Piratage : des données de cartes bancaires volées sur des sites marchands français à travers des publicités
Piratage : des données de cartes bancaires volées sur des sites marchands français à travers des publicités
Par Martin Untersinger
Un groupe spécialisé dans le vol de données bancaires a ciblé, en janvier, des sites d’e-commerce français. Les pirates sont parvenus à infecter Adverline, une régie publicitaire.
Pour protéger son numéro de carte bancaire lors d’achats sur Internet, on répète souvent quelques précautions simples : s’assurer d’être bien sur un site officiel ou vérifier la présence du petit cadenas vert synonyme d’une connexion sécurisée. Mais dans le cadre de l’opération repérée et documentée mercredi 16 janvier par deux entreprises spécialisées en sécurité informatique, RiskIQ et Trend Micro, ces réflexes de bon sens n’auront été d’aucune aide pour protéger les données bancaires d’un nombre indéterminé d’internautes.
Un groupe de pirates informatiques spécialisés dans le vol de données bancaires sur Internet, connu depuis plusieurs mois sous le nom de Magecart, a ciblé, au tout début de janvier, un certain nombre de sites d’e-commerce français afin de dérober en toute discrétion des numéros de cartes bancaires.
Mais plutôt que de les pirater directement, ce groupe a choisi une voie détournée. Il est parvenu à infecter Adverline, une régie publicitaire française chargée de placer, pour le compte d’entreprises, des publicités sur des sites Internet, notamment d’e-commerce. Ainsi, Magecart est parvenu à nicher dans les publicités affichées par Adverline un logiciel conçu pour dérober des numéros de cartes bancaires. Pour l’internaute, la manipulation est invisible : ils sont bel et bien sur un véritable site d’e-commerce, protégé par une connexion sécurisée mais, caché dans la publicité qui s’affiche le cas échéant sur la page, un groupe de pirates les observe entrer leur numéro de cartes bancaires et le récupère.
Des dégâts d’ampleur inconnue
Les pirates ont profité de la nuit de la Saint-Sylvestre, à 1 heure du matin, pour pénétrer dans les systèmes d’Adverline. Cette intrusion a permis au groupe malveillant de « passer la surmultipliée », écrit RiskIQ. Les équipes de l’entreprise les repèrent, mais ne parviennent à nettoyer leur réseau que le 4 janvier. Entre-temps, le code malveillant développé par les pirates a été affiché à de nombreuses reprises.
A ce stade, difficile d’évaluer précisément les dégâts, mais ils sont impressionnants. Les chiffres publiés par les entreprises spécialisées ne permettent pas de connaître avec précision le nombre de victimes. Selon Trend Micro, 277 sites d’e-commerce étaient concernés : sans donner leurs noms, l’entreprise explique qu’il s’agissait notamment de sites de ventes de billets d’avion, de cosmétique ou de vêtements. Le code malveillant a été affiché et bloqué par les outils de Trend Micro plus de 11 000 fois en France sur les six premiers jours de 2019, selon les chiffres fournis par l’entreprise.
Des chiffres démentis par la régie publicitaire Adverline. Cette dernière revendique plus de 5 millions de visiteurs uniques quotidiens par le biais des sites qui affichent ses publicités. Cependant, selon l’entreprise, qui dit au Monde avoir enquêté auprès de ses clients, seulement huit sites ont subi l’intrusion des pirates informatiques, et cette dernière n’a concerné « que » 114 numéros de cartes bancaires. Des explications qui minimisent la portée réelle du piratage.
Un groupe criminel endurci
Magecart est loin d’être un inconnu dans le monde de la cybercriminalité. Ce groupe s’est fait depuis plusieurs années une spécialité d’infecter des sites Internet pour récupérer des données de cartes bancaires. Les chercheurs qui ont étudié son fonctionnement le décrivent comme une nébuleuse comportant plusieurs groupes aux méthodes et aux outils légèrement différents. Ils estiment que le groupe aurait infecté plus de six mille sites depuis 2014, date de son apparition. C’est ce groupe qui est responsable du vol de plusieurs dizaines de milliers de cartes bancaires par le biais de l’application de la compagnie aérienne British Airways, découvert en septembre 2018.
La découverte de cette opération visant non pas directement un site où sont saisies des données bancaires mais une régie publicitaire, dont les encarts pullulent sur tous les sites Internet, inquiète de nombreux experts. « Cela va donner des idées à d’autres. (…) Il est vraisemblable qu’on retrouve des régies pub ailleurs ciblées et piratées de la même façon », craint Loic Guézo, de Trend Micro. D’autant plus que ce mode d’attaque « de chaîne d’approvisionnement » peut-être utilisé pour de nombreuses autres activités criminelles.