Des sites légitimes volent vos infos de carte bleue à leur insu, mais comment est-ce possible ?

Publié le 12 juin 2023 à 17h05

Les attaques Magecart ont été découvertes il y a cinq ans et malgré cela, elles restent très efficaces. De nombreux utilisateurs de sites de e-commerce en font encore les frais aujourd’hui. Que désigne donc le terme Magecard et quels sont les risques pour nous autres, consommateurs ?

Une attaque Magecart est un mode opératoire qui consiste en l’insertion de scripts malveillants pour voler les données des clients de sites d'achats en ligne. Et nous ne parlons pas ici de n’importe quelles données. Ce sont en effet les cartes de crédit et les informations personnelles des consommateurs qui sont directement concernées. Ces attaques ont lieu lors du processus de paiement, et ce, par le biais de sites totalement légitimes. C’est ce qui rend cette nouvelle campagne de vols de cartes de crédit particulièrement préoccupante. Les sites concernés sont utilisés comme serveurs de commandes et de contrôle. Ceci donne tout le loisir aux pirates de contourner les mesures de détection et de blocage en se soustrayant à la nécessité de mettre en place leur propre infrastructure. Ces attaques sont de plus en plus fréquentes et posent une menace sérieuse pour la sécurité des transactions en ligne. Une nouvelle campagne de vols de cartes de crédit par ce biais a récemment été découverte.

L'infection des sites légitimes par des skimmers masqués

Les skimmers, ou collecteur de données, sont des programmes spécialisés. Ils ciblent d'abord des sites légitimes vulnérables et les compromettent pour héberger leur code. Ils utilisent ces sites comme base de contrôle pour rendre leurs attaques indétectables. Aujourd'hui, la méthode de piratage utilisée n’est pas claire. Il est cependant fortement probable que les pirates exploitent les vulnérabilités de plateformes de commerces numériques très fréquentées : Magento, WooCommerce, WordPress ou Shopify.

Pour éviter d'être détectés, les attaquants cachent les skimmers en les codant avec une technique d'encodage Base64. Dans le cadre du piratage, l'encodage Base64 peut être utilisé pour occulter des données sensibles ou des éléments de code malveillants. Cela permet de dissimuler ces éléments ou informations de connexion, les rendant ainsi moins apparents et plus difficiles à repérer par les mesures de sécurité en place. Cet encodage permet également de masquer l’URL de l’hôte. La structure de ces skimmers est conçue de plus pour ressembler à celle de Google Tag Manager ou de Facebook Pixel, deux services tiers populaires qui ne soulèvent pas de soupçons. Plutôt malin et très inquiétant.

Le vol des informations et la transmission des données

Une fois les sites compromis, les attaquants injectent un petit extrait de code JavaScript dans les plateformes de e-commerce ciblées. Ensuite, rien de plus simple pour les pirates : ils utilisent ces skimmers pour voler les informations des clients. Ces données sont ensuite transmises aux serveurs des attaquants à l'aide d'une requête HTTP créée sous la forme d'une balise IMG intégrée au skimmer. L’entreprise américaine Akamai reconnaît aujourd’hui deux types de skimmers. La première est une version fortement masquée contenant des sélecteurs CSS personnalisés pour chaque site ciblé, visant les informations personnelles des clients. La deuxième variante est moins bien protégée. Akamai a pu établir une cartographie précise de la campagne de piratage et identifier plus facilement les victimes.

Les attaques Magecart représentent encore aujourd’hui une menace significative. En permettant une compromission de sites web légitimes, elles donnent la possibilité aux pirates de voler des informations très sensibles. Les propriétaires de sites web peuvent se protéger contre ces attaques par la sécurisation de leurs comptes d'administration et par des updates régulières de leur CMS. Les clients des boutiques peuvent réduire les risques en utilisant des méthodes de paiement sécurisées et en fixant une limite de dépenses sur leurs cartes de crédit. La vigilance face à cette recrudescence des attaques reste essentielle tant leurs évolutions sont rapides.

Sources : zdnet, bleepingcomputer, akamai

Par Camille Coirault

La tech est mon terrain de jeu, la science ma maîtresse capricieuse et le jeu vidéo (malgré mes overdoses récurrentes de AAA) mon péché mignon. Voici votre serviteur, explorant la jungle technologique armé d'un simple PC et salivant comme un bouledogue devant la moindre innovation. Transformer le jargon technique en prose savoureuse, traquer les news ultimes avec les neurones toujours à balle de caféine : voilà ma mission.

Articles de Camille Coirault

Piratage

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Than

Plus ça va, et moins je peux m’empêcher de me demander si certains articles sont écrits avec ChatGPT (ou autre chose), et pas du tout retouché (ou si peu) ensuite. x)

Je dis ça parce que cet article a une formulation des phrases, et un enchaînement, une syntaxe, le tout me parait étrange…

Je peux bien évidemment me planter, mais là, le style d’écriture est monotone et chaque phrase fait quasiment la même longueur, et sonne comme la précédente.
C’est peut-être moi qui suis bizarre. No offense.

MattS32

Je pense que c’est aussi une question de « génération », avec l’arrivée de rédacteurs plus jeunes, qui ont été formés à écrire des articles optimisés pour le SEO plus que pour la lecture…

Sur un site Wordpress que j’avais à une époque, j’avais un plug-in qui donnait des recommandations pour le SEO, et c’est exactement ce genre de résultat que j’obtenais en appliquant les conseils : phrases courtes, répétitions des mots clés…

Voilà le genre de rapport qu’il générait :

NumLOCK

C’est vrai que cet article sonne un peu bizarre, il me donne l’impression d’avoir été traduit (plus ou moins littéralement) de l’anglais.

stereopap

« cartes de crédit » : le terme est typiquement US (en France on a pas ce système, il s’agit de carte bancaire). C’est un article tout fait acheté pour un autre marché que la France.
Mais le fond de l’article reste valide

RobinPrieur

Tenez pour vos doutes:

Blackalf

Pas forcément, en Belgique nous faisons bien la différence entre carte de débit qui permet de payer sur des terminaux avec code ou sans contact (et sur de plus en plus de sites, à condition que le paiement par Bancontact soit disponible et que l’on ait un digipass qui fournit des codes sécurisés à usage unique) et carte de crédit (Visa, Master Card…).

A noter trois choses : la Visa est liée au compte bancaire, mais au lieu d’être instantané, le prélèvement se fait 9 jours après la date de clôture des dépenses (le 23 de chaque mois). La Master Card, elle, est liée à une réserve d’argent à part (5.000 €, dans mon cas) et un prélèvement mensuel proportionnel aux dépenses est effectué.

Et depuis peu, nous avons un autre digipass dédié à la Visa pour pouvoir l’utiliser sur des sites. Bref, si je perdais ma Visa et que quelqu’un la trouvait, il ne pourrait faire que des paiements physiques - sous réserve de connaître le code pin - mais pas l’utiliser sur le Net, puisqu’il n’aurait pas le digipass. ^^

Bombing_Basta

Et où se trouve la seule info qui intéresse l’utilisateur : quel sites sont concernés là, tout de suite ?

Si c’est pour nous dire que n’importe-quel site peut être la victime d’attaques si ils ont une faille, merci mais on le savait déjà : internet est risqué…

Maintenant la deuxième info qui serait utile : quel recours si on en est victime ?

Les clients des boutiques peuvent réduire les risques en utilisant des méthodes de paiement sécurisées

Ah et troisième info : quel moyen de paiement est sécurisé à 100% ?

Quelqu’un pour donner ces infos ? Chat GPT peut-être ?

jvachez

Si malheureusement, il y a un menu qui permet de choisir comptant ou à crédit sur la plupart des paiements en magasins. En cas de mauvaise manipulation le banque facture un taux exhorbitant il n’y a pas de possibilité de réparer la bourde sans frais.

DrGeekill

Effectivement. Article intéressant et instructif mais qui laisse beaucoup de questions sans réponses.

MattS32

Attention, ces modes de fonctionnement viennent du choix de ta banque, ce n’est pas forcément toujours comme ça avec Visa et MasterCard.

On peut avoir des cartes de débit Visa et des Mastercard à débit immédiat (souvent moins de 9 jours, ça c’est déjà presque du différé) ou même prépayées (le solde du compte est vérifié à chaque transaction, et débité immédiatement). Et il y a aussi des cartes de débit Visa et Mastercard à débit différé (tous les débits du mois sont débités du compte le même jour, mais ce ne sont pas des cartes de crédit, le débit a obligatoirement lieu à la daté prévue, sans possibilité de couvrir le montant avec un crédit) et des cartes de crédit Visa et Mastercard, qui sont elles associées à un crédit renouvelable (mais qui en fait par défaut s’utilisent, en tout cas pour toutes celles que j’ai eu, comme une carte de débit à débit immédiat ou différé, il faut demander explicitement à utiliser le crédit, soit pour une transaction spécifique, directement sur le TPE ou a postériori via l’interface web, soit pour tout le solde à la fin de la période).

En résumé, Visa et Mastercard, qui font la gestion des transactions, proposent tous les deux les 4 familles de cartes (prépayée, débit, crédit et business), et les banques choisissent là dedans ce qu’elles veulent proposer à leurs clients, fixent les délais de débit, les plafonds, et le montant et le taux du crédit quand il y en a un, ce n’est pas le fait que ça soit une carte Visa ou Mastercard qui implique que ça soit forcément une carte de crédit.

Et histoire de simplifier encore le bordel, certaines cartes vendues comme des cartes de débit à débit différé sont en pratique techniquement des cartes de crédit… Parce que les montant des commissions d’interchange sont plus élevés sur une carte de crédit, donc ça arrange les banques de les déclarer comme telles, en jouant sur les mots (elles assimilent le débit différé à un crédit remboursable en une fois et à taux 0…). Si votre banque vous a changé votre carte à un moment ces dernières années alors qu’elle n’était pas encore expirée, c’est très probablement pour vous passer d’une carte de débit à une carte de crédit (suffit de vérifier, c’est marqué dessus).

C’est que tu as une carte de crédit. Mais la plupart des cartes proposées par défaut par les banques en France ne sont effectivement pas des cartes de crédits (soit des cartes de débit, soit des cartes de crédit mais fonctionnant uniquement en débit…). Il y en a quelques unes qui proposent des vraies cartes de crédit, mais c’est jamais l’offre par défaut, faut vraiment le demander spécifiquement (par exemple carte « Option Crédit » à la Poste, Supplétis au Crédit Agricole… le Crédit Mutuel en faisait aussi une, 3F, mais elle a été arrêtée).

Les cartes de crédit sont généralement les cartes de magasins (Carrefour, Casino, Fnac, Cdiscount, Darty, Ikea, Printemps, La Redoute… tout ça ce sont des cartes de crédit) ou d’organismes spécialisés dans le crédit (par exemple Sofinco, qui a des cartes sous sa marque, en plus de gérer les cartes de plusieurs magasins)