Piratage Macy's, étalon du pire à venir en matière de cyberattaque

La compromission de données bancaires qui a frappée l'enseigne américaine Macy's spécialisée dans les vêtements et accessoires de mode en octobre dernier n'a rien d'anodine. Elle est le fruit d'une attaque utilisant une technique par skimming web ou « écrémage » Magecart. A la différence près qu'elle est cette fois-ci hautement ciblée et personnalisée, et pourrait bien définir le prochain visage des skimmers Web selon des chercheurs en sécurité. Le 14 novembre dernier, la chaîne de magasins Macy’s a ainsi alerté les clients d’une faille de sécurité découverte le mois précédent sur son site web. Cette dernière avait compromis des informations de cartes de paiement de clients, mais aussi des noms complets, adresses, numéros de téléphone et e-mails. À l'époque, la société avait indiqué que la vulnérabilité était issue de l'injection de code non autorisé et très spécifique dans les pages de paiement et de porte-monnaies (wallet) en ligne sur Macys.com dans le but de récupérer des informations clients.

Selon une récente analyse du code malveillant utilisé et publiée par la firme de sécurité RiskIQ, le script adopté est un skimmer Magecart hautement personnalisé conçu pour s'intégrer parfaitement dans le processus de paiement et les workflows de relation client de Macy's. Magecart est un outil employé par plus d'une douzaine de groupes d'attaquants dont les techniques varient en sophistication. Cependant, cette attaque, même si elle est clairement exécutée par des pirates expérimentés, ne correspond pas au mode opératoire des groupes Magecart actuels. « Pendant toutes les années où RiskIQ a recherché, analysé, détecté et atténué les attaques Magecart, nous n'avons jamais observé un skimmer aussi personnalisé que celui utilisé pour attaquer Macy's », ont déclaré les chercheurs de RiskIQ dans leur rapport. « Contrairement à la majorité des skimmers Magecart, celui-ci ne pouvait fonctionner que pour le site web de Macy's. »

Certains groupes Magecart se sont précédemment servis des attaques pour introduire leur code malveillant sur des sites web en piratant des services tiers légitimes. Cela a été le cas pour les attaquants qui ont obtenu un accès pour modifier des fichiers existants sur le serveur web de Macy's, ont conclu les chercheurs. Le fichier JavaScript dans lequel leur code a été injecté s'appelait ClientSideErrorLog.js. Il a probablement été choisi car il était chargé à la fois sur la page de paiement Macys.com et sur la page des porte-monnaies en ligne des clients.

Les informations des cartes de crédit ciblées

Jusqu'à présent, un point commun de presque toutes les attaques par skimming web était qu'elles ciblaient des processus de paiement, au moment où les acheteurs saisissaient leurs informations de paiement. L'injection de code malveillant sur une seule page - au lieu de l'ensemble d'un site comme c'est le cas avec d'autres logiciels malveillants - diminue les chances de résolution. Les pirates qui ont compromis Macys.com se sont rendus compte que les utilisateurs peuvent entrer des informations de carte bancaire dans plusieurs zones du site. Une opportunité qu'ils n'ont pas manqué de saisir. L'une d'entre elle est le portefeuille, à savoir une section de compte où les utilisateurs peuvent configurer les cartes de paiement à utiliser sans avoir à saisir manuellement leurs informations.

Le problème est que lorsqu'ils sont affichés dans leur porte-monnaie virtuel ou lors de la sélection d'une carte de paiement déjà stockée lors du paiement, les numéros de carte sont généralement masqués et la plupart des chiffres sont remplacés par des astérisques. Pour palier le problème, le skimmer Magecart utilisé sur Macys.com a été conçu pour se connecter aux fonctions de porte-monnaie qui gèrent l'édition, l'ajout ou la suppression de carte de paiement. « La capacité des attaquants à parcourir la page du porte-monnaie de Macy's est un atout important pour le skimmer web », ont indiqué les chercheurs de RiskIQ. « Pendant longtemps, stocker des informations de paiement était un moyen efficace d'éviter les attaques par écrémage. Les attaquants ciblant Macy's ont pris cela comme un défi et ont rendu leur skimmer multiformes. Ce n'est pas seulement un skimmer ciblé pour trouver un processus de paiement, mais des informations précieuses, où qu'elles se trouvent. »

De nouveaux identifiants de compte aussi dans le viseur

Comme la plupart des sites e-commerce, Macy’s accorde aux visiteurs de réaliser des achats sans nécessairement créer un compte. Cependant, l'une des étapes du processus de paiement des utilisateurs qui n'en n'ont pas les encourage à en créer un à partir des informations qu'ils viennent d'entrer. Un coupon de réduction sur des achats, de 25%, est même proposer pour les inciter à le faire. Les attaquants ont bien perçu cette opportunité et ont personnalisé leur skimmer pour capter également les nouvelles données d'enregistrement du compte. En fait, le script malveillant vérifie et sépare les workflows pour les utilisateurs enregistrés et ceux invités, signe que les pirates ont fait un effort méticuleux pour planifier leur attaque. « Il est important de souligner à quel point cette attaque était bien planifiée et approfondie », ont déclaré les chercheurs de RiskIQ. « Les attaquants ont passé énormément de temps à connaître le processus de paiement du site web de Macy's et le parcours client. En fin de compte, leur objectif était de personnaliser leur skimmer pour s'intégrer de manière transparente dans la plateforme de commerce électronique du site afin de parcourir les informations aussi efficacement que possible tout en étant le plus discret possible ».

Les données collectées par RiskIQ suggèrent que l'infrastructure derrière l'attaque (nom de domaine, serveur...) qui a permis au skimmer d'envoyer des données volées, était en place le 24 septembre. Le script malveillant en tant que tel, a été injecté dans Macys.com le 7 octobre avant d'être supprimé huit jours plus tard lorsque l'équipe sécurité de l'entreprise a été alertée du trafic potentiellement suspect du site web. Le nom de domaine choisi par les attaquants pour la collecte de données était très similaire à celui d'un service tiers légitime que les sites Web de Macy's utilisent pour tenter de se fondre dans le trafic habituel. Le script a encodé les informations volées plusieurs fois avant de les renvoyer aux serveurs des attaquants pour empêcher tout système d'analyse de trafic potentiel de les repérer. Les attaquants ont également pris la peine de marquer de façon distincte les données en fonction de l'endroit où elles ont été volées : paiement invité, paiement d'utilisateur enregistré ou page de portefeuille.

Flair et temps, armes fatales de cyberpirates de plus en plus malins

Le skimming web est devenu une méthode d'attaque très populaire et lucrative pour les pirates. RiskIQ prétend d'ailleurs détecter plusieurs nouvelles brèches Magecart par heure via sa plateforme et avoir vu à ce jour des millions d'attaques de ce type. Alors que la compétition entre cybercriminels n'a jamais aussi été acharnée, les attaquants doivent améliorer leur tactique et se différencier s'ils espèrent marquer des points. « Les vulnérabilités techniques et les cibles de haut niveau peuvent devenir une tendance », préviennent les chercheurs de RiskIQ. « Nous avons appris de la brèche de Macy's qu'il existe une variété de façons d'attaquer la fonctionnalité d'un site web, et que les attaquants ayant du flair et suffisamment de temps les trouveront. Dans ce cas, les attaquants ont débloqué la capacité de skimmer les informations de paiement enregistrées des clients, chose rarement vue dans la vraie vie avant cette attaque. »