Cet article a pour objectifs principaux :
- D'informer nos clients du risque lié à la compromission de leurs serveurs par des scripts JavaScript tiers (Attaque de type Magecart).
- D'expliquer comment un ecommerçant peut se protéger contre ce type d’attaque.
Magecart kesaco ?
Magecart est un groupe de pirate informatique qui s’est spécialisé dans le vol de données bancaires. Ses premières attaques remonteraient à 2015 environ. Ce groupe est au cœur d’une vaste campagne de vols d’informations bancaires ayant touché plus de 800 sites d’e-commerce depuis l’année dernière. Sa spécialité réside dans le skimming, attaque généralement conçue pour les DAB (distributeur automatique de billets) et ayant pour but de voler silencieusement les données de cartes bancaires. Le groupe a appliqué cette technique au web.
De (très) nombreuses victimes ?
Parmi les principales victimes du groupe Magecart, nous avons:
TicketMaster, compromis de février à juin 2018
Newegg, compromis du 14 août au 18 septembre 2018
BritishAirways, compromis du 21 août au 5 septembre 2018
ShopperApproved
Feedify
Kitronik
ABS-CBN
Umbro Brasil
Si le nombre de personnes touchées par le vol de données est communiqué pour British Airways (380 000 personnes concernées), il n’existe pas d’estimation précise en ce qui concerne les autres entreprises à l’heure de l’écriture de cet article. De plus, le mode opératoire ne laisse espérer aucun décompte fiable. Néanmoins, certains sites réalisant des audiences assez importantes, leur nombre pourrait être du même ordre de grandeur que dans le cas de British Airways.
Principe général utilisé pour voler les données bancaires
À l’instar des distributeurs bancaires piégés pour récupérer les informations de votre carte bancaire, MageCart piège les sites web afin de récupérer les informations qui transitent via les formulaires que vous utilisez afin de réserver un billet d’avion, acheter du matériel informatique, etc. La façon dont les groupes opèrent est simple : altérer le contenu d’un site afin de modifier un script légitime et d’insérer quelques dizaines de lignes de code malveillant en fin de fichier. Cette opération reste discrète, puisque le site fonctionne « comme d’habitude », et le navigateur n’y voit rien d’anormal.
Focus sur le piratage British Airways
Le 06 septembre 2018, la plus grande compagnie aérienne de Grande-Bretagne, la British Airways, annonçait la compromission de son site de réservation en ligne. L’attaque en question aurait eu lieu entre le 21 août 2018 à 22h58 et le 5 septembre 2018 à 21h45, date à laquelle la découverte a été faite.
D’après la compagnie, 380 000 potentiels clients auraient été victimes d’un vol de données de cartes bancaires. Cependant, la British Airways affirme que seuls les clients ayant utilisé le formulaire de paiement du site durant les 2 semaines de l’attaque sont concernés. Tous les autres clients ayant auparavant enregistrés leur carte bancaire ne le sont pas.
Le principe de l'attaque est simple : les attaquants ont modifié un script hébergé sur le site de la compagnie aérienne afin d’y ajouter un code permettant d’envoyer une copie des informations saisies au sein du formulaire de paiement vers un serveur pirate.
La simplicité au service de la performance, voilà une définition de ce piratage. En effet après analyse par différents experts mondiaux, il s’avérait que le code JavaScript utilisé par les pirates pour dérober les informations bancaires de 244 000 personnes tiendrait en vingt-deux lignes.
En effet, les données bancaires étaient également transmises vers le serveur légitime. Les réservations pouvaient donc être finalisées sans problème, évitant d’éveiller les soupçons des équipes de la British Airways. Cette technique a ainsi permis aux attaquants de rester furtifs pendant pratiquement deux semaines.
Comment se protéger contre ce type d’attaque ?
Conformité PCI DSS
Le eCommerçant doit s’appuyer sur un PSP certifié PCI DSS (ce qui est le cas de Payline) mais il doit luis aussi engager un chantier visant à se mettre en conformité avec le standard PCI DSS.
Selon le mode d’intégration Payline choisi le chantier en question sera léger SAQ A voire beaucoup plus complexe SAQ D. Pour se faire, nous recommandons à nos clients de se faire accompagner d’un QSA (Qualified Sécurity Assessor).
Le standard impose notamment un contrôle d’intégrité sur les serveurs manipulant les données de carte.
Se prémunir contre la compromission d’un tiers
Nous recommandons de ne pas mettre de publicité ou de tracking sur les pages de paiement.
Ceci afin d’éviter les compromissions type Adverline (société française de publicité en ligne).
Le premier janvier dernier, les chercheurs de Trend Micro ont détecté la présence du script malveillant sur 277 sites web d'e-commerces. Le groupe Magecart est parvenu à compromettre un fournisseur de publicité français Adverline afin d’y installer un script qui s’est ensuite propagé sur des sites de commerce électronique.
Payline vous permet de mettre en place, au travers de son module anti fraude, des alertes afin de prévenir en cas de comportement suspect.
Référence:
https://www.comptoirsecu.fr/blog/2018-11-26-magecart/
https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf
https://www.xmco.fr/actu-secu/XMCO-ActuSecu-50-Post-Exploitation-Blueborne.pdf
https://www.riskiq.com/blog/labs/magecart-ticketmaster-breach/
https://www.riskiq.com/blog/labs/magecart-newegg/
https://www.riskiq.com/blog/labs/magecart-shopper-approved/