Récemment, British Airways a été frappée d’une amende de 230 millions de dollars après que des attaquants aient volé des données à des centaines de milliers de ses clients dans une violation massive. L’amende, à la suite d’une poursuite en vertu du RGPD, a été infligée à la suite d’une attaque de Magecart en 2018. Les attaquants ont pu insérer environ 22 lignes de code dans le site Web de la compagnie aérienne, ce qui leur a permis de saisir les numéros de carte de crédit des clients et d’autres informations sensibles.
Les attaques de Magecart sont largement passées inaperçues dans le monde de la sécurité ces dernières années, malgré le fait que la majorité se produisent dans des entreprises de commerce électronique ou d’autres entreprises similaires qui collectent des informations de carte de crédit auprès des clients. Magecart a également été responsable de dommages importants, de vols et de fraudes dans diverses industries. Selon un rapport de 2018 réalisé par RiskiQ et Flashpoint, au moins 6 400 sites Web avaient été touchés par Magecart en novembre 2018.
A lire en complément : Comment gérer les redirections SEO ?
Pour vous protéger contre Magecart et protéger votre organisation contre les menaces Web, il y a quelques choses que vous devriez faire :
Comprendre comment les attaques Magecart se produisent
Il y a deux approches que les pirates adoptent lorsqu’il s’agit d’attaques Magecart ; la première se concentre sur l’attaque du site Web principal ou de l’application, tandis que la seconde se concentre sur l’exploitation de balises tierces. Dans les deux cas, l’intention est d’insérer du JavaScript malveillant qui peut ensuite écrémer des données à partir de formulaires HTML et envoyer ces données aux serveurs contrôlés par les attaquants.
A lire aussi : Boycott des réseaux sociaux par marques
Les utilisateurs saisissent généralement des données personnelles — qu’il s’agisse de l’authentification, de la recherche d’informations ou de l’extraction avec une carte de crédit — dans un site Web via un code HTML
forme. Les attaques Magecart utilisent JavaScript pour surveiller ce type de données sensibles lorsque
il est entré dans des champs de formulaire spécifiques, tels qu’un mot de passe, un numéro de sécurité sociale ou un numéro de carte de crédit. Ils en font ensuite une copie et l’envoient à un autre serveur sur Internet.
Dans l’attaque British Airways, par exemple, les pirates inséré dans le sous-domaine de la réclamation des bagages de la compagnie aérienne, qui semble avoir été moins sécurisé que le site Web principal. Ce code a été référencé sur le site Web principal, qui, lorsqu’il est exécuté dans les navigateurs des clients de la compagnie aérienne, pourrait écrémer des données de carte de crédit et d’autres renseignements personnels.
Préparez-vous à la confusion qui entoure les attaques
Les attaques Magecart sont très difficiles à identifier pour les équipes Web car elles n’ont pas lieu sur l’infrastructure backend du fournisseur, mais plutôt dans le navigateur du visiteur. Cela signifie que les données sont transférées directement du navigateur vers des serveurs malveillants, sans aucune interaction avec le serveur du site web principal — l’origine — n’a besoin d’avoir lieu.
En conséquence, l’audit régulier de l’infrastructure backend et du code supportant le site Web sur une base régulière n’arrêtera pas les attaques, car le problème se produit dans le navigateur de l’utilisateur que l’audit traditionnel ne détectera pas.
Cela signifie que les attaques Magecart ne peuvent être découvertes que lorsque l’entreprise est avertie d’une fraude par carte de crédit ou d’une révision du code côté client incluant tous les services tiers a lieu. Pour cette raison, il existe encore de nombreux sites en ligne aujourd’hui qui contiennent Magecart JavaScript malveillant dans leurs pages qui fuient des informations sensibles.
Restreindre l’accès aux données sensibles
Votre équipe peut faire un certain nombre de choses pour empêcher les attaques de Magecart de menacer les visiteurs de votre site Web.
Tout d’abord, il est avantageux que votre équipe limite le code tiers sur les pages sensibles . Les utilisateurs ont tendance à ajouter des balises tierces sur l’ensemble de leurs sites Web, mais considérez si vous avez vraiment besoin de ce type de fonctionnalité sur les pages haute sécurité (comme vos pages de paiement ou de connexion). La suppression des balises tierces non essentielles telles que les widgets de chat et les sondages de site des pages sensibles limite votre exposition au code potentiellement malveillant.
Ensuite, vous devriez envisager d’implémenter des stratégies de sécurité de contenu (CSP). Les équipes Web peuvent élaborer des politiques qui dictent les peuvent exécuter du code et envoyer des données sur des pages sensibles. Bien que cette approche nécessite une maintenance continue, c’est un moyen d’empêcher les pirates malveillants d’accéder aux informations sensibles des visiteurs.
Une autre approche consiste à adopter une stratégie de confiance zéro . Les équipes Web peuvent consulter un service de sécurité tiers qui permet de créer une stratégie qui, par défaut, bloque l’accès aux données sensibles saisies dans des formulaires Web ou stockées dans des cookies. Ensuite, l’équipe devrait restreindre l’accès à ces données à tout le monde, sauf pour un ensemble sélectionné de scripts approuvés. Avec ces politiques dans
, si le code d’écrémage malveillant le rend sur votre site, il ne sera pas en mesure d’accéder à des informations sensibles, et les alertes vous avertiront quand le code d’un fournisseur a été exploité.
Magecart n’a pas besoin de détruire votre marque. Les attaques de skimming Web peuvent être difficiles à détecter car elles n’attaquent pas l’infrastructure applicative principale — elles se concentrent sur le navigateur où les protections ne sont pas dans lieu. Ainsi, de nombreuses marques sont confuses quant à la façon de protéger leurs clients. Cependant, la mise en œuvre d’une approche de confiance zéro, la réflexion critique sur le nombre de balises tierces dont votre site Web a vraiment besoin et la limitation des personnes capables d’exécuter du code vous aideront à protéger vos données clients.
Auteur bio
Peter est vice-président de la technologie chez Instart. Auparavant, Peter était chez Citrix, où il était directeur principal de la gestion des produits et du marketing pour le produit XenClient. Auparavant, il a occupé divers postes de prévente, de développement Web et d’administrateur informatique, dont cinq ans chez Marimba, où il a travaillé avec des systèmes de gestion du changement d’entreprise. Peter est titulaire d’un baccalauréat en sciences politiques et d’une mineure en informatique de l’UCSD.
Lire Suivant
British Airways est confrontée à une amende record de 183 millions de livres sterling par l’ICO pour violation de données client.
Un contournement universel astuces Cylance AI antivirus en acceptant tous les Top 10 Malware.
Un ver IoT Silex, développé par un enfant de 14 ans a entraîné une attaque de logiciels malveillants et a enlevé 2000appareils