Un piratage mondial de 570 sites Internet réalisé par des injections de code JavaScript a été découvert par Gemini Advisory. Ces attaques visent à 85 % des sites basés sur le CMS Magento. Des centaines de milliers de numéros de carte bancaire ont ainsi été dérobés, et ce depuis plusieurs années.
Affligeant… Sans commentaire !
La plupart du temps, l’aspect sécuritaire d’un site est présenté via les certificats (le fameux cadena dans la barre d’adresse). Les vrais problèmes commencent lors de la non-mise à jour des softs utilisés (Magento, Prestashop) ou des plugins utilisés dans ces softs. La garantie (malgré tout, pas absolue) d’un achat sécurisé vient plus du respect des normes PCI (Payment Card Industry), mais c’est beaucoup moins connu du grand public : https://magento.com/pci-compliance
Les éditeurs ne veulent pas faire de mise à jour automatiques à cause des risques de bug mais c’est au détriment de la sécurité.
Un conseil qui diminuera les risques : ne pas enregistrer sa CB sur les sites marchands.
1 « J'aime »
Sert à rien c’est inutile ce que tu dis. Garde ton conseil.
La CB sur les sites marchands n’est pas enregistrée, seul un token aléatoire l’est.
En clair, avec par exemple, Stripe, ou Paypal (les plus connus), le site A dispose d’un token « :TOTO22 », et Stripe sait que le site A + TOTO22 c’est toi. Aucun pirate peut en faire quelque chose…
L’editeur Stripe / Paypal a ta CB. Mais d’ici qu’eux se fassent hacker, c’est une autre histoire, et avec les assurances…
N’y-a-t-il pas moyen de faire des tests d’integration a chaque maj ? Quelque chose de bien robuste qui analyse autant l’aspect que les fonctionnalites ?
Pour Magento, de ce que j’ai pu comprendre en lisant des articles un peu plus explicatifs, le groupe de hackers « Keeper » a bien altérer les sites web à l’entrée de la zone de paiements, lui permettant donc d’intercepter toute la partie transactionnelle.
Technique assez répandue appelée « Web skimming », et pour Magento, il y a l’outil Magecart qui a été spécifiquement conçu pour cibler Magento, et collecter les données.
Ceci dit, la très grande majorité des sites Magento touchées seraient a priori de petits à moyens sites web, ou encore sous la Fondation 1. Bref, des compagnies qui n’ont pas les moyens d’entretenir correctement leur site web, ce qui entraîne fatalement des failles de sécurité exposées mais non colmatées.
Les DEV ayant connu la version 1 de Magento savent que c’était loin d’être un bon CMS (tout court). La version 2 offre est de loin bien meilleure. Ceci dit, il n’y a pas de réel intérêt d’opter pour Magento avec un site web de faible ou moyenne envergure.
2 « J'aime »
Le truc c’est que quand ils hackent ton compte (par exemple Amazon), ils ne pourront pas acheter certains objets à ta place.
C’est un peu bête mais efficace.
Pas de CB dans mon smartphone, cela évite le vol ou l’utilisation non autorisée de ma CB qu’elle soit protégée par tous les dispositifs inventifs qui ne révèlent pas les numéros de ma CB mais n’empêchent pas son utilisation par un tiers.
1 « J'aime »
salut bien vue . mais beaucoup ne connaisse pas
certaines techniques utiliser pour piéger l’utilisateur sur un site .
cela pose de gros problème pour les boutiques en ligne .
peu de gens savent que les données de leur carte bancaire peuvent être
piratées . même sur des site internet légitimes . cela peut se produire si la page est infecté
par des skimmers web c’est - à - dire des scripts malveillants intégrés directement
dans le code du site .
les skimmers web ont été nommés en raison de leur association avec les skimmers matériels .
des appareils furtifs que des malfaiteurs installent sur les guichets automatiques
ou les terminaux de paiement pour voler les détails de cartes .
il est difficile de remarquer les skimmers parce qu’ils ressemblent à du matériel
de distributeur automatique ordinaire .
les utilisateurs peu méfiants insérent ou glissent leur carte sans savoir qu’ils partageront
leurs données de paiement avec les criminels .
les escrocs ont compris depuis longtemps qu’ils n’ont pas besoin de bricoler
du matériel et de risquer d’être pris sur les lieux du crime .
le même résultat peut être obtenu beaucoup plus facilement entiérement à distance
et avec moins de risques .
en écrivant un bout de code et en l’intégrant à un site internet .
ce code interceptera les données de carte bancaire des clients et les enverra aux
escrocs .
cet extrait de code s’appelle un skimmer web . les cybercriminels
recherchent des boutiques en ligne et autres sites internet vulnérables qui acceptent
les paiements par carte .
les piratent et installent le code malveillant à l’insu de leurs propriétaires .
à ce stade leur travail est terminé .
il leur suffit maintenant de consolider les données de la carte dans une base de données
et de vendre la base de données sur le dark web à d’autres cybercriminels
spécialisés dans le vol d’argent sur les cartes bancaires .
trois facteurs rendent les skimmers web particuliérement dangereux .
premiérement ils sont invisibles pour les utilisateurs .
du point de vue de l’acheteur en ligne ordinaire il ne se passe rien de suspect .
l’utilisateur effectue un achat sur un site internet donc l’adresse est correcte
et qui ne présente aucun élément suspect .
il se présente et fonctionne de la même manière qu’un site internet normal .
de plus l’argent ne disparaîtra pas tout de suite du compte de la victime .
il est donc difficile d’identifier le site internet sur lequel la carte a été compromise .
deuxièmement les skimmers web ne sont pas faciles à détecter même par
les propriétaires de sites . le problème se pose davantage pour les petites boutiques
en ligne qui ne disposent peut -être pas d’un informaticien à plein temps
et encore moins d’un expert en cybersécurité .
cependant même les grands détaillants en ligne peuvent constater
que la vérification minutieuse de leurs propres sites à la recherche de skimmers web
est un défi qui requiert des compétences et des outils assez atypiques .
troisièmement il est difficile pour les victime de faire le lien entre un vol et une
boutique en particulier si bien qu’il est très improbable que quelq’un porte plainte .
rares sont les propriétaires qui par prudence entreprendraient la tâche complexe
et coûteuse d’anayser leur site web à la recherche de skimmers
( ce qui nécessiterait de faire appel à un professionnel ) .
alors qu’à l’origine les skimmers web étaient implantés uniquement
dans les boutiques en ligne fonctionnant sous Magento .
l’éventait des plateformes compromises s’est élargi .
les cybercriminels sont désormais capables d’infecter les boutiques fonctionnant
sur shopify et Wordpress avec des plugins destinés au traitement des paiements
( avec WOO commerce notamment ) .
pour rendre difficile la détection d’un skimmer web sur un site infecté
les auteurs des implants les font délibérément ressembler à du code authentique
de services comme facebook pixel . google Analytic ou google tag manager .
l’une des dernières astuces employées par les pirates informatiques
à l’origine de cette campagne consiste à utiliser des sites internet compromis
comme serveurs de commande et de contrôle ( C&C )
pour gérer les skimmers web implantés sur d’autres sites et exfitrer les informations
de paiement volées .
c’est ainsi qu’ils passent inaperçus .
les skimmers web implantés qui communiquent avec des sites internet
légitimes ne semblent pas suspects .
ce qui laisse penser qu’un skimmer web peut rester sur un site internet
compromis pendant des mois voire des années .
voilà pour l’info .
je tient à faire des excuse pour la longueur du commentaire .
mais beaucoup de personnes ne connaisse pas cela .
sur ceux très bonne journée à vous .
