E-commerce : une vague d’attaques dévoilée
Un nouveau cas de fraude de grande envergure a été relevé ce mois-ci, portant atteinte à non moins de 5 925 sites de vente en ligne, dont ceux de grandes marques. Une nouvelle raison de rappeler les enjeux de la sécurisation et les Bonnes Pratiques lorsqu’il s’agit de stocker et traiter des données sensibles.
Ce(s) cas d’infection aurait permis aux fraudeurs de dérober les données carte d’un grand nombre de clients finaux (les chiffres exacts restent encore à définir). Plusieurs groupes criminels pourraient être impliqués.
Le code incriminé aurait exploité une faille logicielle non corrigée sur l’ensemble des sites concernés et installé un outil d’écoute de trafic pour récupération de données. Divers domaines seraient affectés : automobile, mode, sites gouvernementaux, musées, etc.
Le chercheur néerlandais qui a porté cette affaire à l’attention du grand public, Willem De Groot, explique s’être penché sur près de 25 000 sites depuis près d’un an. L’infection pourrait avoir débuté en mai 2015. Les données collectées par les criminels risquent selon lui d’être revendues au marché noir pour environ 30 dollars par carte.
Notre analyse : Maintenance continue, une priorité pour tous les sites d’e-commerce
Cette affaire vient souligner l’importance d’un certain nombre de mesures de base, dont l’application des correctifs de sécurité sur ces environnements sensibles. Ce cas, pourrait porter atteinte à l’image des marques concernées, dont de grands noms (parmi lesquels Audi, Converse, Heels.com, Bjork, etc.). Selon les indications du chercheur, au 17 octobre 2016, les mises à jour nécessaires avaient déjà été apportées par 841 sites affectés. Côté porteurs, la vigilance reste de mise et un suivi particulier des historiques de transactions s’impose.
Cette attaque coïncide aussi avec l’annonce faite par le distributeur Vera Bradley d’un possible cas de compromission ayant affecté ses enseignes entre juillet et septembre. Les fraudeurs auraient ainsi eu accès à son système de traitement des paiements pour dérober des numéros de cartes, dates d’expiration, noms des porteurs, etc.