Comment empêcher les attaques Magecart de voler les données de paiement des clients

Les attaques Magecart sont des attaques sophistiquées côté client qui ciblent les entreprises en ligne pour dérober des informations sensibles sur les clients, en particulier les données de cartes bancaires. Nommé d’après la plateforme e-commerce Magento (l’une de ses premières cibles), Magecart désigne à la fois une technique d’attaque spécifique et plusieurs groupes de hackers qui utilisent des méthodes similaires pour voler des informations de paiement directement depuis les navigateurs.

Contrairement aux violations traditionnelles côté serveur, ces attaques fonctionnent en injectant du code JavaScript malveillant sur la page de paiement d’un site web. Ce code capture silencieusement les informations de carte bancaire saisies par les clients, puis transmet ces données à des serveurs contrôlés par les attaquants.

Ce qui rend ces attaques particulièrement dangereuses, c’est qu’elles se déroulent en temps réel dans le navigateur du client, sans laisser de traces évidentes sur le serveur du site web. Depuis la première attaque Magecart de grande ampleur en 2015⁽¹⁾, ces menaces sont devenues de plus en plus sophistiquées. Aujourd’hui, les attaques Magecart ont compromis plus de 2 millions de sites web dans le monde⁽²⁾.

Points clés à retenir

• Les attaques Magecart ciblent les sites e-commerce en injectant du code JavaScript malveillant pour voler les données de paiement des clients lors du passage en caisse.
• Ces attaques visent principalement les scripts côté client, ce qui les rend difficiles à détecter avec des mesures de sécurité traditionnelles comme les pare-feux applicatifs web (WAF).
• Pour protéger votre entreprise, mettez en place une surveillance côté client, gérez rigoureusement les fournisseurs tiers, mettez régulièrement à jour vos logiciels et envisagez des solutions spécialisées comme DataDome Page Protect.
• La norme PCI DSS 4.0 impose de nouvelles mesures de sécurité côté client qui rendent la protection contre Magecart non seulement recommandée, mais essentielle pour la conformité.

Comment fonctionnent les attaques Magecart ?

Comprendre le fonctionnement des attaques Magecart est essentiel pour mieux s’en défendre. Ces attaques suivent généralement un processus en trois étapes :

Les attaques Magecart se déroulent entièrement dans le navigateur de l’utilisateur

1. Infiltration

Les attaquants parviennent à injecter leur code malveillant via plusieurs points d’entrée.

• Compromission directe du site web : en exploitant des vulnérabilités dans les systèmes de gestion de contenu ou les plateformes e-commerce, les attaquants obtiennent un accès qui leur permet de modifier directement le code du site.
• Attaques de la chaîne d’approvisionnement : plutôt que de cibler directement un site web, les attaquants compromettent les services tiers utilisés par le site, tels que les outils d’analyse, les widgets de chat ou les processeurs de paiement. Lorsque le site charge des ressources depuis ces fournisseurs compromis, le code malveillant est chargé en même temps que le code légitime.
• Stockage mal configuré : certaines attaques ciblent des systèmes de stockage cloud mal configurés, comme les buckets Amazon S3 contenant des ressources du site web, qui permettent alors aux attaquants de modifier les fichiers JavaScript qui y sont stockés.

2. Implantation

Une fois l’accès obtenu, les attaquants implantent un code de skimming en utilisant différentes techniques :

• injection de JavaScript : ils insèrent un JavaScript malveillant qui fonctionne en parallèle du code légitime de traitement des paiements. Ce code capture les données des champs de formulaire au moment où les clients les saisissent ;
• clonage des champs de formulaire : certaines attaques créent des champs de formulaire invisibles en double qui enregistrent les informations saisies par le client ;
• faux formulaires de paiement : les attaques plus sophistiquées remplacent entièrement les formulaires de paiement légitimes par des versions frauduleuses mais visuellement identiques ;
• obfuscation du code : pour éviter la détection, le code malveillant est souvent fortement déguisé à l’aide de techniques comme l’encodage Base64 ou en fragmentant le code en segments apparemment aléatoires.

3. Exfiltration des données

Une fois les informations de carte bancaire collectées par le skimmer, elles sont transmises aux serveurs contrôlés par les attaquants via différentes méthodes :

• transmission directe : les données sont envoyées directement vers des domaines contrôlés par les attaquants, souvent déguisés pour ressembler à des services légitimes (par exemple, google-analytics.net au lieu de google-analytics.com) ;
• exfiltration furtive : certains skimmers stockent les données collectées dans le navigateur et les transmettent par petits lots ou lorsque l’utilisateur quitte la page, ce qui rend la transmission plus difficile à détecter.

Les attaques Magecart sont particulièrement efficaces car tout le processus se déroule côté client. En d’autres termes, il se produit directement dans le navigateur de l’utilisateur. Les mesures de sécurité traditionnelles côté serveur sont souvent aveugles à ces attaques, car elles n’interceptent ni n’analysent le code exécuté dans le navigateur de l’utilisateur. La transaction semble normale à la fois pour le client et pour l’entreprise.

Pourquoi les attaques Magecart sont-elles si efficaces ?

Plusieurs facteurs expliquent le succès et la menace persistante des attaques Magecart :

Difficiles à détecter

Contrairement aux attaques côté serveur qui peuvent déclencher des alertes de sécurité ou laisser des traces dans les logs, les attaques Magecart se déroulent directement dans le navigateur de l’utilisateur. Cette exécution côté client signifie que les outils de sécurité traditionnels, comme les pare-feux applicatifs web (WAF) et les systèmes de détection d’intrusion, passent souvent complètement à côté de ces attaques.

Exploitation de scripts tiers

Les sites web modernes s’appuient fortement sur des services tiers pour l’analyse, les chatbots, le traitement des paiements et d’autres fonctionnalités. Chaque script tiers représente un point d’entrée potentiel pour les attaquants. Selon HTTP Archive, un site web moyen utilise 23 scripts tiers sur ordinateur⁽³⁾, ce qui élargit considérablement la surface d’attaque.

Techniques d’obfuscation sophistiquées

Les opérateurs Magecart utilisent des techniques avancées pour dissimuler leur code malveillant, notamment :

• encodage en Base64 pour masquer le contenu du code,
• fragmentation du code en segments apparemment aléatoires,
• imitation de services légitimes dans les noms de domaine et la structure du code,
• utilisation de code polymorphe qui change régulièrement de signature.

Mécanismes de réinfection persistants

Les sites web précédemment infectés par Magecart sont souvent réinfectés en quelques jours. Cela s’explique par le fait que les attaquants :

• créent plusieurs portes dérobées et comptes administrateurs malveillants ;
• implémentent des tâches périodiques cachées et des déclencheurs dans la base de données pour réinstaller le skimmer ;
• exploitent des vulnérabilités zero-day qui ne disposent pas encore de correctifs de sécurité.

Évolution des méthodes d’attaque

Les techniques Magecart ne cessent d’évoluer, et les attaques récentes montrent un niveau de sophistication accru : la technique « Ant & Cockroach » cible les URL liées aux pages de paiement plutôt que les pages elles-mêmes. L’obfuscation « Radix » rend le code malveillant presque impossible à détecter lors d’une analyse manuelle. D’autres méthodes d’attaque impliquent l’usurpation de services légitimes comme Google Tag Manager pour éviter d’éveiller les soupçons.

Impact des attaques Magecart sur les entreprises

Les conséquences d’une attaque Magecart vont bien au-delà du simple vol de données clients.

Pertes financières

Les entreprises subissent plusieurs impacts financiers, notamment :

• les coûts d’enquête et de remédiation des fraudes,
• les amendes réglementaires (comme les sanctions RGPD pouvant atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial),
• les pénalités pour non-conformité à la norme PCI DSS et le risque de perdre la capacité de traiter les paiements par carte bancaire,
• les frais juridiques liés aux actions en justice des clients.

Perturbation des opérations

Réagir à une attaque Magecart mobilise d’importantes ressources :

• déploiement en urgence des équipes IT pour identifier et éliminer l’infection,
• interruption temporaire des sites web pendant la remédiation,
• mise en place de nouvelles mesures de sécurité tout en maintenant les opérations commerciales,
• gestion de la communication avec les clients affectés.

Atteinte à la réputation

L’impact le plus significatif à long terme est sans doute la perte de confiance des clients. Les entreprises de e-commerce victimes d’une attaque Magecart constatent généralement une baisse importante de leurs ventes en ligne dans les mois suivant l’incident, les consommateurs étant plus réticents à effectuer des achats sur un site compromis.

Conséquences réglementaires

Avec l’entrée en vigueur de réglementations plus strictes en matière de protection des données, les entreprises sont soumises à une surveillance accrue et risquent des poursuites après une violation. Par exemple, l’incident Magecart chez British Airways a entraîné une amende de 20 millions de livres sterling en vertu du RGPD.

Attaques Magecart notables

Plusieurs incidents Magecart très médiatisés ont fait la une des journaux, prouvant que même les grandes entreprises disposant de ressources de sécurité conséquentes peuvent être vulnérables.

British Airways (2018)

L’une des attaques Magecart les plus célèbres a visé British Airways, affectant environ 380 000 clients⁽⁴⁾. Les attaquants ont personnalisé leur code de skimming pour s’adapter spécifiquement à la structure du site web de British Airways et ont réussi à modifier à la fois l’application web et mobile. La faille n’a pas été détectée pendant plusieurs semaines, au cours desquelles les données de paiement et les informations personnelles des clients ont été continuellement dérobées. L’attaque a entraîné une amende de 20 millions de livres sterling en vertu du RGPD et un important préjudice à la réputation de la compagnie.

Ticketmaster (2018)

Ticketmaster a été victime d’une attaque Magecart via un service tiers de chatbot compromis, fourni par Inbenta Technologies⁽⁵⁾. Les hackers ont injecté du code de skimming dans le script du chatbot, qui était chargé sur les pages de paiement. La violation a touché plus de 800 sites de e-commerce qui utilisaient le même service, et est restée active pendant près de neuf mois avant d’être découverte.

Tupperware (2020)

Le vendeur de produits pour la maison Tupperware a été compromis lorsque des attaquants ont inséré un faux iframe de paiement, visuellement identique au formulaire légitime⁽⁶⁾. L’attaque a duré plusieurs jours et a été découverte le 20 mars 2020. L’iframe malveillant était chargé depuis un domaine conçu pour ressembler à une partie légitime de l’infrastructure de Tupperware.

Cisco (2024)

Le site marchand de Cisco a été ciblé par une attaque Magecart, qui a injecté du code JavaScript malveillant afin de voler des informations sensibles des clients lors du processus de paiement⁽⁷⁾. L’attaque était liée à une vulnérabilité critique dans le logiciel Magento d’Adobe, connue sous le nom de CosmicSting (CVE-2024-34102). La vulnérabilité avait été corrigée quelques mois plus tôt, mais Cisco n’avait pas encore mis à jour son logiciel.

Ces exemples montrent que les attaques Magecart peuvent toucher des entreprises de toutes tailles et rester indétectées pendant longtemps. Ils illustrent également la diversité des techniques utilisées par les attaquants pour compromettre les sites web et les lourdes conséquences pour les entreprises concernées.

Comment protéger votre entreprise contre les attaques Magecart ?

Se défendre contre Magecart nécessite une approche multicouche qui combine prévention et détection.

Comprendre et gérer les risques liés aux tiers

Commencez par établir un inventaire complet de tous les scripts tiers exécutés sur votre site web, en particulier sur les pages de paiement. Pour chaque script :

• documentez son objectif et les données auxquelles il peut accéder ;
• vérifiez les pratiques de sécurité du fournisseur et demandez des audits réguliers du code ;
• évaluez s’il serait possible d’internaliser certaines fonctionnalités critiques ;
• mettez en place un processus de validation formel avant d’ajouter de nouveaux scripts tiers.

Dans la mesure du possible, chargez les scripts tiers depuis vos propres serveurs plutôt que directement depuis les domaines des fournisseurs tiers. Cela vous permet de mieux contrôler le code et d’implémenter des vérifications d’intégrité.

Mettre en place une surveillance côté client

Étant donné que les attaques Magecart se déroulent dans le navigateur, une surveillance côté client est essentielle :

• déployez des solutions capables de détecter en temps réel les comportements de scripts non autorisés ;
• surveillez les modifications du Document Object Model (DOM) sur les pages sensibles ;
• configurez des alertes pour toute transmission de données suspecte, en particulier sur les pages de paiement ;
• analysez régulièrement votre site web depuis différentes zones géographiques pour détecter des attaques ciblées par région.

Utiliser des Content Security Policies (CSP)

Les Content Security Policies aident à restreindre quels scripts peuvent s’exécuter sur votre site web.

• Définissez les domaines autorisés à charger du JavaScript sur vos pages
• Implémentez la Subresource Integrity (SRI) pour garantir que les scripts n’ont pas été modifiés
• Mettez en place un système de reporting pour être informé des violations de politique
• Examinez et mettez à jour régulièrement vos politiques à mesure que votre site évolue

Maintenir les logiciels à jour

Garder vos logiciels à jour est une pratique de sécurité essentielle.

• Appliquez rapidement les correctifs de sécurité à toutes vos applications web et plugins
• Mettez régulièrement à jour vos systèmes de gestion de contenu et plateformes e-commerce
• Surveillez les annonces de sécurité des fournisseurs et services tiers
• Envisagez d’automatiser les mises à jour de sécurité lorsque cela est possible

Mettre en place une protection spécialisée contre Magecart

Utilisez des solutions spécialement conçues pour contrer les menaces Magecart. DataDome Page Protect offre une protection complète contre les attaques côté client, notamment :

• la surveillance en temps réel du comportement des scripts JavaScript,
• la détection des modifications de code non autorisées,
• des alertes immédiates en cas d’activités suspectes,
• la conformité aux exigences de la norme PCI DSS 4.0 en matière de sécurité côté client.

DataDome Page Protect résout automatiquement les incidents de sécurité

Norme PCI DSS 4.0 et protection contre Magecart

La version 4.0 du Payment Card Industry Data Security Standard (PCI DSS) a introduit de nouvelles exigences majeures spécifiquement conçues pour prévenir les attaques de type Magecart. D’ici fin mars 2025, les organisations traitant des données de cartes bancaires doivent se conformer aux obligations suivantes :

Exigence 6.4.3

Cette exigence impose aux entreprises de gérer et de contrôler les scripts présents sur les pages de paiement susceptibles d’avoir un impact sur la sécurité, en particulier ceux qui transmettent des données de paiement. Les organisations doivent maintenir un inventaire de ces scripts et garantir leur intégrité.

Exigence 11.6.1

Cette exigence impose la mise en place d’un mécanisme de détection des modifications et des altérations afin d’alerter les équipes en cas de modification non autorisée des scripts des pages de paiement. Cela répond directement aux attaques Magecart en rendant obligatoire la surveillance active du code côté client.

Ces nouvelles exigences reconnaissent la menace croissante des attaques côté client et font de la protection contre Magecart non plus seulement une bonne pratique, mais une nécessité pour la conformité. Les solutions comme DataDome Page Protect sont spécialement conçues pour aider les entreprises à répondre à ces exigences tout en offrant une protection robuste contre les menaces en constante évolution.

Conclusion

Magecart est une menace majeure pour les entreprises en ligne, qui ne cesse d’évoluer. En opérant directement dans le navigateur de l’utilisateur plutôt qu’en attaquant l’infrastructure serveur, ces attaques contournent de nombreuses mesures de sécurité traditionnelles et peuvent rester indétectées pendant des mois pendant qu’elles récoltent des données sensibles sur les clients.

Protéger votre entreprise nécessite une approche multicouche qui comprend la gestion des risques liés aux tiers, la mise en place d’une surveillance côté client, la création de Content Security Policies, la mise à jour des logiciels et l’utilisation de solutions spécialisées contre Magecart.

DataDome Page Protect est une solution complète spécialement conçue pour contrer les attaques Magecart et autres menaces côté client. Elle fournit une surveillance en temps réel de toutes les activités des scripts sur vos pages de paiement et détecte automatiquement les modifications de code non autorisées ainsi que les comportements suspects.

En mettant en place DataDome Page Protect dès aujourd’hui, vous protégez non seulement les informations sensibles de vos clients, mais aussi la réputation et la santé financière de votre entreprise dans un environnement numérique de plus en plus réglementé. Visitez datadome.co/fr/produits/page-protect pour demander une démo de la solution et renforcer la sécurité de votre entreprise.

Références

1. https://thehackernews.com/2015/06/magento-hacking.html
2. https://www.darkreading.com/endpoint-security/magecart-skimmers-spotted-on-2m-websites
3. https://almanac.httparchive.org/en/2021/third-parties#third-party
4. https://en.wikipedia.org/wiki/British_Airways_data_breach
5. https://www.bbc.co.uk/news/technology-54931873
6. https://www.computerweekly.com/news/252480661/Tupperware-fixes-hacked-site-but-questions-remain-over-response
7. https://www.theregister.com/2024/09/06/cisco_merch_adobe_magento_attack/