera pas 'Amazon.fr' mais 'BlackFriday-Amazon.fr'. C'est très facile pour les hackers de déposer ce genre de nom de domaine", souligne Ivan Kwiatkowski. C'est le meilleur moyen de repérer un faux site, car "visuellement, il sera quasiment identique au vrai".
Bien réfléchir avant de donner ses identifiants bancaires
Pour se simplifier la vie, on peut désormais enregistrer ses identifiants bancaire (numéro de carte, date de validité et code de sécurité) directement dans son navigateur Internet ou sur les sites de vente. Un raccourci bien pratique mais risqué. "Si des hackers récupèrent vos identifiants sur un site grâce au phishing, ils vont ainsi pouvoir accéder à vos identifiants bancaires. Et là, ça peut devenir très grave puisqu'ils seront en capacité de faire de virement ou vider vos comptes directement", prévient Ivan Kwiatkowski.
Pour éviter d'ne arriver là, certains sites proposent désormais la double authentification. "Ce système consiste à se connecter à un site marchand, non pas uniquement avec un identifiant et un mot de passe, mais aussi une deuxième validation grâce à un code envoyé sur son téléphone. En l'activant, même si les hackers obtiennent vos codes d'accès, il ne pourront rien faire sans votre mobile", explique l'expert. C'est un peu laborieux au début, mais on s'y fait vite et on se sent bien plus en sécurité.