apichon_tee - stock.adobe.com

Vol de données CB : la menace oubliée des skimmers

Ces implants logiciels font bien moins parler d’eux qu’en 2018 après la compromission du site Web de British Airways. Pour autant, la menace reste bien présente comme l’illustre la boutique en ligne de l’Agence spatiale européenne.

C’était à la fin de l’été 2018 : British Airways reconnaissait le vol de données de cartes bancaires de 380 000 de ses clients, utilisateurs de son site Web et de son application mobile. RiskIQ pointait alors un suspect, qui allait faire largement parler de lui : Magecart, dont on découvrirait plus tard qu’il ne s’agissait pas d’un seul groupe, mais de plusieurs, notamment à la suite d’une enquête conduite conjointement par RiskIQ et Flashpoint. 

La nébuleuse Magecart vise des sites de commerce en ligne animés par Magento pour dérober des détails de cartes bancaires. Mais depuis, le soufflet médiatique est largement retombé. À tort, semble-t-il.

Un déficit médiatique préjudiciable

Félix Aimé, chercheur en renseignement sur les menaces chez Sekoia.io, reste vigilant. Dans un message sur X, anciennement Twitter, il alertait, en ce 23 décembre, de la présence de la menace sur un site de vente en ligne.

Son intérêt pour cette menace de ce que l’on appelle les skimmers, des implants logiciels qui permettent d’assurer le vol de ces données de paiement CB ne date pas d’hier. 

Au printemps 2020, celui qui était alors analyste du sein du Great de Kaspersky, nous expliquait scanner « de l’ordre de 50 000 sites Web par jour, à la recherche d’anomalies, de redirections qui ne devraient pas être, etc. Tous les deux ou trois jours, je récupère des alertes ». 

Ces alertes, accessoirement, ne se limitent pas à des skimmers, mais concernent aussi « de la redirection publicitaire, des waterholes d’états, etc. ». C’était en fait même le point de départ de ses recherches, avant qu’il n’ajoute à ses outils d’analyse des sites d’e-commerce.

Fin mai 2020, Félix Aimé avait averti Bureau Vallée. L’enseigne avait réagi très vite, à la surprise du chercheur : « ils ont compris ce qui se passait, mais c’est excessivement rare que non seulement j’ai une réponse, mais celle-ci montre que mon alerte a été comprise ».

C’est d’ailleurs là qu’il identifiait un problème grave : le déficit de sensibilisation, de compréhension de la menace : ouvrir une boutique en ligne peut être fait rapidement et relativement aisément, notamment avec un Shopify, par exemple. Dès lors, il n’est pas rare que ceux qui opèrent un site d’e-commerce ne comprennent pas ce qui s’est passé lorsque leur site est compromis par un skimmer… ni ne sachent comment gérer l’incident, ne serait-ce que vis-à-vis de leurs clients.

Une menace toujours présente

À l’époque, Félix Aimé soulignait une menace « très répandue », mais donc méconnue. Près de cinq ans plus tard, elle n’a pas disparue. 

C’est toujours en ce 23 décembre que Sansec a repéré une menace affectant la boutique numérique de l’Agence spatiale européenne (ESA) : un bout de code JavaScript redirigeant les acheteurs, à la phase de paiement, vers un site frauduleux, utilisant un nom de domaine choisi pour semer la confusion et induire le visiteur en erreur. 

La découverte a été confirmée, dans la foulée, par Source Defense Research. Dans une publication sur X, ce dernier explique que si la boutique en ligne de l’agence s’appuie sur Stripe pour traitement les paiements, « les attaquants ont exécuté une technique de double-entrée, falsifiant la page Stripe du site de l’ESA ». Un faux visuellement très proche de l’original, alimenté par les données fournies par l’original lors de la redirection finale, et donc conçu pour collecter les données de paiement à l’insu des visiteurs et de l’agence.

Au moment où sont publiées ces lignes, le site d’e-commerce de l’Agence est fermé : « notre site est temporairement sorti d’orbite pour des rénovations excitante », peut-on y lire.

Mais au-delà de l’exemple isolé, les publications d’experts du domaine permettent de mesurer l’ampleur persistante de la menace. Durant l’été 2024, Malwarebytes documentait ainsi une telle campagne de vol de données de cartes bancaires touchant des « centaines » de sites de vente en ligne.

De son côté, le spécialiste de la sécurité des sites Web Sucuri a consacré rien moins que 10 billets de blogs à la menace des skimmers en 2024.

Le plus récent, publié fin novembre, se penchait sur du code JavaScript malveillant observé sur des sites animés par Magento, et générant « dynamiquement de faux formulaires de carte de crédit, ou extrayant directement les champs de paiement suivant les variants du logiciel malveillant, en ne s’activant que sur les pages de checkout ». De là, « les données volées sont chiffrées et exfiltrées vers un serveur distant ».

Pour approfondir sur Sécurité du Cloud, SASE