Piratage : une entreprise de cybersécurité identifie 570 sites à risque, dont 85% basés sur Magento

Arnaud Marchal
Spécialiste automobile
15 juillet 2020 à 16h37
8
magento

Un piratage mondial de 570 sites Internet réalisé par des injections de code JavaScript a été découvert par Gemini Advisory. Ces attaques visent à 85 % des sites basés sur le CMS Magento. Des centaines de milliers de numéros de carte bancaire ont ainsi été dérobés, et ce depuis plusieurs années.

Le groupe Keeper, à l'origine du piratage, a ciblé plus de 500 sites de petites et moyennes entreprises à travers 55 pays, dont la France, qui se hisse à la quatrième place des pays les plus touchés par ces attaques répétées depuis avril 2017. 25 sites français seraient concernés d’après Gemini Advisory qui a détecté et signalé le piratage.

700 000 cartes bancaires potentiellement compromises

Les attaques sont donc l’œuvre du groupe Keeper, et visent principalement les sites de e-commerce utilisant Magento et les extensions e-commerce de ce dernier.

Les pirates ont réussi à injecter du code JavaScript plus ou moins discrètement pour détourner les données bancaires de plusieurs centaines de milliers d’utilisateurs à travers le monde. Aucun continent n’a échappé à ces attaques.

Gemini Advisory a découvert un journal d’accès non sécurisé indiquant 184 000 cartes bancaires compromises entre juillet 2018 et avril 2019, soit neuf mois, lors de ses attaques Magecart. Or, le groupe de pirates Keeper agit depuis avril 2017, aussi, par extrapolation, Gemini Advisory estime qu'il pourrait y avoir au moins 700 000 cartes dont les informations ont été volées.

Magento et son système de gestion de contenu © Magento

Un piratage à 7 millions de dollars

Au regard des prix actuels du darknet, cela représente un bénéfice de 7 000 000 $ pour les hackers, si on se base sur un prix de vente de 10 $ par carte. Ce chiffre pourrait même être revu à la hausse puisque le groupe de pirates n'a cessé d’améliorer sa technique depuis le début de leurs opérations.

Les attaques de type Magecart visent le CMS Magento dans 85 % des cas. Ce CMS est utilisé par plus de 250 000 utilisateurs dans le monde et représente environ 30 % des sites de e-commerce. Et même si la plupart attaques Magecart de Keeper visent des sites de petits commerçants, certains grands noms se retrouvent dans la liste des 570 sites piratés, disponible sur le site de Gemini Advisory.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
9
SPH
Affligeant… Sans commentaire !
matt1489
La plupart du temps, l’aspect sécuritaire d’un site est présenté via les certificats (le fameux cadena dans la barre d’adresse). Les vrais problèmes commencent lors de la non-mise à jour des softs utilisés (Magento, Prestashop) ou des plugins utilisés dans ces softs. La garantie (malgré tout, pas absolue) d’un achat sécurisé vient plus du respect des normes PCI (Payment Card Industry), mais c’est beaucoup moins connu du grand public : https://magento.com/pci-compliance
jvachez
Les éditeurs ne veulent pas faire de mise à jour automatiques à cause des risques de bug mais c’est au détriment de la sécurité.
FireHack7z
Cela ne ce produira pas sur blazstore
max_971
Un conseil qui diminuera les risques : ne pas enregistrer sa CB sur les sites marchands.
Proutie66
Sert à rien c’est inutile ce que tu dis. Garde ton conseil.<br /> La CB sur les sites marchands n’est pas enregistrée, seul un token aléatoire l’est.<br /> En clair, avec par exemple, Stripe, ou Paypal (les plus connus), le site A dispose d’un token «&nbsp;:TOTO22&nbsp;», et Stripe sait que le site A + TOTO22 c’est toi. Aucun pirate peut en faire quelque chose…<br /> L’editeur Stripe / Paypal a ta CB. Mais d’ici qu’eux se fassent hacker, c’est une autre histoire, et avec les assurances…
Peter_Vilmen
N’y-a-t-il pas moyen de faire des tests d’integration a chaque maj ? Quelque chose de bien robuste qui analyse autant l’aspect que les fonctionnalites ?
Bibifokencalecon
Pour Magento, de ce que j’ai pu comprendre en lisant des articles un peu plus explicatifs, le groupe de hackers «&nbsp;Keeper&nbsp;» a bien altérer les sites web à l’entrée de la zone de paiements, lui permettant donc d’intercepter toute la partie transactionnelle.<br /> Technique assez répandue appelée «&nbsp;Web skimming&nbsp;», et pour Magento, il y a l’outil Magecart qui a été spécifiquement conçu pour cibler Magento, et collecter les données.<br /> Ceci dit, la très grande majorité des sites Magento touchées seraient a priori de petits à moyens sites web, ou encore sous la Fondation 1. Bref, des compagnies qui n’ont pas les moyens d’entretenir correctement leur site web, ce qui entraîne fatalement des failles de sécurité exposées mais non colmatées.<br /> Les DEV ayant connu la version 1 de Magento savent que c’était loin d’être un bon CMS (tout court). La version 2 offre est de loin bien meilleure. Ceci dit, il n’y a pas de réel intérêt d’opter pour Magento avec un site web de faible ou moyenne envergure.
max_971
Le truc c’est que quand ils hackent ton compte (par exemple Amazon), ils ne pourront pas acheter certains objets à ta place.<br /> C’est un peu bête mais efficace.<br /> Pas de CB dans mon smartphone, cela évite le vol ou l’utilisation non autorisée de ma CB qu’elle soit protégée par tous les dispositifs inventifs qui ne révèlent pas les numéros de ma CB mais n’empêchent pas son utilisation par un tiers.
Voir tous les messages sur le forum

Derniers actualités

Mi MIX Fold 2 : Xiaomi annonce son nouveau smartphone pliant
Le buggy Meyers Manx est de retour en version électrique
Meta s'endette de 10 milliards de dollars pour ses projets
Après avoir « disrupté » l'e-commerce, Amazon s'attaque au paiement en caisse
Ce smartphone est à prix cassé chez Cdiscount !
Voilà une offre à ne pas manquer ! Ce superbe écran de 32
Profitez de vos morceaux préférés avec l'enceinte sans fil Bose à prix réduit
Redonnez une seconde jeunesse à votre Mac à petit prix grâce à cette solution dédiée
Apple : l'iPad Pro et sa puce M1 profite d'une belle remise
Cette vidéo TikTok veut vous montrer comment éviter de payer les frais d’excès de bagage en avion
Haut de page