Notions de base sur les logiciels malveillants de point de vente (PDV) : facteurs de risque et protection de votre entreprise

Terminal
Terminal

Créez une expérience unifiée pour vos clients, en ligne comme par TPE. Avec Stripe Terminal, les plateformes et les entreprises bénéficient d'outils de développement, de lecteurs de cartes pré-certifiés, de la fonction Tap to Pay sur les appareils iPhone et Android compatibles, et d'une gestion des appareils dans le cloud.

En savoir plus 
  1. Introduction
  2. Typologie des attaques de logiciels malveillants de point de vente
  3. Principes de fonctionnement des logiciels malveillants de point de vente
    1. Infiltration
    2. Résidence
    3. Activation
    4. Collecte et transmission de données
    5. Persistance et propagation
  4. Logiciels malveillants de PDV : facteurs de risque pour les entreprises
  5. Incidences des logiciels malveillants de PDV sur les entreprises et les clients
  6. Protection de votre entreprise contre les logiciels malveillants de PDV

Les logiciels malveillants de point de vente (PDV) sont des logiciels qui ciblent les systèmes de point de vente utilisés par les entreprises pour traiter les transactions de leurs clients. Les fraudeurs utilisent ces logiciels malveillants pour voler les données de cartes bancaires et d'autres informations sensibles. Ils opèrent généralement de façon insidieuse et les transmettent à des personnes non autorisées, ce qui expose les entreprises et les clients à des risques financiers et de fuites de données. Les méthodes et le niveau de sophistication des logiciels malveillants peuvent varier, mais leur principal objectif est le vol de données transactionnelles précieuses. Les logiciels malveillants de point de vente, à l'instar d'autres types de fraude, ont des conséquences majeures sur les entreprises : l'Official Cybercrime Report de 2022 prévoit que le coût total de la cybercriminalité atteindra les 10,5 Md$ en 2025.

Nous abordons ci-après les différents éléments à connaître pour lutter contre les attaques de logiciels malveillants de PDV, notamment leurs principes de fonctionnement, les points de vulnérabilité potentiels et les mesures à prendre pour protéger votre entreprise ainsi que vos clients.

Sommaire

  • Typologie des attaques de logiciels malveillants de point de vente
  • Principes de fonctionnement des logiciels malveillants de point de vente
  • Logiciels malveillants de PDV : facteurs de risque pour les entreprises
  • Incidences des logiciels malveillants de PDV sur les entreprises et les clients
  • Protection de votre entreprise contre les logiciels malveillants de PDV

Typologie des attaques de logiciels malveillants de point de vente

Les attaques de logiciels malveillants de PDV prennent de multiples formes, et possèdent des caractéristiques et des cibles propres. Une bonne compréhension de ces types d'attaques peut vous aider à les reconnaître et à contrer d'éventuelles menaces. Voici les attaques de logiciels malveillants de point de vente les plus répandues.

  • Racleurs de mémoire (memory scrappers) : ce type de logiciel malveillant balaie la mémoire du système de PDV à la recherche de données sensibles, telles que des informations de carte bancaire. Ils opèrent souvent au moment où les données sont chiffrées, et les capturent avant qu'elles ne soient sécurisées.

  • Enregistreurs de frappe (keyloggers) : ce type de logiciel malveillant enregistre les frappes des touches sur un système de PDV. Cette menace est particulièrement préoccupante, car il est possible de capturer non seulement les données de carte bancaire, mais également les mots de passe et d'autres informations sensibles saisies par l'intermédiaire du clavier.

  • Renifleurs de réseau (network sniffers) : ce type de logiciel malveillant surveille et capture des données qui transitent à travers le réseau auquel le système de PDV est connecté. Il intercepte habituellement les données pendant leur transmission, ce qui menace plus particulièrement les systèmes qui reposent sur des transactions réalisées par ce biais.

  • Racleurs de mémoire vive (RAM scrapers) : similaires aux racleurs de mémoire, ils ciblent principalement les données stockées dans la mémoire vive du système. Leur efficacité est redoutable, car les systèmes de PDV stockent souvent des données non chiffrées dans la RAM pendant leur traitement.

  • Injecteurs de fichiers (file injectors) : ce type de logiciel injecte un code malveillant dans des fichiers légitimes du système de PDV. Ils modifient la fonction des fichiers et volent des données par leur intermédiaire ou effectuent d'autres activités malveillantes.

  • Portes dérobées (backdoors) : elles créent un point d'entrée caché dans le système qui permet aux cyberattaquants d'y accéder de façon indétectable et prolongée. Ce type de logiciel malveillant est utilisé pour le vol de données et la surveillance du système sur le long terme.

Chaque type de logiciel malveillant de PDV correspond à une méthode et à une cible spécifiques. Les scénarios d'attaque sont donc multiples. Les racleurs de mémoire et de RAM exploitent les brefs instants durant lesquels les données sensibles ne sont pas chiffrées. Les enregistreurs de frappe et les renifleurs de réseau capturent les saisies et les transmissions de données. Les injecteurs de fichiers et les portes dérobées visent principalement à créer un accès durable aux systèmes et à en prendre le contrôle. Sachez reconnaître ces caractéristiques et vous serez en mesure d'élaborer vos stratégies de sécurité pour faire face à tous types de menaces avec la plus grande efficacité.

Principes de fonctionnement des logiciels malveillants de point de vente

Les logiciels malveillants de PDV sont conçus pour ne pas être détectés lors de la poursuite de leur objectif, voler des données. Bien que les tactiques déployées évoluent en permanence, nous avons pu en résumer le mode habituel de fonctionnement ci-après.

Infiltration

Le logiciel malveillant commence par entrer dans le système de PDV. Il peut le faire par l'intermédiaire d'e-mails d'hameçonnage envoyés aux employés, en utilisant des identifiants compromis ou en exploitant des vulnérabilités du logiciel de point de vente. Après avoir trouvé un accès, il s'implante dans le système.

Résidence

Une fois infiltré, le logiciel malveillant reste souvent dormant pour éviter d'être détecté. Pendant cette période, il s'insère dans des processus clés ou prend toutes les apparences d'un logiciel légitime. Il reste ainsi indétectable dans l'environnement du système de PDV.

Activation

Le logiciel malveillant devient actif pendant les transactions. Il balaie la mémoire à la recherche de données chiffrées ou de logs de frappes de touches, ou bien capture le trafic réseau. Les plus sophistiqués peuvent même modifier les processus de transaction ou créer des signaux d'approbation fictifs, et permettre ainsi des transactions non autorisées.

Collecte et transmission de données

Une fois les données capturées, le logiciel malveillant les rassemble et les transmet à un serveur distant contrôlé par les cyberattaquants. Ce transfert est souvent effectué en une seule fois pour éviter de déclencher une alarme.

Persistance et propagation

De nombreux logiciels malveillants de point de vente sont conçus pour rester présents sur le système infecté de façon prolongée et peuvent même se propager à d'autres systèmes connectés, et élargir ainsi la portée de leur attaque.

Voici deux exemples réels qui illustrent l'efficacité et les dangers des logiciels malveillants de PDV.

Target

En 2013, un logiciel malveillant a infiltré le système de PDV de Target, ce qui a conduit au vol de plus de 40 millions de numéros de cartes de crédit et de débit. Élément d'une cyberattaque de plus large envergure, le logiciel malveillant a capturé des données directement à partir de la mémoire des dispositifs de PDV, au moment où les cartes y étaient glissées.

Wendy's

En 2016, un logiciel malveillant installé sur les systèmes de PDV de la chaîne de restaurants Wendy's a entraîné un vol à grande échelle des informations de paiement des clients. Cette attaque a mis en lumière la capacité d'un logiciel malveillant à rester indétectable pendant une longue période et à compromettre des données à grande échelle.

Ces exemples soulignent l'importance de la protection des systèmes de PDV par l'adoption de mesures de sécurité proactives et complètes. Des mises à jour régulières des logiciels, une sensibilisation des employés aux cybermenaces, une sécurité réseau renforcée ainsi qu'une surveillance permanente constituent les meilleurs remparts contre les attaques de logiciels malveillants sophistiquées. Les entreprises doivent comprendre le fonctionnement des logiciels malveillants de PDV si elles souhaitent développer des défenses efficaces et limiter les risques potentiels.

Logiciels malveillants de PDV : facteurs de risque pour les entreprises

Les facteurs de risque relatifs aux logiciels malveillants de PDV sont liés à différents aspects de la sécurité, du fonctionnement et de la maintenance des systèmes de PDV. Certains systèmes sont plus vulnérables que d'autres en raison de caractéristiques ou de pratiques spécifiques détaillées ci-après.

  • Logiciels obsolètes : les systèmes qui exécutent des logiciels obsolètes constituent les cibles principales. Les mises à jour incluent souvent des correctifs de sécurité qui traitent les vulnérabilités connues. Il devient alors plus compliqué pour les logiciels malveillants d'exploiter les failles potentielles.

  • Faiblesse des mots de passe et des identifiants : les mots de passe simples ou générés par défaut facilitent la tâche des cyberattaquants qui souhaitent accéder aux systèmes. Il est important de choisir des mots de passe forts et complexes, et de les modifier régulièrement pour préserver la sécurité.

  • Défaut de formation du personnel : faute de connaître les tactiques d'hameçonnage ou les pratiques de sécurité adaptées, les employés peuvent permettre aux logiciels malveillants d'infiltrer les systèmes par inadvertance.

  • Sécurité des réseaux inadaptée : les systèmes de PDV connectés à des réseaux non sécurisés encourent également un autre type de risque. Les logiciels malveillants peuvent facilement infiltrer ou exfiltrer des données lorsqu'ils attaquent des systèmes non protégés par des mesures de sécurité réseau dédiées, tels que des pare-feu ou des outils de détection des intrusions.

  • Stratégies de sécurité à un seul niveau : le recours à un dispositif de sécurité unique, tel qu'un logiciel antivirus, est insuffisant. Les stratégies qui incluent plusieurs niveaux de sécurité et de multiples défenses sont plus efficaces.

  • Accès physique aux systèmes : les systèmes auxquels il est facile d'accéder physiquement peuvent être compromis, par exemple au moyen de clés USB contenant des logiciels malveillants.

  • Défaut de surveillance permanente : les systèmes qui ne font pas l'objet d'une surveillance permanente destinée à repérer des activités inhabituelles peuvent manquer les signes précurseurs d'une atteinte à leur intégrité, mais également permettre aux logiciels malveillants de rester indétectables pendant de longues périodes.

  • Intégration avec des services tiers non sécurisés : les systèmes de PDV intégrés avec des services tiers dépourvus de mesures de sécurité complètes peuvent introduire des vulnérabilités.

Certains systèmes sont plus exposés aux risques en raison de leurs cas d'usage ou de leurs environnements particuliers. En voici quelques-uns.

  • Environnements hautement transactionnels : les systèmes qui enregistrent d'importants volumes de transactions, tels que ceux des grands distributeurs, sont particulièrement ciblés en raison de la quantité considérable de données précieuses qu'ils traitent.

  • Petites entreprises : les petites entreprises ne réalisent pas nécessairement d'investissements importants dans la cybersécurité. Leurs systèmes de PDV sont d'autant plus susceptibles d'être visés par des attaques.

  • Systèmes anciens : les systèmes hérités qui ne sont pas régulièrement mis à jour ou remplacés peuvent présenter des failles de sécurité auxquels des systèmes plus récents ont pu apporter des solutions.

Incidences des logiciels malveillants de PDV sur les entreprises et les clients

Les logiciels malveillants de PDV peuvent avoir d'importantes incidences tant sur les entreprises que sur les clients. Les attaques peuvent perturber les activités des entreprises, nuire à leur réputation et avoir des implications financières et juridiques. Pour les clients, elles peuvent engendrer un risque financier, une inquiétude concernant la confidentialité de leurs données et une perte de confiance dans les entreprises qui en sont les victimes.

Voici les risques encourus par les entreprises.

  • Pertes financières
    Les conséquences financières incluent la perte de revenus commerciaux,les coûts induits par l'identification de la faille, la mise en place de solutions et les amendes potentielles en cas de non respect des réglementations relatives à la protection des données.

  • Atteinte à la réputation
    Une attaque de logiciel malveillant peut nuire gravement à la réputation d'une entreprise. Les clients n'ont plus confiance en sa capacité à protéger leurs données, ce qui peut conduire à une perte de fidélité et à une baisse des ventes.

  • Perturbation opérationnelle
    Suite à une attaque de logiciel malveillant, les opérations de nettoyage impliquent souvent de mettre les systèmes de PDV hors ligne, ce qui entraîne des perturbations opérationnelles et fait potentiellement perdre des ventes.

  • Conséquences juridiques et réglementaires
    Les entreprises peuvent faire l'objet de poursuites judiciaires entamées par des clients ou se voir infliger des amendes par des autorités de contrôle pour ne pas avoir protégé les données de ces derniers correctement.

Suite à une attaque, les coûts d'un renforcement de la sécurité peuvent également être importants. Dans une telle situation, les entreprises ont souvent besoin d'investir dans des systèmes avancés, la formation du personnel et une mise en conformité qui, par voie de conséquence, augmentent les coûts opérationnels.

Voici les risques encourus par les clients.

  • Risques financiers : les clients dont les informations de carte bancaire sont volées risquent d'avoir à supporter le coût de paiements frauduleux. Même si de nombreuses banques proposent une protection contre la fraude, le temps nécessaire pour remédier aux transactions non autorisées peut être long et constituer une source de stress.

  • Usurpation d'identité : au-delà de la fraude financière aux effets immédiats, les données volées peuvent être utilisées à des fins d'usurpation d'identité et engendrer des problèmes financiers et juridiques à long terme.

  • Perte de confiance : les clients peuvent ne plus accorder leur confiance aux entreprises qui n'ont pas su protéger leurs données. Ils peuvent alors se montrer réticents à utiliser leur carte de débit ou de crédit et modifier leur comportement d'achat.

  • Inquiétudes relatives à la confidentialité des données : pour les clients concernés, la compromission de leurs informations personnelles peut être source de stress et d'anxiété.

Protection de votre entreprise contre les logiciels malveillants de PDV

Des mesures proactives en matière de cybersécurité, une surveillance permanente et des plans de réponse immédiate constituent des éléments fondamentaux pour les entreprises qui souhaitent se protéger et préserver leurs clients. Pour ce faire, il convient d'adopter de bonnes pratiques qui mettent à l'abri vos systèmes de PDV et permettent une détection des menaces précoce. En voici quelques-unes.

  • Mises à jour régulières des logiciels : veillez à ce que vos logiciels de PDV soient toujours mis à jour. Des mises à jour régulières incluent des correctifs de sécurité qui traitent les vulnérabilités susceptibles d'être exploitées par les logiciels malveillants.

  • Politiques de mots de passe forts : mettez en place des politiques de mots de passe forts. Ils doivent être complexes et modifiés régulièrement. Évitez d'utiliser ceux qui sont proposés par défaut par le système.

  • Formation du personnel : formez vos employés à la cybersécurité. Ils doivent être sensibilités aux escroqueries par hameçonnage et comprendre qu'il est important de ne pas communiquer leurs mots de passe et de ne pas cliquer sur des liens suspects.

  • Sécurité des réseaux : sécurisez votre réseau. Utilisez des pare-feu et assurez-vous que votre réseau Wi-Fi est chiffré et sécurisé. Séparez le réseau de votre système de PDV de celui utilisé par vos clients ou pour vos activités commerciales générales.

  • Utilisation d'un antivirus et d'outils de protection contre les logiciels malveillants : recourez à des solutions antivirus et à des outils de protection contre les logiciels malveillants reconnus. Ces services constituent la ligne de défense minimale à mettre en place face aux logiciels malveillants.

  • Chiffrement des données : chiffrez les données sensibles. Veillez à ce que les données des clients soient chiffrées, en particulier lors de leur transmission.

  • Contrôle des accès : limitez les accès à votre système de PDV. Seul votre personnel autorisé peut y accéder, et ce, de façon limitée, uniquement pour leur permettre d'effectuer les tâches qui lui sont assignées.

  • Surveillance permanente : exercez une surveillance constante sur vos systèmes. Recherchez toute activité inhabituelle, telle que des transferts de données imprévus ou une altération des performances.

  • Plan de réponse aux incidents : mettez en œuvre un plan de réponse aux incidents. Il est important de savoir quelle attitude adopter en cas de violation de données afin de pouvoir réagir rapidement et de limiter les dommages.

  • Audits réguliers et conformité : effectuez régulièrement des audits et vérifiez la conformité avec les normes du secteur, notamment la PCI DSS (Payment Card Industry Data Security Standard).

  • Sécurité physique : vérifiez la sécurité physique de vos systèmes de PDV. Prévenez tout accès non autorisé à vos systèmes et à vos terminaux.

  • Gestion des fournisseurs tiers : si vous faites appel à des prestataires tiers pour des services de PDV, assurez-vous qu'ils respectent les normes les plus strictes en matière de sécurité. Évaluez régulièrement leurs mesures de sécurité.

  • Recours à des solutions de sécurité avancées : réfléchissez à la mise en place de solutions de sécurité avancées, telles que des systèmes de détection d'intrusions et une protection avancée des endpoints. Elles fournissent un niveau de sécurité supplémentaire et peuvent identifier et atténuer les effets des attaques sophistiquées.

  • Procédures de sauvegarde et de restauration : effectuez régulièrement des sauvegardes et établissez une procédure de restauration complète. En cas d'attaque, elle limitera les perturbations et permettra une reprise rapide des services.

En adoptant ces pratiques, vous pouvez réduire considérablement le risque d'attaque de logiciels malveillants de PDV et assurer la protection de votre entreprise et des données de vos clients. En savoir plus sur la protection contre les logiciels malveillants de PDV proposée par Stripe aux entreprises.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Terminal

Terminal

Créez une expérience commerciale unifiée pour vos interactions avec vos clients en ligne et en personne.

Documentation Terminal

Utilisez Stripe Terminal pour accepter les paiements par TPE à votre point de vente.