Test-Achats a testé la sécurité de 100 boutiques en ligne populaires et a détecté des failles dans 55 d'entre elles, s'alarme mercredi l'organisation de défense des consommateurs. "Un résultat inquiétant et décevant", déplore Test-Achats, qui appelle à faciliter le signalement de problème de sécurité. Test-Achats a sélectionné 100 boutiques en ligne populaires et a testé les 10 failles de sécurité les plus courantes, selon une liste de l'OWASP (Open Web Application Security Project), une communauté en ligne travaillant sur la sécurité des applications web.

Plus de la moitié (55) ont présenté des problèmes de sécurité, dont 25 cas graves, comme la possibilité de prendre le contrôle des sessions d'utilisateurs ou d'administrateurs, ou de modifier le site grâce au phishing.

Ces failles sont dangereuses pour le consommateur car si un cybercriminel peut modifier le site web, il peut créer un faux écran d'identification ou de paiement et subtiliser des données ou de l'argent, note Test-Achats. Si le pirate accède à la base de données des clients, il peut mener des attaques ciblées comme envoyer un e-mail en faisant référence à une commande effectuée par le consommateur.

Si la sécurité absolue n'existe pas, les sites doivent toutefois disposer d'une bonne protection de base, plaide Test-Achats. Or, celle-ci ne s'améliore pas vraiment. En 2015, une évaluation similaire avait été menée par l'organisation. Depuis, les cas graves ont diminué (25, contre 33) mais le nombre total de boutiques présentant des failles a augmenté de 5%.

Test-Achats regrette qu'il ne soit pas aisé de signaler un problème de sécurité à un magasin en ligne. Elle plaide pour l'instauration d'une politique de divulgation, en faisant tester la sécurité des sites web par des "pirates éthiques", à l'instar de ce qui prévaut aux Pays-Bas. "Une telle politique d'ouverture ne peut qu'améliorer la sécurité des boutiques en ligne", conclut Test-Achats, qui a informé l'Autorité de protection des données (APD) de ses résultats.