Un groupe de pirates informatiques a ciblé, au tout début de janvier, un certain nombre de sites d’e-commerce français afin de dérober en toute discrétion des numéros de cartes bancaires.
Plutôt que de les pirater directement, ce groupe est parvenu à infecter Adverline, une régie publicitaire française chargée de placer des publicités sur des sites Internet, notamment d’e-commerce, grâce à un logiciel conçu pour dérober des numéros de cartes bancaires.
Pour l’internaute, la manipulation est invisible : ils est bel et bien sur un véritable site d’e-commerce, protégé par une connexion sécurisée mais, caché dans la publicité qui s’affiche le cas échéant sur la page, un groupe de pirates les observe entrer leur numéro de cartes bancaires et le récupère.
La nuit du réveillon
Les pirates ont profité de la nuit de la Saint-Sylvestre, à 1 heure du matin, pour pénétrer dans les systèmes d’Adverline. Les équipes de l’entreprise les repèrent, mais ne parviennent à nettoyer leur réseau que le 4 janvier. Entre-temps, le code malveillant développé par les pirates a été affiché à de nombreuses reprises.
Il est difficile d’évaluer précisément les dégâts à ce stade, mais ils sont impressionnants. Les chiffres publiés par les entreprises spécialisées ne permettent pas de connaître avec précision le nombre de victimes.
Selon Trend Micro, 277 sites d’e-commerce étaient concernés : sans donner leurs noms, l’entreprise explique qu’il s’agissait notamment de sites de ventes de billets d’avion, de cosmétique ou de vêtements. Le code malveillant a été affiché et bloqué par les outils de Trend Micro plus de 11.000 fois en France sur les six premiers jours de 2019, selon les chiffres fournis par l’entreprise.
Des chiffres démentis par la régie publicitaire Adverline selon laquelle huit sites seulement ont subi l’intrusion des pirates informatiques, qui n’auraient réussi à dérober « que » 114 numéros de cartes bancaires.
Une technique de plus en plus courante
Cette technique d’aspiration des données bancaires est de plus en plus courante. Connue par les experts sous le nom de « Magecart », elle est employée par plusieurs groupes aux méthodes et aux outils légèrement différents.
Certains chercheurs estiment que plus de six mille sites ont fait les frais de cette technique depuis 2014, date de son apparition. C’est ainsi que plusieurs dizaines de milliers de cartes bancaires ont été dérobées par le biais de l’application de la compagnie aérienne British Airways.
La découverte de cette opération visant non pas directement un site où sont saisies des données bancaires mais une régie publicitaire, dont les encarts pullulent sur tous les sites Internet, inquiète de nombreux experts. « Cela va donner des idées à d’autres. (…) Il est vraisemblable qu’on retrouve des régies pub ailleurs ciblées et piratées de la même façon », craint Loic Guézo, de Trend Micro. D’autant plus que ce mode d’attaque « de chaîne d’approvisionnement » peut-être utilisé pour de nombreuses autres activités criminelles.