Quasiment invisible, sauf sur les relevés bancaires, l'attaque en question permet aux cyberattaquants de dérober des informations de CB au moment de la confirmation du paiement.
Les attaques Magecart : c’est une technique dont vous n’avez peut-être jamais entendu parler, mais de plus en plus utilisée. Dernière affaire en date : des pirates ont trouvé un moyen de détourner des balises Google Tag Manager (GTM) sur des sites e-commerce parfaitement fiables, de manière à y injecter un script capable d’exfiltrer des données bancaires au moment de la validation du paiement. Impossible à détecter pour les internautes, difficile à traquer pour les administrateurs de sites, l’attaque repose sur une mécanique bien huilée et complexe à prévenir.
Une attaque furtive qui cible les paiements en ligne
L’alerte a été donnée par un propriétaire de site e-commerce, qui a contacté les équipes de sécurité de Sucuri après avoir découvert des transactions frauduleuses liées à sa boutique en ligne. Après analyse de la situation, les premiers éléments ont révélé la présence d’un code suspect dissimulé dans une balise GTM, dispositif légitime utilisé pour le suivi marketing et l’analyse de trafic.
Évidemment, ce bout de code n’avait rien d’innocent : il s’agissait en réalité d’un skimmer, un script malveillant conçu pour intercepter et voler les numéros de carte bancaire au moment du paiement.
La suite de l’enquête a rapidement révélé que l’attaque visait les sites hébergés par Magento, plateforme e-commerce largement utilisée par les petites et moyennes entreprises. Dans le détail, plutôt que d’injecter un simple script malveillant dans les boutiques elles-mêmes, les pirates ont dissimulé leur code dans une table de la base de données du CMS, puis utilisé Google Tag Manager pour le charger discrètement sur le site.
Une fois en place, il a suffi que des acheteurs et acheteuses valident leurs commandes pour l’activer, et ainsi lui permettre d’intercepter les données saisies dans les formulaires de paiement avant de les transférer vers un serveur distant, au nez et à la barbe des internautes comme des administrateurs du site infecté.
10 février 2025 à 16h03
Fait autrement inquiétant, Sucuri a également découvert une porte dérobée dissimulée dans un fichier de la boutique ciblée, possiblement utilisée pour maintenir un accès persistant, réinfecter le site après suppression du malware, voire mener d’autres formes de cyberattaques.
D’après Sucuri, au moins six sites Magento infectés par le même identifiant GTM ont déjà été identifiés, mais l’ampleur de l’attaque reste difficile à mesurer. Car pour passer sous le radar, les hackers ont utilisé plusieurs techniques d’obfuscation très avancées. Plutôt qu’un script clair et identifiable, leur code était brouillé par des chaînes de caractères incompréhensibles et des calculs inutiles destinés à compliquer son analyse. Plus pernicieux encore, une fois décodé, le script semblait fonctionner comme un simple outil de suivi, rendant la fraude encore plus difficile à repérer.
Comment se protéger contre le skimming ?
Que l’on soit administrateur ou simple internaute difficile de repérer une attaque qui fonctionne en toute discrétion. Malgré tout, quelques réflexes permettent d’éviter le pire.
Pour les sites e-commerce, la première étape consiste à surveiller de très près les scripts tiers. Si vous utilisez Google Tag Manager, l'outil ne doit contenir que des balises autorisées, et toute modification doit être contrôlée. Surveiller la base de données et les fichiers du site peut aussi aider à repérer des anomalies avant qu’elles ne deviennent critiques.
Pensez à mettre régulièrement à jour Magento et ses extensions pour éviter l’exploitation de failles connues, et effectuez des scans réguliers à l'aide d'outils de sécurité dédiés. En cas d’infection, supprimez immédiatement les scripts malveillants, nettoyez la base de données et assurez-vous qu’aucun accès clandestin ne subsiste.
Côté acheteurs et acheteuses, quelques précautions d'usage pourraient aider à réduire les risques. Contrôlez systématiquement les URL des boutiques visitées, évitez les plateformes douteuses et privilégiez des moyens de paiement sécurisés (cartes virtuelles, Apple Pay, Google Pay, PayPal) pour empêcher d’éventuels hackers d’accéder à vos informations de CB.
Surveillez vos relevés bancaires et activez les notifications de transaction pour réagir vite en cas de fraude. Enfin, mettez à jour votre navigateur en temps et en heure, et activez l’authentification forte pour les paiements en ligne si votre banque la propose.
Source : Sucuri
06 février 2025 à 09h45
