Des sites légitimes volent vos infos de carte bleue à leur insu, mais comment est-ce possible ?

Camille Coirault
12 juin 2023 à 17h05
18
© Freepik
© Freepik


Les attaques Magecart ont été découvertes il y a cinq ans et malgré cela, elles restent très efficaces. De nombreux utilisateurs de sites de e-commerce en font encore les frais aujourd’hui. Que désigne donc le terme Magecard et quels sont les risques pour nous autres, consommateurs ?

Une attaque Magecart est un mode opératoire qui consiste en l’insertion de scripts malveillants pour voler les données des clients de sites d'achats en ligne. Et nous ne parlons pas ici de n’importe quelles données. Ce sont en effet les cartes de crédit et les informations personnelles des consommateurs qui sont directement concernées. Ces attaques ont lieu lors du processus de paiement, et ce, par le biais de sites totalement légitimes. C’est ce qui rend cette nouvelle campagne de vols de cartes de crédit particulièrement préoccupante. Les sites concernés sont utilisés comme serveurs de commandes et de contrôle. Ceci donne tout le loisir aux pirates de contourner les mesures de détection et de blocage en se soustrayant à la nécessité de mettre en place leur propre infrastructure. Ces attaques sont de plus en plus fréquentes et posent une menace sérieuse pour la sécurité des transactions en ligne. Une nouvelle campagne de vols de cartes de crédit par ce biais a récemment été découverte.


L'infection des sites légitimes par des skimmers masqués


Les skimmers, ou collecteur de données, sont des programmes spécialisés. Ils ciblent d'abord des sites légitimes vulnérables et les compromettent pour héberger leur code. Ils utilisent ces sites comme base de contrôle pour rendre leurs attaques indétectables. Aujourd'hui, la méthode de piratage utilisée n’est pas claire. Il est cependant fortement probable que les pirates exploitent les vulnérabilités de plateformes de commerces numériques très fréquentées : Magento, WooCommerce, WordPress ou Shopify.


Pour éviter d'être détectés, les attaquants cachent les skimmers en les codant avec une technique d'encodage Base64. Dans le cadre du piratage, l'encodage Base64 peut être utilisé pour occulter des données sensibles ou des éléments de code malveillants. Cela permet de dissimuler ces éléments ou informations de connexion, les rendant ainsi moins apparents et plus difficiles à repérer par les mesures de sécurité en place. Cet encodage permet également de masquer l’URL de l’hôte. La structure de ces skimmers est conçue de plus pour ressembler à celle de Google Tag Manager ou de Facebook Pixel, deux services tiers populaires qui ne soulèvent pas de soupçons. Plutôt malin et très inquiétant.

© Tima Miroshnichenko / Pexels
© Tima Miroshnichenko / Pexels


Le vol des informations et la transmission des données


Une fois les sites compromis, les attaquants injectent un petit extrait de code JavaScript dans les plateformes de e-commerce ciblées. Ensuite, rien de plus simple pour les pirates : ils utilisent ces skimmers pour voler les informations des clients. Ces données sont ensuite transmises aux serveurs des attaquants à l'aide d'une requête HTTP créée sous la forme d'une balise IMG intégrée au skimmer. L’entreprise américaine Akamai reconnaît aujourd’hui deux types de skimmers. La première est une version fortement masquée contenant des sélecteurs CSS personnalisés pour chaque site ciblé, visant les informations personnelles des clients. La deuxième variante est moins bien protégée. Akamai a pu établir une cartographie précise de la campagne de piratage et identifier plus facilement les victimes.


Les attaques Magecart représentent encore aujourd’hui une menace significative. En permettant une compromission de sites web légitimes, elles donnent la possibilité aux pirates de voler des informations très sensibles. Les propriétaires de sites web peuvent se protéger contre ces attaques par la sécurisation de leurs comptes d'administration et par des updates régulières de leur CMS. Les clients des boutiques peuvent réduire les risques en utilisant des méthodes de paiement sécurisées et en fixant une limite de dépenses sur leurs cartes de crédit. La vigilance face à cette recrudescence des attaques reste essentielle tant leurs évolutions sont rapides.

Sources : zdnet, bleepingcomputer, akamai

Camille Coirault

Camille Coirault

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baud...

Lire d'autres articles

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baudelaire, Émile Zola, Choderlos de Laclos ou Victor Hugo pour ne citer qu’eux. Vingt ans après, quelques milliers d'heures à jouer, à lire, et me voilà ! Mon coeur balance toujours entre ma passion de la tech, des jeux vidéo et mon amour incommensurable pour les Lettres. Spoiler : je n’ai pas choisi et cela ne risque pas d’arriver de sitôt.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (18)

Than
Plus ça va, et moins je peux m’empêcher de me demander si certains articles sont écrits avec ChatGPT (ou autre chose), et pas du tout retouché (ou si peu) ensuite. x)<br /> Je dis ça parce que cet article a une formulation des phrases, et un enchaînement, une syntaxe, le tout me parait étrange…<br /> Je peux bien évidemment me planter, mais là, le style d’écriture est monotone et chaque phrase fait quasiment la même longueur, et sonne comme la précédente.<br /> C’est peut-être moi qui suis bizarre. No offense.
MattS32
Je pense que c’est aussi une question de « génération », avec l’arrivée de rédacteurs plus jeunes, qui ont été formés à écrire des articles optimisés pour le SEO plus que pour la lecture…<br /> Sur un site Wordpress que j’avais à une époque, j’avais un plug-in qui donnait des recommandations pour le SEO, et c’est exactement ce genre de résultat que j’obtenais en appliquant les conseils : phrases courtes, répétitions des mots clés…<br /> Voilà le genre de rapport qu’il générait :<br />
NumLOCK
C’est vrai que cet article sonne un peu bizarre, il me donne l’impression d’avoir été traduit (plus ou moins littéralement) de l’anglais.
stereopap
« cartes de crédit » : le terme est typiquement US (en France on a pas ce système, il s’agit de carte bancaire). C’est un article tout fait acheté pour un autre marché que la France.<br /> Mais le fond de l’article reste valide
RobinPrieur
Tenez pour vos doutes:<br /> BleepingComputer<br /> Hackers hijack legitimate sites to host credit card stealer scripts<br /> A new Magecart credit card stealing campaign hijacks legitimate sites to act as "makeshift" command and control (C2) servers to inject and hide the skimmers on targeted eCommerce sites.<br />
Blackalf
stereopap:<br /> « cartes de crédit » : le terme est typiquement US (en France on a pas ce système, il s’agit de carte bancaire). C’est un article tout fait acheté pour un autre marché que la France.<br /> Pas forcément, en Belgique nous faisons bien la différence entre carte de débit qui permet de payer sur des terminaux avec code ou sans contact (et sur de plus en plus de sites, à condition que le paiement par Bancontact soit disponible et que l’on ait un digipass qui fournit des codes sécurisés à usage unique) et carte de crédit (Visa, Master Card…). <br /> A noter trois choses : la Visa est liée au compte bancaire, mais au lieu d’être instantané, le prélèvement se fait 9 jours après la date de clôture des dépenses (le 23 de chaque mois). La Master Card, elle, est liée à une réserve d’argent à part (5.000 €, dans mon cas) et un prélèvement mensuel proportionnel aux dépenses est effectué.<br /> Et depuis peu, nous avons un autre digipass dédié à la Visa pour pouvoir l’utiliser sur des sites. Bref, si je perdais ma Visa et que quelqu’un la trouvait, il ne pourrait faire que des paiements physiques - sous réserve de connaître le code pin - mais pas l’utiliser sur le Net, puisqu’il n’aurait pas le digipass. ^^
Bombing_Basta
Et où se trouve la seule info qui intéresse l’utilisateur : quel sites sont concernés là, tout de suite ?<br /> Si c’est pour nous dire que n’importe-quel site peut être la victime d’attaques si ils ont une faille, merci mais on le savait déjà : internet est risqué…<br /> Maintenant la deuxième info qui serait utile : quel recours si on en est victime ?<br /> Les clients des boutiques peuvent réduire les risques en utilisant des méthodes de paiement sécurisées<br /> Ah et troisième info : quel moyen de paiement est sécurisé à 100% ?<br /> Quelqu’un pour donner ces infos ? Chat GPT peut-être ?
jvachez
Si malheureusement, il y a un menu qui permet de choisir comptant ou à crédit sur la plupart des paiements en magasins. En cas de mauvaise manipulation le banque facture un taux exhorbitant il n’y a pas de possibilité de réparer la bourde sans frais.
DrGeekill
Effectivement. Article intéressant et instructif mais qui laisse beaucoup de questions sans réponses.
MattS32
Blackalf:<br /> A noter trois choses : la Visa est liée au compte bancaire, mais au lieu d’être instantané, le prélèvement se fait 9 jours après la date de clôture des dépenses (le 23 de chaque mois). La Master Card, elle, est liée à une réserve d’argent à part (5.000 €, dans mon cas) et un prélèvement mensuel proportionnel aux dépenses est effectué.<br /> Attention, ces modes de fonctionnement viennent du choix de ta banque, ce n’est pas forcément toujours comme ça avec Visa et MasterCard.<br /> On peut avoir des cartes de débit Visa et des Mastercard à débit immédiat (souvent moins de 9 jours, ça c’est déjà presque du différé) ou même prépayées (le solde du compte est vérifié à chaque transaction, et débité immédiatement). Et il y a aussi des cartes de débit Visa et Mastercard à débit différé (tous les débits du mois sont débités du compte le même jour, mais ce ne sont pas des cartes de crédit, le débit a obligatoirement lieu à la daté prévue, sans possibilité de couvrir le montant avec un crédit) et des cartes de crédit Visa et Mastercard, qui sont elles associées à un crédit renouvelable (mais qui en fait par défaut s’utilisent, en tout cas pour toutes celles que j’ai eu, comme une carte de débit à débit immédiat ou différé, il faut demander explicitement à utiliser le crédit, soit pour une transaction spécifique, directement sur le TPE ou a postériori via l’interface web, soit pour tout le solde à la fin de la période).<br /> En résumé, Visa et Mastercard, qui font la gestion des transactions, proposent tous les deux les 4 familles de cartes (prépayée, débit, crédit et business), et les banques choisissent là dedans ce qu’elles veulent proposer à leurs clients, fixent les délais de débit, les plafonds, et le montant et le taux du crédit quand il y en a un, ce n’est pas le fait que ça soit une carte Visa ou Mastercard qui implique que ça soit forcément une carte de crédit.<br /> Et histoire de simplifier encore le bordel, certaines cartes vendues comme des cartes de débit à débit différé sont en pratique techniquement des cartes de crédit… Parce que les montant des commissions d’interchange sont plus élevés sur une carte de crédit, donc ça arrange les banques de les déclarer comme telles, en jouant sur les mots (elles assimilent le débit différé à un crédit remboursable en une fois et à taux 0…). Si votre banque vous a changé votre carte à un moment ces dernières années alors qu’elle n’était pas encore expirée, c’est très probablement pour vous passer d’une carte de débit à une carte de crédit (suffit de vérifier, c’est marqué dessus).<br /> jvachez:<br /> Si malheureusement, il y a un menu qui permet de choisir comptant ou à crédit sur la plupart des paiements en magasins.<br /> C’est que tu as une carte de crédit. Mais la plupart des cartes proposées par défaut par les banques en France ne sont effectivement pas des cartes de crédits (soit des cartes de débit, soit des cartes de crédit mais fonctionnant uniquement en débit…). Il y en a quelques unes qui proposent des vraies cartes de crédit, mais c’est jamais l’offre par défaut, faut vraiment le demander spécifiquement (par exemple carte « Option Crédit » à la Poste, Supplétis au Crédit Agricole… le Crédit Mutuel en faisait aussi une, 3F, mais elle a été arrêtée).<br /> Les cartes de crédit sont généralement les cartes de magasins (Carrefour, Casino, Fnac, Cdiscount, Darty, Ikea, Printemps, La Redoute… tout ça ce sont des cartes de crédit) ou d’organismes spécialisés dans le crédit (par exemple Sofinco, qui a des cartes sous sa marque, en plus de gérer les cartes de plusieurs magasins)
Bombing_Basta
Pour ma part j’ai une carte bleue visa qui à la base n’avait pas de crédit.<br /> Puis la banque a décidé de mettre une possibilité de payer à crédit avec, alors que je n’en veux pas, du coup j’ai demandé à le désactiver, réponse de la banque : impossible…<br /> Par contre j’étais et je suis toujours débité dans les 48h max après paiement avec.
MattS32
Bombing_Basta:<br /> Puis la banque a décidé de mettre une possibilité de payer à crédit avec, alors que je n’en veux pas, du coup j’ai demandé à le désactiver, réponse de la banque : impossible…<br /> Au moins elle a fait les choses proprement : elle passe la carte en crédit pour toucher les commissions d’interchange plus élevée, mais c’est bien une vraie carte de crédit ^^<br /> Je pourrais citer plusieurs banques qui fournissent des cartes de crédit sans qu’il y ait un crédit renouvelable associé…<br /> Bombing_Basta:<br /> Par contre j’étais et je suis toujours débité dans les 48h max après paiement avec.<br /> Oui, comme sur toutes mes cartes de crédit. Je pense que c’est une obligation légale en France : par défaut, ça passe en débit, et il faut une demande explicite pour qu’une transaction soit passée sur le crédit renouvelable.<br /> Sur ma carte Carrefour, j’ai « désactivé » le crédit à ma façon : chaque année ils m’envoyaient un courrier pour me demander confirmation que je voulais conserver ma réserve de crédit de 1500€. Une année, je ne l’ai pas renvoyé. Depuis ma réserve de crédit est passée à 150€, c’est presque comme s’il n’y en avait pas
Bombing_Basta
Edit :<br /> Le plus drôle c’est que, suite à ton post je viens de vérifier : je ne sais pas lire
MattS32
Ça sent le recyclage de stock
Bombing_Basta
'Tain je suis con j’ai mal lu c’est dédit, pas débit lol…
Than
D’accord, merci.<br /> Du coup, pour moi, c’est hyper chiant à lire. J’ai l’impression de lire un robot, « sans âme » (et c’est moi qui dit ça…), que l’auteur vit pas son article.<br /> Un peu comme si un musicien était le plus parfait au monde techniquement, mais on devine chaque note suivante… C’est très bizarre.
Than
Ok, merci. Du coup c’est exactement le même type de phrasé, avec phrases courtes… donc ça aurait pu être traduit en 2 secondes sur n’importe quel outil de traduction.<br /> Je ne suis donc pas fou !
ypub
Visiblement c’est une compilation:<br /> Sources : zdnet, bleepingcomputer, akamai
_Ludo
@Than @MattS32 @stereopap Hello,<br /> Merci pour vos commentaires, j’en prend bonne note pour en faire quelques retours à notre journaliste ; cependant je tenais à éclaircir vos doutes.<br /> Tout d’abord, non, l’article n’est pas écrit par un robot ou une IA (nous l’indiquerions), il n’est pas une traduction littérale non plus et, de fait, nous sommes désolés si le style ne vous convient pas. L’article a été rédigé par un rédacteur qui respecte le b.a.-ba de l’écriture : des phrases courtes contenant une seule idée, offrant une meilleure compréhension.<br /> Quant à vos différentes remarques, juste pour info : s’il s’agissait d’une pure production SEO les mots clés principaux seraient rabâchés (ce n’est pas le cas ici). Le terme « carte de crédit » est celui que bon nombre de français utilisent principalement (avec « CB »).<br /> Enfin, oui, comme bon nombre de nos articles, il est le résultat de l’analyse de plusieurs sources sûres et d’une « compilation » (mais pas au sens copier-coller) de la part du rédacteur. Si nous n’allons pas dans les détails, c’est uniquement pour une question lisibilité. Vous pouvez, justement, suivre les sources pour creuser si le sujet vous questionne mais dans une actu, nous privilégions l’information centrale, décortiquons le contexte et expliquons de façon sommaire afin de rendre le sujet accessible à toustes.<br /> Bien à vous,<br /> Ludo
Than
Merci pour le retour.<br /> Hmm, en France j’entends rarement parler de CB pour dire Carte de crédit. Par contre on dit Carte bleue. C’est d’ailleurs l’acronyme.<br /> Peut-être une question de milieu ou d’entourage.<br /> Y’a pas de mal pour le style. C’est juste que là, ça m’a paru très très bizarre.<br /> On peut quand même avoir des phrases de plus de 10 mots, avec plus d’une 1 idée… on est considéré comme si stupides que ça ? <br /> La lecture n’a pas à être d’une facilité déconcertante (et étrange) en permanence, même si c’est la politique éditoriale et qu’elle se comprend tout à fait.<br /> Mais là c’était flagrant de minimalisme. Ça faisait vraiment pas très humain, ou alors très scolaire.
Nmut
Il me semble plutôt que CB veut dire Carte Bancaire! Carte Bleue, c’est une marque (réseau Carte Bleue Visa).
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

2 fois en 6 mois : le service d'emailing Mailchimp a encore été piraté 2 fois en 6 mois : le service d'emailing Mailchimp a encore été piraté
Cyberattaques : les hackers ciblent de plus en plus les jeunes joueurs sur des jeux très populaires Cyberattaques : les hackers ciblent de plus en plus les jeunes joueurs sur des jeux très populaires
Windows, Android : attention à ces fausses apps WhatsApp et Telegram, elles sont malveillantes Windows, Android : attention à ces fausses apps WhatsApp et Telegram, elles sont malveillantes
Vous avez un Samsung, un Google Pixel, un vivo ? Les chercheurs de Google viennent de trouver une grosse faille ! Vous avez un Samsung, un Google Pixel, un vivo ? Les chercheurs de Google viennent de trouver une grosse faille !
La plus grosse attaque par déni de service de l'Histoire a été bloquée, avec des chiffres qui vous feront bondir La plus grosse attaque par déni de service de l'Histoire a été bloquée, avec des chiffres qui vous feront bondir