Fraude à la carte bancaire : des sites d'e-commerce français piratés

Le 1er janvier, deux spécialistes en sécurité informatique ont détecté une attaque d’ampleur visant à dérober des données de cartes bancaires. Les pirates se sont servis des encarts publicitaires gérés par une régie française. 277 sites d’e-commerce auraient ainsi été exposés.

Vous connaissiez le fishing, aussi appelé hameçonnage, qui consiste à vous amener sur un faux site pour subtiliser vos données personnelles et notamment bancaires. Vous allez maintenant devoir vous familiariser avec le magecart. Il s’agit d’une technique récente et très discrète de piratage informatique destinée à dérober vos numéros de cartes bancaires. Ce qui est problématique pour les internautes, c’est qu’ils n’ont aucun moyen de s’en prémunir…

Les techniques habituelles pour détecter une fraude ne fonctionnent en effet pas. Ni s’assurer que le site est protégé en vérifiant que son URL commence par « https », ni vérifier la présence du cadenas dans la barre de navigation ne sont utiles en cas de magecart. En effet, les pirates agissent par voie détournée.

C’est ce qu’il s’est passé dans la nuit de la Saint-Sylvestre. Deux entreprises de sécurité informatique, Trend Micro et RiskIQ, ont repéré une attaque de ce type ciblant une régie publicitaire française. Dans un article rédigé sur son blog et relayé le 21 janvier par Le Monde, Trend Micro en explique les ressorts.

Les publicités d’Adverline comme outil de propagation

« Le 1er janvier, nous avons détecté une augmentation significative de l’activité de groupes de hackers que nous suivions », écrit la société informatique basée à Tokyo. « Nous avons trouvé leur code malveillant […] logé sur 277 sites d’e-commerce ». Trend Micro ne communique pas le nom des sites concernés. L’entreprise précise toutefois qu’il s’agit de billetteries en ligne, de sites pour réserver des vols ou encore des sites de vente de cosmétiques ou de vêtements. Surprise, le logiciel malveillant n’était pas injecté directement sur ces sites d’e-commerce mais dans les publicités affichées à l’écran et gérées par Adverline, une société française de publicité en ligne.

Selon Le Monde, qui cite des données fournies par Trend Micro, le nombre de victimes pourrait être important : « Le code malveillant a été affiché et bloqué par les outils de Trend Micro plus de 11 000 fois en France sur les six premiers jours de 2019 », écrit le média. Interrogée par Le Monde, Adverline minimise toutefois l’ampleur de l’attaque. 8 sites d’e-commerce auraient été finalement victimes d'une intrusion de la part des pirates et seuls 114 numéros de carte bancaire auraient été piratés.