Les pirates infectent de plus en plus de sites Web de petite ou moyenne taille au moyen d’un code Javascript qui siphonne en douce les données de carte bancaire des internautes.
Le vol de données de cartes bancaires ne faiblit pas. Les chercheurs en sécurité de Qihoo 360 Netlab viennent de détecter une vague d’attaque ciblant 105 sites e-commerce dans le monde, et cela, depuis au moins décembre dernier.
Le mode opératoire est classique : un code Javascript est inséré au niveau de la page de paiement. Dès que l’internaute renseigne et valide ses données de cartes bancaires, celles-ci sont immédiatement téléchargées vers un serveur contrôlé par des pirates. Dans le cas présent, ce serveur est hébergé sous le nom de domaine « magento-analytics.com », qui n’a évidemment rien à voir avec la célèbre plate-forme e-commerce Magento CMS.
Les données volées sont le numéro de la carte, le nom du porteur, la date d’expiration et le cryptogramme (CVV). Avec ces données, les pirates peuvent effectuer des achats frauduleux sur un grand nombre de sites. En effet, même si vous avez activé l’authentification forte 3D Secure au niveau de votre banque, celle-ci n’est pas utilisée par tous les commerçants.
Les sites e-commerce concernés sont plutôt de petite ou moyenne taille, spécialisés sur des secteurs de niche. Parmi eux, deux sont français : clotures-electriques.fr et cupidonlingerie.fr. Par ailleurs, six sites Web figurent dans le liste Alexa Top 1 Million et drainent donc relativement beaucoup de trafic : mitsosa.com, alkoholeswiata.com, spieltraum-shop.de, ilybean.com, mtbsale.com et ucc-bd.com. Si vous avez récemment effectués des achats sur l’un de ces sites, mieux vaut changer de carte bancaire. Contactez votre banque pour décider de la marche à suivre.
Un phénomène qui prend de l’ampleur
La liste donnée par Qihoo n’est pas exhaustive. Interrogé par Ars Technica, le chercheur en sécurité Jérôme Segura, de Malwarebytes, pointe vers une recherche sur urlscan.io qui, à ce jour, dénombre presque 300 sites infectés, avec une tendance croissante.
Il y a deux semaines, ce chercheur avait d’ailleurs détecté un script malveillant similaire sur plus 800 sites Web. Parmi eux figuraient trois sites français : philippelebac.fr, canadaparkas.fr et hardshot.fr.
Ce type de piratage n’est pas nouveau. Même de grands sites ont déjà été piratés par le passé, comme Ticketmaster, British Airways ou Newegg. Désormais, les petits sites semblent être en ligne de mire, sans doute parce qu’ils sont moins bien sécurisés.
Une manière d’échapper aux griffes des pirates est d’utiliser des numéros de cartes bancaires virtuels à usage unique (service e-carte bleu). C’est un service bancaire payant, mais il est efficace.
Sources : Qihoo 360, Ars Technica, Malwarebytes