Une régie pub de La Poste a été utilisée pour pirater 277 sites d'e-commerce

Des pirates ont réussi à infecter un mouchard publicitaire présent sur beaucoup de sites marchands en ligne. Le code malveillant permettaient d'exfiltrer les données de cartes bancaires. Heureusement, seuls 114 numéros ont réellement été volés. 

Le groupe Magecart a de nouveau frappé, et cette fois, l’e-commerce français est touché pleinement. Spécialisés dans le vol de données de cartes bancaires, ces pirates de haut vol ont réussi à modifier un code JavaScript de la régie publicitaire Adverline, une entreprise de Mediapost qui fait lui-même partie du groupe La Poste.

Comme expliquent les chercheurs en sécurité de Trend Micro, le code JavaScript d’Adverline est un mouchard publicitaire qui permet à ses clients de l’e-commerce de « taguer » leurs visiteurs. Ces derniers, quand ils navigueront sur la Toile, verront alors des publicités qui les inciteront à revenir dans leurs boutiques virtuelles. Une pratique très classique, mais particulièrement néfaste si le mouchard embarque également un malware. Celui-ci est alors instantanément diffusé sur un grand nombre de sites.     

Plus de 14 000 transferts en une semaine

Quand il est exécuté dans le navigateur, le code malveillant de Magecart inspecte l’URL à la recherche de mots-clés tels que « panier », « paiement », « checkout » ou « billing ». Si c’est le cas, cela veut dire que le visiteur se trouve sur une page de paiement en ligne. Il va alors détecter le formulaire de carte bancaire et faire une copie de toutes les valeurs renseignées par le visiteur. Au moment de la validation, ces données sont codées en base64 et renvoyées vers un serveur contrôlé par les pirates. Cette méthode permet non seulement de récupérer le numéro et la date d’expiration de la carte, mais aussi le code de sécurité (CVV). Les pirates peuvent donc immédiatement réaliser des achats frauduleux en ligne.

Selon Trend Micro, le code vérolé d’Adverline s’est retrouvé sur au moins 277 sites e-commerce, du 1er au 6 janvier dernier. Sur cette période, Trend Micro a identifié plus de 14 000 transferts de données vers les serveurs de Magecart. La grande majorité de ce piratage s’est fait en France (78 %). Heureusement, le code JavaScript a été rapidement désactivé par le CERT La Poste.

Selon Adverline, les dommages ont heureusement été limités. En effet, le script de taggage de la régie publicitaire n’est pas censé être intégré dans les « zones sensibles permettant la collecte de données à caractère personnel, notamment sur les pages de paiement ».  Huit sites n’ont pas respecté cette règle. Au final, seuls 114 numéros de cartes bancaires sont susceptibles d’avoir été collectés. « Nous avons entrepris des investigations dès le 2 janvier afin de comprendre la méthode et l’objectif de l’attaquant. Au fur à mesure des analyses, Adverline, conformément au RGPD, a relayé l'information aux plateformes pour les clients dont le risque était identifié et leur a recommandé des actions conservatoires », nous précise Philippe Framezelle, directeur de la régie d’Adverline.  (*)

Ce n’est pas la première fois que Magecart agit de la sorte. En 2018, le groupe de pirates avait réussi à véroler les scripts de Feedify, un service de support en ligne utilisé par plus de 4 000 sites web. Il n’hésite pas non plus à s’attaquer directement aux sites e-commerce. Ticketmaster, British Airways et, plus récemment, le fabricant d’ustensiles de cuisine Oxo font partie de leur tableau de chasse. Jusqu’alors, la France était plus ou moins épargnée par ces cybercrapules.

Pour se protéger contre ces attaques, un bon moyen est de souscrire un service de carte bancaire virtuelle ou « e-carte bleue ». Dans ce cas, la banque fournit au client un logiciel qui génère pour chaque achat en ligne un numéro de carte, une date d’expiration et un code CVV. Ces données sont à usage unique et ne peuvent donc pas être réutilisées pour un autre achat. Même si elles sont volées, ce n’est pas grave.  

(*) Article modifié à 15h14, suite aux informations que nous a transmis Adverline.