Cartes bancaires : sans surprise, British Airways n’est pas une victime isolée

Il revendique plus de 4000 clients. Feedify propose des services de notification push, vers des applications mobiles comme des navigateurs Web, mais également de sondage en ligne ou encore de commentaire après transaction en ligne. Ses services s’intègrent avec de nombreuses plateformes de commerce en ligne, comme Big-Commerce, Magento, Opencart, Prestashop, Shopify ou encore Zencart, sans compter des systèmes de gestion de contenus comme Drupal, Joomla et Wordpress.

Mais voilà, ses services ont été compromis par Magecart – comme British Airways. Plusieurs rapports en ce sens ont été partagés sur Twitter ces derniers jours. Des échantillons du code Javascript malicieux impliqué ont été archivés. Non sans une pointe d’ironie, Yonathan Klinjnsma, chercheur chez RiskIQ, commente : « un parmi beaucoup ».  

Après notification, Feedify a éliminé le code malicieux. A plusieurs reprises, semble-t-il. Une situation préoccupante, en fait. Car comme le relevait hier l’expert Kevin Beaumont, l’éditeur est intervenu trois fois, sans empêcher les attaquants de revenir à la charge. Ce qui ne manque pas d’interroger sur les portes d’entrée dont ils disposent. D’autant plus que, selon les données de RiskIQ, cela n’a rien de nouveau : le premier déploiement des outils de Magecart dans les scripts de Feedify remonterait au 17 août. Un second a été observé ce 12 septembre en début d’après-midi.

The Magecart code is back in @_Feedify's shared Javascript library again. All vendors (e-commerce, hotels etc) need to remove this JavaScript link ASAP from their stores as Feedify are clearly compromised.

— Kevin Beaumont (@GossiTheDog) September 12, 2018

Mais selon Kevin Beaumont, Feedify reste particulièrement silencieux. A l’heure où sont écrites ces lignes, son dernier message sur son fil Twitter remonte à novembre 2016. Son plus récent billet de blog est daté de décembre 2017.

L’incident n’est pas isolé. Groopdealz apparaît également avoir été compromis par Magecart. Les données de RiskIQ font état d’une situation qui a commencé le 5 août. Avec le même code et le même domaine de contrôle que pour Feedify.

Et il y a probablement plus à découvrir. Yonathan Klinjsma estime que Magecart ne désigne pas qu’un unique groupe, mais plusieurs. Et d’indiquer que RiskIQ travaille actuellement à un vaste rapport sur leurs activités, dont la publication est prévue pour le courant du mois d’octobre. De quoi, peut-être, inciter les opérateurs de services impliquant des capacités de paiement en ligne à une vigilance toute particulière.