Fuites de données : Ticketmaster n’était pas un épisode isolé

Récemment, Ticketmaster a alerté ses utilisateurs d’une potentielle compromission de leurs données personnelles. C’était quatre jours après la découverte d’un maliciel dans un service d’automate conversationnel - ou chatbot - tiers, basé sur l’intelligence artificielle, et hébergé par Inbenta. L’enquête continue, mais Ticketmaster estime que moins de 5 % de sa base installée mondiale est susceptible d’être concernée. Le service a informé les personnes ayant acheté des billets sur ses sites entre septembre 2017 et le 23 juin dernier, au moins « par précaution ».

Mais selon les équipes de RiskIQ, un spécialiste du renseignement sur les menaces, l’incident n’est pas isolé et serait à lier aux activités d’un groupe appelé Magecart – nommé ainsi en raison d’un intérêt originel pour Magento –, et en particulier à une campagne ayant affecté, depuis ses débuts, « plus de 800 commerces électroniques à travers le monde », et baptisée Serverside.

RiskIQ indique suivre ce groupe depuis 2015. Et son attaque sur Inbenta s’inscrirait donc dans le cadre d’une stratégie plus vaste de compromission de tiers pour collecter des détails de cartes bancaires, en infectant des composants JavaScript de code malicieux maquillé.

Car le code injecté au milieu de celui d’Inbenta a été retrouvé ailleurs : dans un script SociaPlus, entre décembre et janvier derniers, mais également dans un utilisé par PushAssist. Des instances du système de gestion de contenus de Clarity Connect ont également été compromises par les mêmes acteurs, selon RiskIQ, ainsi que le fournisseur de services analytiques Annex Cloud.

Pour les équipes de RiskIQ, « Magecart constitue une menace active qui opère à une échelle qui défie – voire dépasse – des compromissions récentes de terminaux de point de vente auprès de détaillants tels que Home Depot et Target ».

It's just supply chain attacks all over again but now on the web, have your security top notch? Doesn't matter, your attempt to leverage analytics on your sales tracking will fuck it up.

— Yonathan Klijnsma (@ydklijnsma) July 10, 2018

Yonathan Klijnsma, analyste chez RiskIQ, souligne qu’il ne s’agit en définitive que d’une attaque supplémentaire sur la chaîne logistique du logiciel, mais cette fois-ci sur le Web. Et là, les acteurs concernés peuvent bien avoir sérieusement travaillé la sécurité de leurs infrastructures, « ça n’a pas d’importance, le recours à [un tiers] pour l’analyse et le suivi des ventes va tout casser ».