La semaine dernière, un chercheur néerlandais a rapporté que près de 6000 boutiques en ligne, dont la plupart ont été développées avec le système de gestion de contenu Magento, sont infectées par un code malveillant capable d’intercepter et de voler les données des cartes de paiement utilisées par les clients pour effectuer leurs transactions en ligne. Jusqu’au début du mois, la boutique en ligne du Comité sénatorial national républicain américain (National Republican Senatorial Committee - NRSC) faisait partie de la liste de ces sites. Sa recherche a également montré que, très souvent, ces infiltrations passent inaperçues et peuvent perdurer pendant plusieurs mois. Une des raisons de leur persistance est à mettre au compte de la mauvaise compréhension du problème par les webmasters eux-mêmes qui pensent que, si leurs sites utilisent le HTTPS ou si le paiement est géré par un processeur de tierce partie, alors les données du client sont en sécurité. L’autre raison est que les pirates ont recours à des méthodes de plus en plus sophistiquées pour masquer leur trace.
Récemment, les chercheurs de l’entreprise de sécurité Sucuri ont enquêté sur la technique utilisée sur une boutique en ligne sur laquelle les scans automatisés n’avaient pas permis de détecter l’infection. En y regardant de plus près, les chercheurs ont remarqué que l'un des fichiers du site appelé Cc.php avait été modifié. Après analyse, les chercheurs ont constaté que ce fichier contenait un code malveillant conçu pour voler les données de cartes de paiement et que ces données étaient ensuite stockées dans un fichier image. Cette technique de masquage des données dans des fichiers affichant des extensions, en principe, au-dessus de tout soupçon, dans ce cas, des fichiers d'image, n’est pas nouvelle et sert justement à éviter au code d’être repéré. En général, ces fichiers qui se font passer pour des fichiers images, n’ont pas de fonction. Mais ce n'était pas le cas dans l’astuce utilisée par les pirates sur le site Magento. En effet, comme ont pu le constater les chercheurs de Sucuri, c’est l’image des produits vendus en ligne qui servait à stocker les détails de paiement des cartes volées.
Une attaque difficile à détecter
Les données volées ont été ajoutées au bout du code, après les données de l'image originale, si bien que celle-ci était intacte et normalement visible dans le navigateur. Cette méthode de dissimulation des informations, connue sous le nom de stéganographie, est encore plus difficile à détecter que d'autres solutions de masquage des données. « Pour obtenir les numéros volés, le pirate n’a même pas besoin de conserver un accès au site », a expliqué dans un blog le chercheur de Sucuri, Ben Martin. « L'image étant accessible au public, l'attaquant doit simplement la télécharger comme pourrait le faire n’importe quel visiteur et afficher son code source ». Sucuri a repéré la même technique d’infection sur d'autres sites, dont la plupart sont hébergés aux États-Unis, mais également dans des pays comme le Japon, la Turquie et l'Arabie Saoudite. Cela signifie que ces attaques ne sont pas concentrées sur un seul pays ou une région particulière. Les entreprises qui gèrent leurs propres boutiques en ligne devraient surveiller l'intégrité de leurs sites Web et s’inquiéter de toute modification suspecte des fichiers existants. Contrairement à d'autres piratages de sites Web, ces attaques ne génèrent pas d'erreurs ou de messages. Tout se passe à l’insu des utilisateurs et ils ne peuvent signaler aucune anomalie au propriétaire du site.