Le « formjacking » s’attaque aux « paniers d’achat » sur le Web pour mieux voler les données de cartes bancaires

0
121

Depuis deux ans, le formjacking représente l’une des méthodes dominantes d’attaque par injection Web. La décentralisation du contenu et des services Web étend la surface d’attaque, ce qui accroît l’exposition des entreprises et des consommateurs au vol de mots de passe et de données de cartes bancaires.

Tribune F5 Labs – Une nouvelle étude du F5 Labs révèle que les formulaires en ligne, comme les pages de connexion web et les paniers d’achat, sont de plus en plus ciblés par des cybercriminels à l’affût d’informations financières personnelles.

Le rapport Application Protection Report 2019 du F5 Labs a analysé 760 déclarations de vols de données et a découvert que le formjacking, qui détourne les données du navigateur Web des clients vers un emplacement contrôlé par le hacker, reste l’une des tactiques d’attaque Web les plus courantes.

D’après les données du F5 Labs, cette méthode est responsable de 71 % des vols de données sur le Web analysées en 2018.

« Le formjacking a vu sa popularité exploser au cours des deux dernières années », note David Warburton, évangéliste senior en recherche sur les menaces chez F5 Networks.

« Les composants critiques de code des applications Web, tels que les paniers d’achat et les systèmes de paiement par carte, sont de plus en plus externalisés. Les développeurs Web utilisent des bibliothèques de code importées ou, dans certains cas, relient directement leur application à des scripts tiers hébergés sur le Web. Comme leur code est compilé à partir de dizaines de sources différentes échappant presque toutes aux contrôles de sécurité internes habituels, les entreprises se retrouvent dans une position vulnérable. Puisque de nombreux sites Web ont recours aux mêmes ressources tierces, les hackers savent désormais qu’il leur suffit de compromettre un seul composant pour pirater les données d’un grand nombre de victimes potentielles. »

Les données sur les violations de données examinées par le F5 Labs montrent que 83 incidents survenus en 2019 sont dus à des attaques de formjacking sur des formulaires de paiement Web. Au total, 1 396 969 cartes de paiement ont été impactées.

Parmi les attaques réussies, 49 % visaient le commerce de détail, 14 % les services aux entreprises et 11 % le secteur de la fabrication. Le secteur des transports est celui qui a le plus souffert des attaques de formjacking spécialement dirigées contre les informations financières personnelles, totalisant 60 % des vols liés aux cartes bancaires sur la période analysée par F5.

Selon le F5 Labs, alors que les vulnérabilités aux attaques par injection n’ont rien de nouveau, les tendances du secteur engendrent cependant de nouveaux risques et étendent les surfaces d’attaque, ce qui fait de ce phénomène un problème croissant et en constante évolution.

D’après la base de données sur les « exploit », 11 % des nouveaux exploits identifiés en 2018 faisaient partie d’une chaîne d’attaque de formjacking incluant l’exécution de code à distance (5,4 %), l’inclusion de fichier arbitraire (3,8 %) et l’exécution de commandes à distance (1,1 %).

« Le paysage des attaques par injection se transforme en même temps que nos comportements », déclare David Warburton. « Pour détecter et atténuer efficacement les failles par injection, il est aujourd’hui nécessaire d’adapter les évaluations et les contrôles, et non pas uniquement de corriger le code. Plus nous sous-traitons le code, moins nous avons de visibilité et de contrôle. »

Les recommandations du F5 Labs :

  • Établir un inventaire des applications Web. Il est nécessaire d’effectuer un audit complet du contenu tiers. Le processus est compliqué par le fait que des tiers établissent habituellement des liens vers d’autres sites Web et qu’ils ont tendance à effectuer des contrôles de sécurité inférieurs aux normes.
  • Déploiement de correctifs dans l’environnement.  Même si l’application de correctifs ne corrige pas nécessairement les vulnérabilités liées au contenu tiers, elle complique le passage du point d’ancrage initial à un piratage de grande ampleur. Les attaques par injection Web s’appuient sur des techniques très variées. Il est donc toujours aussi indispensable d’appliquer des correctifs aux applications qui s’exécutent dans les propres applications de l’entreprise pour éviter que les ressources tierces compromises ne créent de dommages.
  • Analyse des vulnérabilités. Les RSSI savent depuis des années à quel point il est essentiel d’effectuer des analyses externes afin d’examiner la situation du point de vue du hacker. C’est d’autant plus important lorsque de grandes quantités de contenu sont assemblées à la dernière minute côté client.
  • Suivi des changements apportés au code. Indépendamment de l’endroit où le code est hébergé, il est important de gagner en visibilité, que de nouvelles vulnérabilités apparaissent ou non. Cela signifie surveiller GitHub et les compartiments AWS S3, mais aussi les référentiels de code natifs.
  • Authentification à plusieurs facteurs. Sachant que les attaques par injection sont souvent utilisées pour contourner les mécanismes d’authentification et accéder au code du serveur Web, l’authentification à plusieurs facteurs doit être mise en œuvre sur tous les systèmes connectés à des ressources critiques. Dans l’idéal, le chiffrement au niveau de la couche applicative peut également compléter TLS/SSL afin d’assurer la confidentialité au niveau du navigateur. 
  • Analyse du potentiel des outils logiciels serveur. Il est par exemple possible de mettre en place un mécanisme CSP (Content Security Policy) pour bloquer les injections de code non autorisées sur un site Web ou dans une application. Les méthodes Web SRI (SubResource Integrity ou Intégrité des sous-ressources) permettent quant à elles de s’assurer que les applications tierces n’ont pas été modifiées.  Les deux outils nécessitent un travail d’adaptation à l’application Web.
  • Contrôle des nouveaux domaines et certificats enregistrés. Sous de fausses apparences de légitimité, ces éléments renferment bien souvent des scripts malveillants.

« Les entreprises auront de plus en plus recours à des contrats de niveau de service axés sur la sécurité pour gérer les risques d’attaques par injection Web », ajoute David Warburton. « Les méthodes d’atténuation recommandées dans le rapport Application Protection Report 2019 constituent un bon début, mais il est vital de s’adapter au changement d’état d’esprit des hackers et à l’évolution de leurs techniques. »