Pour protéger son numéro de carte bancaire lors d’achats sur Internet, on répète souvent quelques précautions simples : s’assurer d’être bien sur un site officiel ou vérifier la présence du petit cadenas vert synonyme d’une connexion sécurisée. Mais dans le cadre de l’opération repérée et documentée mercredi 16 janvier par deux entreprises spécialisées en sécurité informatique, RiskIQ et Trend Micro, ces réflexes de bon sens n’auront été d’aucune aide pour protéger les données bancaires d’un nombre indéterminé d’internautes.

Un groupe de pirates informatiques a ciblé, au tout début de janvier, un certain nombre de sites d’e-commerce français afin de dérober en toute discrétion des numéros de cartes bancaires.

Mais plutôt que de les pirater directement, ce groupe a choisi une voie détournée. Il est parvenu à infecter Adverline, une régie publicitaire française chargée de placer, pour le compte d’entreprises, des publicités sur des sites Internet, notamment d’e-commerce. Ainsi, le groupe de pirates est parvenu à nicher dans les publicités affichées par Adverline un logiciel conçu pour dérober des numéros de cartes bancaires. Pour l’internaute, la manipulation est invisible : ils sont bel et bien sur un véritable site d’e-commerce, protégé par une connexion sécurisée mais, caché dans la publicité qui s’affiche le cas échéant sur la page, un groupe de pirates les observe entrer leur numéro de cartes bancaires et le récupère.

Des dégâts d’ampleur inconnue

Les pirates ont profité de la nuit de la Saint-Sylvestre, à 1 heure du matin, pour pénétrer dans les systèmes d’Adverline. Cette intrusion a permis au groupe malveillant de « passer la surmultipliée », écrit RiskIQ. Les équipes de l’entreprise les repèrent, mais ne parviennent à nettoyer leur réseau que le 4 janvier. Entre-temps, le code malveillant développé par les pirates a été affiché à de nombreuses reprises.

Difficile d’évaluer précisément les dégâts, mais ils sont impressionnants

A ce stade, difficile d’évaluer précisément les dégâts, mais ils sont impressionnants. Les chiffres publiés par les entreprises spécialisées ne permettent pas de connaître avec précision le nombre de victimes. Selon Trend Micro, 277 sites d’e-commerce étaient concernés : sans donner leurs noms, l’entreprise explique qu’il s’agissait notamment de sites de ventes de billets d’avion, de cosmétique ou de vêtements. Le code malveillant a été affiché et bloqué par les outils de Trend Micro plus de 11 000 fois en France sur les six premiers jours de 2019, selon les chiffres fournis par l’entreprise.

Des chiffres démentis par la régie publicitaire Adverline. Cette dernière revendique plus de 5 millions de visiteurs uniques quotidiens par le biais des sites qui affichent ses publicités. Cependant, selon l’entreprise, qui dit au Monde avoir enquêté auprès de ses clients, seulement huit sites ont subi l’intrusion des pirates informatiques, et cette dernière n’a concerné « que » 114 numéros de cartes bancaires. Des explications qui minimisent la portée réelle du piratage.

Une méthode de plus en plus courante

Cette technique d’aspiration des données bancaires est de plus en plus courante. Connue par les experts sous le nom de « Magecart », elle est employée par plusieurs groupes aux méthodes et aux outils légèrement différents. Certains chercheurs estiment que plus de six mille sites ont fait les frais de cette technique depuis 2014, date de son apparition. C’est ainsi que plusieurs dizaines de milliers de cartes bancaires ont été dérobées par le biais de l’application de la compagnie aérienne British Airways.

La découverte de cette opération visant non pas directement un site où sont saisies des données bancaires mais une régie publicitaire, dont les encarts pullulent sur tous les sites Internet, inquiète de nombreux experts. « Cela va donner des idées à d’autres. (…) Il est vraisemblable qu’on retrouve des régies pub ailleurs ciblées et piratées de la même façon », craint Loic Guézo, de Trend Micro. D’autant plus que ce mode d’attaque « de chaîne d’approvisionnement » peut-être utilisé pour de nombreuses autres activités criminelles.

Lire aussi Un groupe spécialisé dans le vol de données bancaires suspecté du piratage de British Airways

Correction du 21/01 : “Magecart” est une technique et non un groupe d’attaquants défini, contrairement à ce que nous écrivions initialement.