Qu’est-ce que le formjacking et comment protéger votre entreprise ?

Le formjacking est une cyberattaque sophistiquée dans laquelle des hackers injectent du code JavaScript malveillant dans les formulaires d’un site web afin de voler des informations sensibles saisies par les utilisateurs. Contrairement aux violations de données traditionnelles qui ciblent les serveurs, le formjacking opère entièrement côté client, capturant les données en temps réel au moment où les utilisateurs les saisissent dans les formulaires. Cela rend ces attaques particulièrement dangereuses, car elles ne laissent aucune trace sur le serveur et peuvent passer inaperçues pendant longtemps.

Le formjacking représente une menace importante pour les entreprises de tous les secteurs, en particulier celles qui traitent des paiements en ligne. Comprendre comment ces attaques fonctionnent et mettre en œuvre les bonnes mesures de protection est essentiel pour sécuriser les données des clients et rester en conformité avec des réglementations comme les exigences PCI DSS 6.4.3 et 11.6.1.

Points clés à retenir

• Les attaques de formjacking volent des données sensibles directement depuis les formulaires web au moment où les utilisateurs les saisissent, tout en paraissant parfaitement normales pour les utilisateurs comme pour les entreprises.
• Ces attaques côté client contournent les mesures de sécurité traditionnelles comme les web application firewalls (WAF) et la surveillance côté serveur.
• Mettre en place une surveillance de sécurité côté client, gérer les scripts tiers et utiliser des outils de protection spécialisés est essentiel pour prévenir ces attaques.
• La nouvelle norme PCI DSS 4.0 exige des mesures de sécurité côté client, ce qui fait de la protection contre le formjacking une obligation de conformité.

Comment fonctionnent les attaques de formjacking ?

Les attaques de formjacking suivent un processus systématique qui permet aux hackers d’infiltrer des sites web et de voler les données des utilisateurs sans être détectés. Comprendre ce processus est essentiel pour mettre en place des défenses efficaces.

1. Exploiter des vulnérabilités

Les attaquants identifient et exploitent d’abord des vulnérabilités pour accéder au code du site web. Ces points d’entrée incluent généralement :

• des failles dans le système de gestion de contenu (CMS) ;
• des plugins ou thèmes obsolètes ;
• des plateformes e-commerce vulnérables ;
• des scripts et bibliothèques tiers compromis ;
• des configurations serveur faibles ;
• des identifiants administrateur compromis.

Le vecteur d’attaque le plus courant passe par les scripts tiers. Les sites web modernes s’appuient sur de nombreuses ressources externes pour des fonctions telles que l’analyse de trafic, les outils marketing, le traitement des paiements ou les services client. Chacune de ces ressources représente une porte d’entrée potentielle pour les attaquants.

2. Injecter du code malveillant

Une fois l’accès obtenu, les hackers injectent du code JavaScript malveillant dans le site web. Ce code cible les champs de formulaire où les utilisateurs saisissent des informations sensibles. L’attaque peut être réalisée de plusieurs manières :

• insertion directe du code malveillant dans les fichiers du site ;
• ajout d’une référence à un script distant chargé depuis un serveur contrôlé par l’attaquant ;
• modification de scripts tiers légitimes pour y inclure des fonctionnalités malveillantes ;
• utilisation d’attaques de typosquatting ou d’homoglyphes pour créer des domaines qui semblent légitimes.

Le code est généralement conçu pour capturer les données des formulaires juste avant leur soumission, ce qui lui permet de collecter l’ensemble des informations : numéros de carte bancaire, dates d’expiration, codes CVV et données personnelles.

3. Obfusquer le code

Pour éviter toute détection, les attaquants utilisent différentes techniques d’obfuscation afin de dissimuler leur code malveillant :

• manipulation de chaînes et encodage (Base64, Base62) ;
• minification et compression du code ;
• fragmentation du code en petites parties apparemment sans lien ;
• déguisement du code en fonctionnalités ou en outils d’analyse légitimes ;
• utilisation de code polymorphe dont la signature change.

Ces techniques rendent l’identification du code malveillant extrêmement difficile, même lors d’un audit manuel ou à l’aide d’outils de détection traditionnels.

4. Exfiltrer les données volées

La dernière étape consiste à transmettre les données capturées vers des serveurs contrôlés par les attaquants. Cela se fait généralement de deux manières :

• transmission immédiate des données dès leur capture ;
• stockage temporaire des données dans le navigateur, avec transmission par lots.

Les attaquants utilisent souvent des domaines qui imitent des services légitimes (comme google-anlytics.com au lieu de google-analytics.com) ou encodent les données pour masquer la transmission. Ils revendent ensuite les informations volées sur des marketplaces du dark web ou les utilisent directement à des fins frauduleuses.

Pourquoi le formjacking est-il difficile à détecter ?

Le formjacking présente des défis uniques en matière de détection, comparé à d’autres types de cyberattaques.

C’est une opération côté client. Étant donné que le formjacking se déroule entièrement dans le navigateur de l’utilisateur, les mesures de sécurité côté serveur n’ont aucune visibilité sur l’attaque. Les WAF traditionnels, les systèmes de détection d’intrusion et les logs serveur ne peuvent pas détecter l’exécution de code malveillant dans le navigateur d’un utilisateur.

Il paraît légitime. Pour les utilisateurs comme pour les entreprises, les transactions semblent tout à fait normales. Le processus de paiement fonctionne comme prévu, les commandes sont traitées, et aucun message d’erreur ne s’affiche. Le seul signe de compromission est la copie invisible des données envoyée au serveur de l’attaquant.

La complexité des tiers. Un site web moyen contient du code provenant de 23 sources tierces différentes(1). Chaque script peut en charger d’autres, créant ainsi une chaîne de confiance complexe. Cela rend difficile la surveillance de l’ensemble du code exécuté sur un site, d’autant plus que ces scripts changent fréquemment.

Un manque d’outils adaptés. La plupart des entreprises ne disposent pas d’outils pour surveiller l’exécution du code côté client. Même lors d’audits de sécurité, l’attention est généralement portée sur les vulnérabilités côté serveur, plutôt que sur les menaces côté client.

Pas toujours actif. Les attaques de formjacking les plus sophistiquées peuvent ne cibler que certains utilisateurs ou ne s’activer que durant des périodes spécifiques, ce qui les rend encore plus difficiles à détecter lors de scans ou de tests ponctuels.

Conséquences business des attaques de formjacking

Les conséquences du formjacking pour les entreprises vont bien au-delà du simple vol de données.

Pertes financières

Les entreprises subissent des impacts financiers importants en cas de formjacking :

• amendes réglementaires pour non-respect des lois sur la protection des données ;
• sanctions pour non-conformité à la norme PCI DSS ;
• frais juridiques liés aux actions intentées par les clients ;
• coûts d’investigation et de remédiation ;
• frais de remplacement des cartes de paiement.

L’attaque de formjacking subie par British Airways en 2018 s’est traduite par une amende de 20 millions de livres sterling (26 millions de dollars) après le vol des données personnelles et de paiement de 380 000 clients⁽²⁾. L’attaque est restée indétectée pendant deux mois avant qu’un chercheur en sécurité ne la signale à l’entreprise.

Interruption des opérations

Réagir à une attaque de formjacking nécessite des ressources importantes :

• mobilisation d’une équipe de sécurité d’urgence ;
• enquête judiciaire sur la violation ;
• remédiation des systèmes compromis ;
• notification et assistance aux clients ;
• mise en place de nouvelles mesures de sécurité.

Atteinte à la réputation

L’un des impacts à long terme les plus importants est sans doute la perte de confiance des clients. Une entreprise associée à une violation de données met souvent des années à regagner la confiance de sa clientèle. Le dommage réputationnel peut entraîner :

• la baisse des taux de conversion sur les sites e-commerce ;
• une réduction de la fidélisation client ;
• une couverture médiatique négative et un bad buzz sur les réseaux sociaux ;
• la détérioration des relations avec les partenaires et les prestataires de paiement.

Comment se protéger contre le formjacking ?

Protéger votre entreprise contre le formjacking nécessite une approche multicouche qui combine prévention et détection.

Utiliser une surveillance côté client

Comme le formjacking se déroule dans le navigateur, la surveillance côté client est essentielle :

• déployez des solutions capables de détecter en temps réel les comportements de scripts non autorisés ;
• surveillez les modifications du Document Object Model (DOM) sur les pages sensibles ;
• configurez des alertes en cas de transmission de données suspectes, notamment depuis les pages de paiement ;
• testez régulièrement votre site depuis différentes localisations géographiques pour détecter d’éventuelles attaques ciblées par région.

Gérer les scripts tiers

Les scripts tiers constituent le point d’entrée le plus courant pour les attaques de formjacking :

• créez un inventaire de tous les scripts tiers exécutés sur votre site ;
• évaluez les pratiques de sécurité de vos fournisseurs tiers ;
• limitez l’accès des scripts tiers sur les pages sensibles ;
• envisagez d’héberger vous-même les scripts tiers critiques sur vos serveurs ;
• mettez en place un processus formel d’approbation pour l’ajout de nouveaux scripts.

Appliquer des politiques de sécurité de contenu

Les Content Security Policies (CSP) permettent de restreindre les scripts autorisés à s’exécuter sur votre site.

• Définissez les domaines autorisés à charger du JavaScript sur vos pages
• Mettez en œuvre l’intégrité des sous-ressources (SRI) pour assurer que les scripts n’ont pas été modifiés
• Configurez un système de reporting pour être alerté en cas de violation de politique
• Revoyez et mettez à jour régulièrement les politiques à mesure que votre site évolue

Maintenir les logiciels à jour

Maintenir vos logiciels à jour est une bonne pratique de sécurité fondamentale.

• Appliquez rapidement les correctifs de sécurité à toutes vos applications web et plugins
• Mettez régulièrement à jour vos systèmes de gestion de contenu et plateformes e-commerce
• Suivez les bulletins de sécurité de vos fournisseurs et services tiers
• Envisagez l’automatisation des mises à jour de sécurité lorsque cela est possible

Utiliser une protection spécialisée contre le formjacking

Des solutions comme DataDome Page Protect offrent une protection complète contre les attaques côté client, notamment :

• la surveillance en temps réel du comportement JavaScript ;
• la détection des modifications de code non autorisées ;
• des alertes immédiates en cas d’activité suspecte ;
• la conformité avec les exigences PCI DSS 4.0 en matière de sécurité côté client.

DataDome Page Protect résout automatiquement les incidents de sécurité

Déjouez le formjacking avec DataDome Page Protect

Le formjacking représente une menace importante et en constante évolution pour les entreprises en ligne. En opérant dans le navigateur de l’utilisateur plutôt qu’en s’attaquant directement à l’infrastructure serveur, ces attaques contournent de nombreuses mesures de sécurité traditionnelles et peuvent rester indétectées pendant des mois tout en récoltant des données sensibles sur les clients.

Protéger votre entreprise nécessite une approche multicouche, qui inclue la compréhension des risques liés aux tiers, la mise en place d’une surveillance côté client, la création de politiques de sécurité des contenus, la mise à jour régulière des logiciels et le déploiement de solutions de protection spécialisées.

DataDome Page Protect est spécialement conçu pour se défendre contre le formjacking et les autres attaques côté client. Ce système de protection dédié assure une surveillance en temps réel de toutes les activités de script sur vos pages de paiement et détecte automatiquement, puis bloque, les modifications de code non autorisées et les comportements suspects.

Visitez datadome.co/products/page-protect pour en savoir plus et demander une démo de la solution dans le cadre de votre stratégie de sécurité.

Références

1. https://almanac.httparchive.org/en/2021/third-parties#third-party
2. https://www.bbc.co.uk/news/technology-54568784