5 types d’attaques Magecart (et 5 façons de les éviter)

À mesure que l’e-commerce se développe (et que le nombre de transactions faites en ligne augmente), la cybercriminalité se développe aussi. Et depuis plusieurs années, les méthodes employées par les cybercriminels sont de plus en plus avancées. Parmi ces cyber-attaques, on retrouve les attaques dites “Magecart”, considérées comme étant les plus dangereuses et les plus craintes par les e-commerçants comme les internautes.

Mais qu’est-ce exactement qu’une attaque Magecart ?
Quelles formes peuvent-elles prendre ?
Et, plus important encore : comment pouvez-vous vous en protéger ?
Ce sont les sujets que nous adressons aujourd’hui !

Attaques Magecart : c’est quoi exactement ?

Le nom « Magecart » fait référence à un consortium mondial d’au moins douze organisations criminelles. Ces organisations sont derrière certaines des plus grandes cyberattaques mondiales. Parfois appelées attaques front-end, leur mode opératoire est mieux connu sous le nom d’attaques Magecart. Le terme Magecart est également utilisé pour désigner le code JavaScript que ces groupes utilisent dans leurs opérations.

Ce qui est typique de ces attaques, c’est qu’elles utilisent le navigateur du client pour accéder aux informations saisies par lce dernier. Les attaques ciblent et collectent des données sensibles des clients (adresses e-mail, mots de passe et numéros de cartes de crédit) en injectant un code JavaScript malveillant.

Malheureusement, ce type d’attaque est très avancée, et les hackers les font constamment évoluer. Un exemple classique d’attaque Magecart implique l’injection de nouveaux champs dans les formulaires en ligne pour collecter des informations sensibles. Les clients n’ont aucun moyen de savoir qu’ils visitent une page compromise, et les entreprises découvrent généralement l’escroquerie longtemps après que les dommages ont été causés.

Parfois, les attaques Magecart ciblent les fournisseurs d’une entreprise. Aujourd’hui, il est fréquent que les e-commercants utilisent des scripts tiers sur leurs sites pour offrir une bonne expérience client. Ces solutions présentent de nombreux avantages et rendent généralement l’ajout de nouvelles fonctionnalités plus facile, moins coûteux et plus rapide. Cependant, elles introduisent également un élément de risque, car utiliser des scripts tiers signifie que le propriétaire du site ne contrôle pas complètement l’ensemble du code. Un site-commerce aujourd’hui peut contenir du code de dizaines de sources différentes qui ont tous les mêmes privilèges que le code principal, et les hackers savent comment en tirer parti.

À quelle fréquence les attaques Magecart se produisent-elles ?

Étant donné que c’est un crime très lucratif, le nombre d’attaques Magecart ne cesse d’augmenter, avec des effets dévastateurs pour les entreprises comme les clients. Les skimmers Magecart ont déjà attaqué plus de 2 millions de sites Web, et le nombre d’incidents a augmenté de plus de 20 % pendant la pandémie. Ajoutez à cela le fait que les achats en ligne sont au plus haut niveau jamais atteint (en partie en raison du boom du secteur e-commerce durant la pandémie de COVID-19), et vous avez un terreau idéal pour faire grandir la proportion d’attaques Magecart.

5 exemples concrets d’attaques Magecart

En matière d’attaques Magecart, personne n’est à l’abri. Aucun secteur n’est épargné, et la liste des victimes de Magecart ressemble à un annuaire des plus grandes marques mondiales. Ce type d’attaque vise toutes sortes d’entreprises, de toutes tailles et dans tous les secteurs, avec des méthodes de plus en plus sophistiquées.

Voici 5 exemples marquants :

1. L’une des plus grandes augmentations des attaques Magecart a eu lieu en 2018, lorsque Ticketmaster a annoncé que des informations de paiement avaient été volées sur leurs sites web. Une recherche de RiskIQ a montré que la brèche était due à des opérateurs Magecart plaçant des skimmers sur les pages de paiement via des fournisseurs tiers. Ils ont également attaqué des tiers, ce qui a donné aux escrocs l’accès à plus de 800 sites e-commerce.
2. Les sites web de 8 villes américaines ont été compromis par un logiciel de skimming de détails de cartes Magecart. Les skimmers ciblaient les paiements effectués via Click2Gov (un portail en libre-service utilisé pour payer les factures de services publics et les frais de stationnement). Dans ce cas, les attaquants collectaient les détails des cartes de crédit ainsi que les noms et adresses de contact.
3. En février 2020, RiskIQ a découvert que le groupe Magecart 8 avait placé un skimmer JavaScript sur le site international de NutriBullet pour voler les informations de cartes de crédit. Malgré les efforts pour retirer le code de skimming, de nouvelles versions continuaient d’apparaître, compromettant le site pendant presque un mois entier.
4. Le géant aérien British Airways a été ciblé par une attaque Magecart en 2018, et les données de près de 400 000 clients ont été volées. L’attaque Magecart a affecté les paiements sur le site principal et l’application mobile entre le 21 août 2018 et le 5 septembre 2018. En conséquence, British Airways a dû payer une amende record de 183 millions de livres sterling après avoir échoué à prévenir l’attaque.
5. Magecart a également ciblé l’industrie des magazines avec une attaque sur Forbes. Cette fois, les attaquants ont injecté des scripts de web-skimming dans le site web d’abonnement au magazine imprimé de Forbes. Les clients pensaient s’inscrire pour recevoir Forbes à leur porte, mais livraient en réalité leurs informations sensibles directement entre les mains des pirates.

This is just a handful of examples that illustrate the extent and potential devastation of a Magecart attack. And with the increase in online shopping, they’re showing no signs of slowing down.

Lecture connexe : la pandémie de COVID-19 alimente une vague de cyber-attaques 

5 types d’attaques Magecart

Les membres du collectif Magecart opèrent de nombreuses manières différentes, et malheureusement, ils continuent d’ajouter de nouvelles méthodes à leur répertoire. Voici les cinq types d’attaques les plus courantes :

Skimming « Fourmi & Cafard »

C’est l’un des types d’attaques Magecart les plus répandus. Il cible généralement les URL liées à la page de paiement d’un site web et utilise la technique d’obfuscation « Radix » pour masquer le code malveillant. Le nom provient du fait que les mots « fourmi » et « cafard » étaient parsemés dans le code de skimming malveillant utilisé lors des premières attaques de ce type.

Compromission de la chaîne d’approvisionnement

Les compromissions de la chaîne d’approvisionnement sont un trait typique de Magecart. Ce type d’attaque est généralement réalisé en injectant du code de skimming en tant que code tiers sur les sites web. Souvent, les pirates utilisent le vol de credentials, les attaques RDP ou l’injection SQL pour accéder aux serveurs des tiers et y insérer le code malveillant. Ce code est conçu de manière à échapper à la détection, permettant au pirate de voler les données des clients visitant le site.

Skimming via les CDN et les IFrames

Les skimmers Magecart profitent souvent des réseaux de livraison de contenu (CDN) et des fichiers JavaScript associés pour masquer leur charge utile. Par exemple, les pirates peuvent utiliser un domaine qui ressemble étroitement à un produit légitime, puis rediriger les visiteurs vers celui-ci et y implémenter leur JavaScript malveillant.

De cette manière, les attaquants peuvent collecter des données clients, comme les informations de cartes de crédit, lors du paiement. Les skimmers sont également connus pour injecter de faux iframes PayPal sur des sites web vulnérables, détournant et compromettant ainsi le processus de paiement pour voler des informations sensibles de cartes de crédit. Un rapport de RiskIQ en 2020 a identifié un nouveau groupe Magecart qu’ils ont nommé ‘MakeFrame’ en raison de sa capacité à créer des iframes pour le skimming des données de paiement.

Masquer les scripts de skimming dans les fichiers d’images et les favicons

Ce type d’attaque de skimming est relativement nouveau et a été détecté pour la première fois sur le plug-in WordPress de WooCommerce en 2020. Les pirates utilisent les métadonnées des fichiers d’images pour cacher leur malware et voler les informations de cartes de crédit saisies par les clients en ligne. Les métadonnées d’un fichier d’image contiennent plusieurs champs d’informations, tels que la date, l’heure, la résolution, et les pirates utilisent, par exemple, le champ des droits d’auteur pour cacher leur code.

Une autre manière de cacher le malware est de l’insérer dans les sites web via des shells PHP déguisés en favicons. Les pirates font cela en remplaçant les balises de raccourci dans le code pour référencer le fichier d’image malveillant à la place. Ce shell peut alors skimmer les informations de cartes de crédit des domaines.

Attaque de plateformes e-commerce obsolètes

En 2020, plus de 2 800 sites web utilisant l’ancienne version du logiciel Magento ont été attaqués par des skimmers. Ces attaques sont connues sous le nom de Cardbleed, et ensemble, elles ont été l’une des plus grandes attaques jamais réalisées par le groupe Magecart. Les pirates se sont connectés au panneau d’administration de Magento (la version obsolète) et ont exécuté un malware. Ce malware a ensuite été supprimé, mais seulement après avoir compromis un fichier JavaScript important.

Attaque Magecart = gros dommages

Subir une attaque Magecart peut avoir des conséquences dévastatrices tant pour les marques que pour leurs clients. Les violations de données sapent la confiance, peuvent entraîner des pertes substantielles et aussi résulter en de lourdes amendes. Examinons de plus près certaines des différentes manières dont les cyberattaques peuvent nuire à votre activité :

• Dommages à votre marque : Lorsque les gens apprennent que des informations de cartes de crédit et des détails personnels ont été compromis via votre marque, ils hésitent à utiliser votre site. Et comme nous l’avons vu dans l’exemple de NutriBullet, une attaque de skimming en a suivi une autre, donc il n’est pas irrationnel que les clients soient indécis. La nature souvent récurrente des attaques Magecart fera fuir les clients de votre site dès que votre marque sera mentionnée dans la même phrase que ‘Magecart.’
• Perturbation opérationnelle : Une violation de données affectera vos opérations quotidiennes jusqu’à ce qu’une solution soit trouvée, ce qui peut entraîner des retards de livraisons, de paiements et nuire à l’expérience client.
• Perte financière : La perte de confiance des clients impactera inévitablement vos résultats. Que ce soit en raison d’une baisse de fréquentation sur votre site ou parce que vous êtes incapable de réaliser des transactions pendant qu’un incident est corrigé, les attaques Magecart peuvent causer des pertes financières conséquentes.
• Problèmes réglementaires et amendes : ce n’est pas seulement la perte de clients et de ventes qui peut vous coûter cher à la suite d’une attaque. Comme nous l’avons vu dans le cas de British Airways, les répercussions réglementaires et légales des violations de données peuvent entraîner d’énormes amendes.

Process = sécurité

La première ligne de défense contre les attaques Magecart (ou toute autre cyberattaque) est votre personnel, votre organisation et vos processus. Dans un autre article, nous avons parcouru certaines des étapes que votre entreprise doit prendre pour garder la sécurité à l’esprit afin d’atténuer les risques. L’erreur humaine cause la majorité des violations de sécurité, ce qui, côté positif, signifie qu’elles sont évitables.

Voici quelques-unes des manières dont vous pouvez renforcer votre protection pour prévenir les cyber-attaques :

• Favoriser une culture valorisant la cybersécurité. Encourager et inciter les employés à suivre de bonnes pratiques de sécurité dès leur premier jour de travail.
• Développer une documentation de gouvernance de sécurité. Une documentation claire et complète est vitale et devrait inclure à la fois des politiques de sécurité et un plan de réponse en cas de cyber-attaque.
• Investir dans la formation continue des employés. L’éducation est essentielle pour faire de la sécurité une partie intégrante de votre culture. La meilleure façon de faire suivre les politiques et pratiques aux gens est de les aider à comprendre pourquoi elles sont si importantes et quels sont les risques.
• Assurez-vous que vos logiciels, matériels et outils sont à jour. Les appareils et logiciels obsolètes sont plus vulnérables aux attaques. Et si vos employés utilisent leurs propres appareils au travail, alors assurez-vous que ceux-ci respectent les mêmes normes et suivent les mêmes politiques de sécurité.
• Tester votre personnel et vos processus. Tout comme nous avons besoin de simulations d’incendie pour être prêts pour les urgences physiques, nous devons également tester différents scénarios d’urgence dans l’environnement numérique. L’objectif devrait être d’identifier les faiblesses dans votre système de sécurité et non de pointer du doigt les employés individuels s’ils font des erreurs.

L’erreur est humaine et le seul remède est une formation et une vigilance constante. Les erreurs sont souvent commises avec de bonnes intentions et causées par un manque d’éducation, la pression du temps, des processus internes insuffisants, et des distractions quotidiennes. La plupart d’entre nous ont été dans des situations où quelqu’un partage son nom d’utilisateur avec un collègue pour accélérer les choses, et malheureusement, cela suffit parfois pour potentiellement causer un désastre.

Lecture connexe : Éducation en cybersécurité pour vos collaborateurs

Obtenez les outils pour protéger votre entreprise

Suivre les étapes ci-dessus est crucial pour vous garder, vous et vos clients, en sécurité. Mais comme nous l’avons vu, les attaques Magecart présentent un ensemble nouveau et complexe de défis.

Elles sont pratiquement impossibles à détecter, et il faut souvent des mois aux entreprises pour découvrir qu’elles ont été piratées, moment auquel leur site est déjà compromis. Et même une fois retiré, le malware n’est peut-être pas éliminé, ce qui signifie qu’il peut réintégrer votre boutique en ligne, comme l’illustre le cas de NutriBullet. Pour avoir une chance de découvrir des logiciels malveillants, une surveillance constante de votre site web est indispensable.

Une approche multi-niveaux pour sécuriser votre e-commerce

Adopter une approche multi-niveaux offrira à votre entreprise la meilleure protection possible et empêchera les attaquants de pénétrer votre site et vos systèmes. Certains des outils nécessaires à cela incluent :

• Détection des mots de passe faibles
• Pare-feu d’application web
• Système de détection d’intrusion
• Système de gestion des logs
• Réseau de distribution de contenu (CDN) pour se protéger contre les attaques par déni de service distribué
• Évaluation de l’analyse des vulnérabilités
• Tableaux de bord de sécurité
• Surveillance des violations de données (outils de prévention des pertes de données)

Chaque solution dans cette boîte à outils est importante, car une chaîne n’est jamais plus solide que son maillon le plus faible. S’associer avec des experts expérimentés en sécurité informatique est généralement la meilleure façon de garantir que tous les points sont vérifiés et que tous les travers sont barrés.

Les attaques Magecart deviennent de plus en plus sophistiquées et difficiles à découvrir. La bonne nouvelle, c’est qu’il existe des moyens de détecter les attaques et de protéger votre entreprise contre celles-ci. Chez Vaimo, nous avons +15 ans d’expérience en conception, développement et support continu d’écosystèmes e-commerce et serions ravis de vous aider à concevoir une stratégie de sécurité e-commerce solide.

Comment nous pouvons vous aider

Dans la plupart des entreprises ayant une activité e-commerce, nous constatons un manque de bande passante pour la mise en œuvre de process et l’installation de technologies efficaces pour garantir la sécurité de l’écosystème SI.

Chez Vaimo, nous pouvons vous aider à optimiser votre sécurité de sorte qu’elle réduise au maximum la probabilité qu’une cyber-attaque soit fructueuse, en particulier les attaques Magecart.

Si vous aussi, pensez qu’une sécurité e-commerce maximale est la clé pour pérenniser le succès de votre activité, alors vous devriez contacter nos experts. Suite à une analyse de votre écosystème et un benchmark concurrentiel, nous identifierons les meilleurs process et les outils les plus efficaces à mettre en place pour garantir la sûreté de votre environnement SI.

Je découvre comment prévenir les cyber-attaques