Brève : Le skimmer logiciel Magecart

Date : 08 Septembre 2018

Magecart est le nom donné par la société RiskIQ.com à un malware bancaire conçu pour voler les données de paiement utilisées lors d’achats sur des sites d'e-Commerce infectés. Magecart a été cité plusieurs fois au cours de l’été 2018 dans des d’incidents de grandes ampleurs, et en particulier dans l’incident qui a touché British Airways fin août, où Magecart a infecté le système de paiement du site et volé 380 000 cartes bancaires en 2 semaines.

Magecart est un simple petit programme en JavaScript (moins de 20 lignes de code) qui est installé secrètement par le pirate une fois qu’il a réussi à s’introduire sur un site web vulnérable. Il est souvent placé à un endroit discret (par exemple dans le pied de page) de façon à être présent dans toutes les pages du site web. Il surveille l’activité de l’utilisateur et lorsque celui-ci saisit ses données bancaires (à la fin du processus de commande), Magecart envoie une copie de toutes les données saisies (numéro de carte de crédit, nom du porteur, date de validité de la carte et code CVV) vers un site contrôlé par le pirate. Ce type d’outil est souvent appelé un « form grabber » (car il capture les données saisies dans le formulaire de paiement), du « formjacking » ou même un « skimmer logiciel ». Un « skimmer » bancaire est en effet traditionnellement un petit dispositif matériel, placé discrètement par un pirate sur un terminal de paiement (par exemple un distributeur de billets) et qui vole les données de la carte bancaire au moment où la carte est utilisée dans le lecteur piégé. Le « skimmer logiciel » agit de la même façon, mais il s’agit cette fois d’un code logiciel ajouté sur le site web compromis.

RiskIQ a découvert les premières versions de Magecart en 2015. A cette époque le malware était conçu pour infecter les petits sites de e-commerces construits au moyen de logiciels tels que Magento, PrestaShop ou OpenCart. Mais en juillet 2018, en analysant une attaque Magecart contre le système de billetterie TicketMaster (au moins 40 000 clients affectés au Royaume-Uni, de février à juin 2018, voir le lien cité enfin d’article), RiskIQ a identifié que ce n’était pas directement le site de TicketMaster qui avait été compromis, mais plutôt celui de la société Inbenta.com qui fournit à ses clients (dont TicketMaster) des services de chat-bots. Une partie du code web exécuté lors de la visite d’un site TicketMaster est donc en fait hébergé par des serveurs Inbenta et c’est là que se trouvait le skimmer logiciel de Magecart. Dans son étude publiée début juillet 2018, RiskIQ montre qu’il ne s’agit pas d’un cas isolé et qu’elle a identifié d’autres fournisseurs de services web, similaires à Inbenta, qui ont également été compromis par Magecart. RiskIQ cite en particulier les sociétés SociaPlus, PushAssist, Annex Cloud (3 sociétés spécialisées dans la mesure d’audience et le marketing web), et Clarity Connect (un hébergeur de sites de e-commerce).

RiskIQ estime que ces incidents affecteraient plus de 800 sites d'e-commerce au travers le monde, ce qui fait de Magecart le groupe d’attaquants le plus puissant dans le domaine du vol de données de cartes bancaires. Il est capable de s’attaquer directement à de grands sites d'e-commerce (tels que British Airways). Il est capable aussi de mettre au point des attaques complexes en infectant des services web tiers et rester plusieurs mois actifs avant d’être découvert. 

Voici un bilan (provisoire) des victimes récentes de Magecart :

  • TicketMaster : attaque Magecart au travers des services fournis par la société Inbenta. 40 000 victimes déclarées, pour une attaque ayant durée de février à juin 2018. Voir cette analyse de RiskIQ.
  • British Airways : attaque directe du site de la compagnie aérienne (par un moyen inconnu). 380 000 victimes pour une attaque ayant durée 15 jours (du 21 août au 5 septembre 2018). Voir cette analyse de RiskIQ.
  • Newegg.com : attaque directe de ce site US de vente de matériel informatique. L’attaque a duré du 14 août au 18 septembre 2018. Voir cette analyse de RiskIQ.
  • Une série de petites sociétés ont également déclaré en septembre 2018 avoir été attaquées au travers des services fournis par la société Annex Cloud : Stein Mart, Title Nine, Plant Therapy et Peaceful Valley Farm Supply (voir cette annonce Tweeter qui liste ces victimes).
Précedent Précedent Suivant Suivant Imprimer Imprimer