British Airways et Ticketmaster même cybercombat ? D'après les chercheurs en sécurité de Riskiq, le groupe de cyberpirates Magecart serait derrière les deux plus grosses compromissions de sécurité de l'été, à savoir celle en juin de Ticketmaster et tout dernièrement de la compagnie aérienne anglaise British Airways qui a débouché sur le vol de 380 000 données bancaires. 

« Magecart injecte des scripts, conçus pour voler des données sensibles que les consommateurs saisissent dans des formulaires de paiement en ligne, sur des sites de commerce électronique directement ou par l'intermédiaire de fournisseurs tiers compromis utilisés par ces sites. Récemment, des agents de Magecart ont placé l'un de ces skimmers numériques sur les sites web de Ticketmaster en compromettant une fonctionnalité tierce, ce qui a entraîné une violation importante des données des clients de Ticketmaster. D'après une preuve récente, Magecart s'est aussi attaqué à British Airways, la plus grande compagnie aérienne du Royaume-Uni », indique Riskiq dans un billet.

Un script modifié basé sur la librairie Modernizr JavaScript v2.6.2 

Riskiq a par ailleurs décortiqué la cyberattaque British Airways et identifié les scripts du site web de la compagnie aérienne. Il a examiné leur apparence dans le temps, ce qui a permis de découvrir une version modifiée d'un script utilisant la librairie Modernizr JavaScript v2.6.2 et chargé depuis la page d'information relative aux plaintes liées aux bagages. « Nous avons trouvé plus de preuves dans les en-têtes de serveur envoyés par le serveur British Airways. Les serveurs envoient un en-tête «Last-Modified» qui indique la dernière fois qu'un élément de contenu statique a été modifié », indique Riskiq. « Nous pouvons voir sur la version modifiée et malveillante de Modernizr que l’horodatage correspond étroitement à l’horodatage donné par British Airways au début de la phase de piratage ».

En tout, seulement 22 scripts ont permis de compromettre 380 000 données bancaires de British Airways. Leur mode de fonctionnement s'avère aussi simple qu'efficace d'après Riskiq. « Une fois que chaque élément de la page aura été chargé, le script est en mesure de lier les événements de mouseup et touchend sur un bouton appelé submitButton avec le code de rappel suivant : sérialiser les données sous une forme avec id paymentForm dans un dictionnaire, sérialiser un élément de la page avec id personPaying dans le même dictionnaire que les informations paymentForm, créer une chaîne de texte à partir de ces données sérialisées et envoyer les données sous la forme de JSON à un serveur hébergé sur baways.com ». Une fois qu'un utilisateur a cliqué sur le bouton pour envoyer son paiement sur le site compromis de British Airways, les informations du formulaire de paiement sont ainsi extraites avec leur nom et envoyées au serveur de l'attaquant.