Pendant 5 jours, des cybercriminels ont récupéré les données des cartes bancaires utilisées pour les achats sur la plateforme d'e-commerce de Claire's.

Mise à jour du lundi 15 juin à 18h27 : l’entreprise Sansec indiquait dans son rapport initial que l’attaque n’avait duré que du 25 au 30 avril 2020. Désormais, elle affirme que l’attaque a duré du 25 avril au 13 juin. Cyberguerre a contacté Sansec pour connaître les raisons de ce changement. 

Entre le 25 et le 30 avril 2020, un code malveillant a sévi sur les sites du vendeur d’accessoires à petits prix Claire’s, accessible en France et dans de nombreux pays. Il permettait aux hackers de l’organisation malveillante Magecart d’exfiltrer les données bancaires saisies par les clients. L’entreprise Sansec, qui a révélé l’attaque le 15 juin, ne sait pas avec exactitude si la manipulation des cybercriminels a fonctionné, mais elle a identifié les tentatives.

Claire’s, de son côté, mène une enquête interne : «  Nous avons supprimé le code et avons pris des mesures supplémentaires pour renforcer la sécurité de notre plateforme.
Nous travaillons avec diligence pour déterminer les transactions qui ont été impliquées, points de vente n’ont pas été affectées par ce problème. »

Selon l’efficacité de leur attaque, les malfaiteurs ont pu mettre la main sur des milliers de cartes bleues. // Source : Pxhere

Les cybercriminels ont misé sur les confinements

Les chercheurs ont identifié le dépôt de nom de domaine « claires-assets.com », le 21 mars, par une organisation anonyme. La veille de ce dépôt, Claire’s annonçait la fermeture de plus de 3 000 de ses magasins dans le monde à cause de la pandémie de coronavirus, mais continuait sa vente par livraison via sa plateforme d’e-commerce.

Sansec s’attendait alors à voir apparaître une activité suspecte, mais ce n’est que 4 semaines plus tard que les cybercriminels se sont lancés. Pour voler les informations bancaires des clients de l’enseigne, ils ont injecté des lignes de code (en JavaScript) sur certaines pages sur site d’e-commerce du groupe.

Les informations ont été véhiculées dans des images

Ce code avait pour rôle d’intercepter les informations entrées par l’utilisateur au moment du paiement : numéro de carte bancaire, le nom du propriétaire de la carte, la date d’expiration et le numéro CVV à 3 chiffres. Il entrait en action lorsque la victime cliquait sur le bouton de paiement.

Le code permettait de chiffrer les données de la victime et de les intégrer à une image localisée sur le nom de domaine malveillant déposé par les cybercriminels. « Nous soupçonnons les attaquants d’avoir utilisé délibérément un fichier d’image pour l’exfiltration, parce que les requêtes d’images ne sont pas toujours surveillées par les systèmes de surveillance », écrivent les chercheurs.

Un mois trop tard, Claire’s conseille de surveiller ses comptes

Reste une inconnue dans la manipulation : comment les hackers ont-ils injecté le code sur le site de Claire’s ? Sansec donne des pistes : ce pourrait être à la suite d’une fuite des identifiants de l’administrateur du site (à cause d’une mauvaise sécurisation ou à la suite d’une attaque), ou bien à cause d’un phishing réussi contre un des employés de Claire’s qui dispose des accès suffisants. Dans tous les cas, les cybercriminels sont parvenus à gagner l’autorisation d’écrire dans le code de la plateforme d’e-commerce.

Une fois de plus, l’attaque est rendue publique plus d’un mois après avoir été détectée. Une période pendant laquelle les victimes n’ont pas pu réagir, car elles n’étaient pas au courant. Dans son communiqué auprès de Sansec, Claire’s tente de rassurer : « Les règles des réseaux de cartes bancaires impliquent généralement que les propriétaires de cartes ne sont pas responsables pour les dépenses non autorisées dont l’heure de transaction est donnée. » L’entreprise rappelle également : « Il est toujours conseillé aux propriétaires de carte bancaire de surveiller leur solde au cas où il y aurait des dépenses non autorisées. » Plus d’un mois après le vol des identifiants, ce conseil n’est sûrement plus d’actualité.

Crédit photo de la une : Wikipedia

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux