Last year saw a shift in website threats, with more targeted attacks emerging that were aimed at small and medium businesses. While website security should always be at the forefront of any online business, a new Symantec infographic emphasises the imp…
Facebook announced on July 31st that they have implemented https as default for all of their users. This means that almost all traffic to www.facebook.com and 80% of traffic to m.facebook.com will be using a secure connection. This is both a significan…
A few weeks ago at Black Hat 2013 in Las Vegas, there was a particularly interesting presentation entitled, “The Factoring Dead: Preparing for the Cryptopocalypse.” Here at Symantec, we found the topic particularly interesting. Tthe present…
E-commerce is on a massive upward trajectory in the Middle East and North Africa (MENA) region. According to a recent report issued by Visa[1], nowhere else in the world is growing as fast: MENA experienced a 45% increase in 2012, compared to the previous year, with transactions soaring from $10 to $15 billion.[2] The fastest growing markets
For retailers who have tended to ignore or avoid this market, in favour of others that have seemed both more stable and lucrative, those figures are bound to make them think again. This is fertile territory and many of their rivals are now clearly reaping the rewards to be had there. So expect to see competition hotting up!
What are people buying online right now and how can the MENA region overcome some fundamental factors to drive growth even higher? The popular and growing areas for e-commerce right now are banking, paying bills and booking travel. Purchasing items and/or services is still not as developed as in the major European markets, and clearly this offers vast promise for those who can exploit its vast potential in the MENA region[3].
That said, and despite its impressive performance of late, the MENA region is still not actually expanding at nearly the same rate as the rest of the globe when it comes to e-commerce. Why is this? In part it’s down to lack of confidence and trust online; according to a recent survey by Onecard, 56 per cent of respondents based in the Middle East said they were concerned about credit card fraud and the region faces the same barriers seen elsewhere around the world, where lack of trust and payment security are regularly highlighted as key concerns for people when choosing to shop online. Additionally a report from Deloitte highlights[4] that it is there are three other factors that are holding growth back:
First, there are the logistical issues around physical addresses (they are not well defined enough) and also the postal system itself, whose infrastructure is poor.
Secondly, there is an absence of the relevant e-laws necessary to provide proper levels of protection for consumers and vendors.
And, finally, it can be expensive for small businesses to set up payment gateways, thus deterring them from entering the market – a factor that is reflected in the widespread popularity of cash on delivery (COD) payments across the region. Strikingly, while there are an estimated 90 million internet users in the Middle East, a mere 15% of Middle East companies have an online presence.[5] Moreover, some 70-80% of online purchases are COD, with just 30% paid for online – and that despite almost 50% of consumers owning credit cards.
At the same time, it should be said that such flexibility of payment types has certainly made e-commerce more accessible, and more attractive, to users; and no doubt has contributed substantially to the surge in sales that has taken place recently. Whilst ‘cash on delivery’ is a good solution to consumers’ lack of trust in online transactions, it can hinder the growth of e-commerce in the region due to difficulty in coordinating home delivery services and ultimately it’s much less cost effective than taking payments online. As mentioned above, ecommerce comes branded with what is a typical online question for end users and retailers alike: ‘Are you safe?’ Because, unless they truly believe that they can operate securely online – and that transactions can be undertaken and completed in a tightly protected environment – the massive potential that MENA offers will simply not be realised.
These issues are of course being addressed and in anticipation of this it’s worth considering that in order to Be successful online, and to capture more consumer mindshare and business, sites need to be:
All well and good… in theory. The reality is that, while it’s relatively simple to set up an e-commerce site, there is still widespread ignorance of the potential hazards that exist when sending data via unsecured connections. In fact, many customers still do not even know that SSL certificates exist to protect them online.
Clearly, sites in the Middle East region that really want to be successful should be using SSL and trust marks to demonstrate that they are professional, dependable and safe to do business with. Indeed in my opinion SSL certificates should be mandatory for any ecommerce site or for anyone else that asks customers to submit any kind of personal information. Using SSL is also the clever option for companies that don’t ask for personal information from visitors – something that can act as a barrier on line. Companies such as Google use SSL to pass along certain information about what searchers are looking for – and are requiring this higher level of security to perform that service. This trend seems likely to continue, making SSL certificates vital to virtually any website – but especially those with e-commerce in mind.
One question when considering which security vendor can add the most value to your existing or newly established site is “how can I can demonstrate my trustworthiness to potential customers?” According to a survey carried out this year by the independent web research organisation Baymard Institute in conjunction with Google, the Norton Secured Seal is by far the most trusted, with 35.6% of the votes – nearly 13% ahead of its nearest rival. It was shown to be the seal that gave customers the strongest sense of trust when purchasing online, making it the de facto choice[6].
Such reassurance will play a major role, as the internet spreads it reach and e-commerce gathers ever greater momentum throughout MENA capturing and keeping customers is where success lies.
[2] http://www.kwintessential.co.uk/read-our-blog/ecommerce-opportunities-middle-east-and-north-africa.html
Videos are hot these days. People are posting home-made videos of everything from their cats to romantic rants or new songs. Some clever companies are starting to use customer video feedback for social outreach as well, hooking into this new viral craze. Sports fans like me have seen the competitions for the best customer-made commercial on TV, and looked up our favorites on YouTube.
However, with all these videos being created, it creates a new vector for virii or other malware to be downloaded when people view the clips. It’s clear that videos and testimonials are important to the future of marketing and social media, so what remains is a clear need to create, upload, and share videos more securely.
Buzztala, one of Symantec’s partners, has created a Social Video Platform to work with businesses that want to let customers upload videos, testimonials, and other social networking content. Buzztala is running SSL on their hosting platform, and adds the Norton Secured Seal to help customers and businesses feel more secure in how they exchange and save information.
Last week Symantec and Buzztala hosted a Webinar titled, “Building Trust with Your Customers Through Social and Mobile Content.” The new social media: It’s all about building ROI, and trust helps make conversions. Symantec’s own Jeff Barto was one of the presenters. I encourage you to give a listen, and learn something new about the video social outreach. A full replay is available here.
Ich hoffe, dass Sie meinen vorigen Beitrag über die fragwürdigen Empfehlungen gelesen haben, die manche Websitebetreiber ihren Benutzern geben. Heute möchte ich etwas tiefer gehen und einige Fehlermeldungen, die Ihr Browser eventuell anz…
i vous avez lu mon dernier billet, vous savez quel genre de mauvais conseils certains sites donnent à leurs visiteurs. À ce propos, j’ai pensé qu’il serait utile de s’arrêter un instant sur ces messages d’erreur et sur leur signification, avant de lever le voile sur les mesures que nous prenons en arrière-plan pour assurer votre sécurité.
Tout d’abord, en cas d’expiration d’un certificat, il arrive que des alertes de sécurité s’affichent dans les navigateurs Web. Pourquoi ces avertissements ? Prenons l’exemple d’un site où vous démarrez une session sécurisée (par exemple, lorsque vous vous connectez à votre messagerie Web). Au moment de votre connexion, le serveur hébergeant ce site présente à votre navigateur un certificat SSL qui permet de l’authentifier. Ce certificat contient différents types d’informations d’identification du site, notamment son URL, vérifiées au préalable par une autorité de certification tierce (comme Symantec) à laquelle votre navigateur fait confiance. En s’assurant que l’adresse du certificat correspond bien à celle du site et en vérifiant la validité de ce certificat, votre navigateur atteste de l’identité du site Web visité et de la sécurisation de vos communications. Ainsi, vous êtes protégé contre d’éventuels imposteurs et autres cybercriminels qui chercheraient à subtiliser vos informations de connexion. On comprend alors mieux pourquoi en cas d’affichage d’une image comme celle dans mon précédent billet, une seule solution s’impose : la fuite.
On rencontre également des écrans d’avertissement pour les certificats SSL en cours de validité. Là encore, il existe une explication simple. Le signataire de chaque certificat doit maintenir une liste de révocation généralement appelée Online Certificate Status Protocol (OCSP), anciennement Certificate Revocation List (vous trouverez ici des détails en anglais sur le protocole OSCP et la révocation SSL). Or, cette liste est absolument primordiale. Il y a quelques années, l’autorité de certification (AC) DigiNotar fut gravement compromise lorsqu’elle émit pour des hackers iraniens des certificats frauduleux couvrant plusieurs dizaines de domaines Internet, y compris des messageries Web publiques réputées et des services voix/de messagerie instantanée. En réaction, tous les principaux éditeurs de navigateurs Web retirèrent immédiatement leur confiance des certificats émis par les AC du groupe DigiNotar. Si les internautes étaient passés outre les avertissements des navigateurs, leurs identifiants et mots de passe auraient été volés et des personnes mal intentionnées auraient pu mettre la main sur des informations privées les concernant. Mise au ban par la communauté Internet, DigiNotar dut rapidement mettre la clé sous la porte. De son côté, l’autorité émettrice d’un certificat SSL a la possibilité de le révoquer en cas de compromission avérée. Il lui suffit pour cela d’ajouter le nom du domaine en question à la liste de révocation, enjoignant ainsi les navigateurs de ne plus faire confiance à ce certificat.
Cependant, nul besoin de maintenir les certificats expirés sur la liste de révocation (peut-être qu’un certificat valide équipait autrefois le site Web visité ?). Si un message informe un internaute de l’expiration du certificat, celui-ci ne devrait sous aucun prétexte se rendre sur le site. Pour ma part, j’irais même jusqu’à lui recommander de contacter l’entreprise en question par téléphone ou par e-mail pour l’informer de la situation. Après tout, l’internaute constitue lui aussi un maillon de la chaîne de confiance en ligne.
Bien entendu, il existe d’autres raisons pour lesquelles un message d’avertissement pourra s’afficher :
Quant aux cyberentreprises, elles peuvent prendre diverses mesures pour éviter les avertissements de sécurité sur leur site :
La confiance se trouve au cœur du commerce et de la communication en ligne. C’est pourquoi nous devons déployer tous les efforts possibles pour inspirer ce sentiment à nos clients.
I hope you read my last post on the bad advice that some sites give their users. As a follow up, I thought it would be useful to highlight what some of the errors you might see online actually mean, and what is happening in the background to keep you s…
Dans mon cercle d’amis, je suis de facto l’expert en sécurité/informatique. C’est pourquoi, la semaine dernière, l’une de mes amies m’a appelé pour savoir comment réagir au message ci-dessous qu’elle rencontrait pour la première fois. Comme vous pouvez le voir, ce message d’avertissement indique que la sécurité du site est peut-être compromise du fait d’un certificat SSL expiré.
D’emblée, j’ai dit à mon amie de n’accéder à ce site sous aucun prétexte. En cas de doute, il est préférable de se rendre sur un autre site Web, d’aller au magasin ou de le contacter par téléphone ou par e-mail. Mais, quoiqu’il arrive, n’accédez pas au site Web en question. La réponse de mon amie m’a quelque peu surpris… lorsqu’elle a demandé des explications via Twitter, un représentant du site lui a affirmé que « cet avertissement n’avait rien d’inquiétant ». Je suis resté bouche bée. On ne peut donner plus mauvais conseil ! Qu’est-ce qui pourrait donc bien pousser un site de confiance à faire de telles déclarations ?
Raison n° 1 : le site ne veut perdre aucun client.
Raison n° 2 : les propriétaires du site ne saisissent pas les principes fondamentaux de la confiance client.
Raison n° 3 : ils ignorent toute l’ampleur des conséquences de tels conseils.
Par défaut, j’optai pour la troisième et rappelai à l’ordre les propriétaires du site en question. Puis, je me mis à examiner le problème de ce site pour découvrir ce qui s’était produit. Il s’agissait en réalité d’une négligence de l’équipe chargée du site d’e-commerce. Prise au dépourvu par l’expiration inattendue d’un des certificats, elle tentait de minimiser l’impact de son oubli. Toutefois, conseiller aux clients d’ignorer les messages d’avertissement va à l’encontre du bon sens. Dans ce cas, pourquoi ne pas aussi les laisser répondre aux e-mails leur demandant leur numéro de carte bancaire et leur adresse postale ? Soyons sérieux… D’autant que le site pourrait très bien être infecté par malware. Nous savons en effet que 61 % des sites infectés sont des sites Web légitimes compromis par du code malveillant. Les sites Web des entreprises, de même que les cybermarchands et les sites spécialisés dans les technologies, figuraient dans le Top 5 des sites les plus infectés en 2012 (source : Symantec ISTR 2013 (en anglais)). Or, l’antivirus de mon PC a bloqué ce site – selon ses propriétaires, devrais-je aussi ignorer cet avertissement ?
Certes, il s’agit là d’un cas extrême. Mais, à mon avis, le fait de conseiller aux internautes d’ignorer les avertissements de sécurité relève d’une très mauvaise pratique. En aucun cas les sites marchands ne devraient inciter leurs clients à passer outre de telles alertes conçues pour leur protection, au risque d’une érosion de la confiance en ligne.
Pour conclure, voici ce que je recommanderais aux internautes en général, et à mon amie en particulier : plaignez-vous et n’y allez pas de main morte ! Chat en direct, standards téléphoniques, médias sociaux… vous avez l’embarras du choix ! Alors, ne laissez pas s’en tirer à si bon compte ceux qui abusent de votre confiance au risque de compromettre votre sécurité. Exigez des sites qu’ils vous offrent des garanties, à commencer par une marque de confiance comme le sceau Norton Secured, témoin visuel d’une analyse anti-malware régulière du site visité. Faites-leur savoir que vous n’allez pas faire affaire avec eux tant que votre navigateur remet en question leur dispositif de sécurité. Les consommateurs représentent un groupe de pressions important. Si nous exprimons notre mécontentement et boycottons ces sites, ils n’auront pas d’autre choix que de réagir. Bien entendu, nous sommes nombreux à fermer la fenêtre de notre navigateur en cas de message d’avertissement. Mais les plus hésitants d’entre nous sont tout à fait prêts à ignorer ces alertes et à suivre des recommandations de mauvaise foi.
En incitant sans cesse les internautes à ignorer les avertissements, nous courons le risque de dévaloriser les notions de confiance et de sécurité en ligne. Or, au vu de l’extraordinaire potentiel de l’économie du Net (article en anglais), pourquoi prendre un tel risque ? Les éditeurs de solutions de sécurité s’efforcent d’intégrer des dispositifs d’alerte et de protection aux outils de transactions en ligne. Aucun acteur de ce secteur ne devrait recommander d’ignorer un avertissement. Un site d’e-commerce adoptant cette attitude ne mérite pas la confiance de ses clients. Et une fois cette confiance perdue, il est quasiment impossible de la regagner. Au final, tout le monde y perd.
Vorige Woche rief mich eine Freundin an. (Meine Freunde halten mich für ihren persönlichen IT- und Sicherheitsberater.) Diesmal wollte sie meine Meinung zu der unten abgebildeten Nachricht hören, die sie noch nie gesehen hatte. Wie Sie s…