Cartes bancaires : vaste opération contre le skimming sur des sites marchands

Septembre 2018. Par le biais d’une note d’information publiée sur son site Web, British Airways reconnaît que son système d’information a été victime d’une intrusion entre la fin août et le début du mois de septembre. 

Plus précisément, « les données personnelles et financières des clients ayant réalisé ou modifié une réservation sur le site Web ou l’application mobile ont été compromises ». Et cela vaut pour les opérations effectuées entre le 21 août à 22h58 heure de Londres, et le 5 septembre à 21h45. Quelques 380 000 clients auraient été immédiatement concernés.

Que s’était-il passé ? Un bout de code JavaScript caché s’exécutait à l’insu des visiteurs – et des administrateurs. Il collectait les données de paiement et les transférait à un acteur malveillant. 

Dans ce cas particulier, le code était caché dans une version modifiée de la librairie Modernizr : « le changement était à la fin du script, une technique souvent observée lorsque les attaquants modifient des fichiers JavaScript en s’assurant de ne pas en affecter les fonctionnalités », expliquait Yonathan Klijnsma, alors analyste chez RiskIQ.

Ce 22 décembre 2023, Europol a annoncé que 443 sites marchands avaient été alertés d’une compromission comparable les affectant et, en conséquence, leurs clients. 

Dans un communiqué, Europol indique ainsi être intervenu avec « les autorités policières de 17 pays et l'Agence européenne pour la cybersécurité (ENISA) », ainsi que « Group-IB et Sansec, pour lutter contre les attaques d'écrémage numérique » - du skimming.

L’opération a duré deux mois et a fait appels aux « équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) ». Elle a permis « d'informer 443 commerçants en ligne que les données des cartes de crédit ou de paiement de leurs clients avaient été compromises ».

Europol rappelle que « les attaques en écrémage numérique peuvent passer inaperçues pendant longtemps. Les informations relatives aux cartes de paiement ou de crédit volées à la suite de ces actes criminels sont souvent mises en vente sur des places de marché illicites du darknet ». 

En outre, « les clients ne savent généralement pas que leurs données de paiement ont été compromises jusqu'à ce que les criminels les aient déjà utilisées pour effectuer une transaction non autorisée ».