Posté le juillet 12, 2019 à 21:08
MAGECART SE DÉCHAÎNE : LES HACKERS ONT DÉJÀ TOUCHÉ PLUS DE 17.000 DOMAINES
Magecart n’est pas le nom très connu jusqu’à présent, et il est probable que la plupart des gens n’en ont jamais entendu parler. Cependant, cela ne signifie pas qu’ils ne ressentaient pas les retombées produites par ceux qui travaillent sous ce nom.
Magecart est un ensemble de plusieurs groupes de piratage hautement sophistiqués. En tant que tel, il a été responsable de certaines des attaques de piratage les plus importantes et les plus dévastatrices de ces dernières années. C’est eux qui sont derrière le piratage de Ticketmaster, ainsi que de British Airways. Leur objectif est de voler des numéros de carte de crédit et de les utiliser à leur avantage.
D’une certaine manière, ce qu’ils font peut être considéré comme la version Web de l’écrémage ATM. En attendant, la faible sécurité sur Internet rend leur travail incroyablement facile et, en quelques mois à peine, le groupe a réussi à toucher jusqu’à 17 000 domaines différents.
Que s’est-il passé ?
Leurs réalisations infâmes semblent augmenter en nombre, et le nouveau rapport publié par RiskIQ le prouve. Selon la société de détection de menaces, Magecart a même réussi à trouver un moyen d’analyser les emplacements S3 d’Amazon. Ce sont des emplacements en nuage de la société qui sont utilisés pour stocker diverses données que les sociétés et les sites Web ont tendance à en demander par occasion.
Maintenant, les attaquants peuvent les scanner et trouver ceux qui sont mal configurés. Cette mauvaise configuration permet souvent quasiment à tout le monde ayant un compte Amazon Web Services de lire, d’écrire et de modifier tout type de contenu. Naturellement, le groupe a entré un code qui leur permet de voler les numéros de cartes de crédit de tous types de sites de commerce électronique.
Quant à savoir quand, RiskIQ semble croire que le piratage s’est produit au début d’avril – du moins, en remontant aussi loin qu’ils ont pu tracer. Ils ont commencé à étudier la possibilité après avoir constaté qu’un certain nombre de sociétés de la chaîne d’approvisionnement Internet avaient été compromises en mai. Cependant, les attaques n’ont pas été effectuées de manière typique pour Magecart. Au lieu de cela, ils semblaient être effectués à l’aide d’une technique que les chercheurs ont nommée «spray and pray».
Pour résumer, les hackers lançaient le filet le plus large qu’ils pouvaient créer, dans l’espoir d’attraper quelque chose. En pratique, ils modifiaient les codes d’innombrables sites Web, même ceux qui n’avaient aucun lien avec le commerce électronique. C’était une attaque à grande échelle, sans objectif précis. En fait, le chercheur de RiskIQ, Yonathan Klijnsma, a déclaré que l’attaque était toujours en cours.
Les hackers analysent les emplacements S3 mal configurés et, s’ils en trouvent un, ils l’analysent pour identifier les fichiers JavaScript. Ensuite, ils insèrent leur propre logiciel malveillant dans le fichier, écrasent le script et disparaissent.
Qui sont en danger ?
Maintenant, la première question qui préoccupe les gens est de savoir s’ils sont touchés ou non. La réponse est assez compliquée et la réponse facile est qu’il existe 17 000 domaines infectés, leur nombre ne cessant de croître. Selon RiskIQ, certains d’entre eux figurent même parmi les 2 000 plus grands sites Web du monde.
Cependant, beaucoup d’entre eux ne réalisent aucune transaction par carte de crédit. Et, s’ils ne le font pas, l’infection de leur site ne peut pas causer un préjudice réel. De plus, les chercheurs n’ont pas encore déterminé combien de S3 ont été touchés. En d’autres termes, il n’y a aucun moyen de savoir combien de personnes ont été touchées ou si quelqu’un a essayé de payer pour quelque chose sur l’un des sites infectés avant la résolution de l’attaque.
Cependant, dans l’état actuel des choses, le règlement de la situation pourrait prendre un certain temps. RiskIQ et Amazon travaillent actuellement de concert pour alerter les administrateurs de l’exposition et du danger potentiel pour eux-mêmes et leurs clients. Cependant, 17 000 domaines n’est pas un petit nombre, et les notifier prendra du temps. Il faudra encore plus de temps à toutes les personnes concernées pour apporter des modifications qui sécuriseraient à nouveau les sites.
Que peut-on faire ?
Clairement, il y aura pas mal de problèmes avant que la situation ne soit gérée, mais le plus gros problème est la méthode utilisée par les attaquants. Il va sans dire que les emplacements S3 d’Amazon sont relativement sécurisés et que les entreprises rencontrent souvent des difficultés lorsqu’elles doivent modifier leurs autorisations. Des erreurs de configuration, telles que celles détectées, ont également posé des problèmes dans le passé, et si une autorisation de lecture seule était accordée aux intrus, il pourrait y avoir beaucoup de problèmes.
Avec la possibilité d’écrire du code, il est impossible de dire quel type de problème il pourrait encore y avoir en dessous. Les chercheurs ont appelé cela un nouveau niveau de mauvaise configuration, ce qui pourrait avoir des conséquences importantes. Heureusement, les hackers de Magecart ne sont « qu’après » les numéros de cartes de crédit. Cependant, bien que cela puisse sembler mauvais, c’est probablement ce que tout le monde aurait pu espérer de mieux, car il existe d’innombrables groupes qui penseraient plus grand et qui chercheraient à causer le plus de chaos possible.
Un autre élément positif est qu’Amazon a créé outils spéciaux qui aideraient ses clients dans le cloud à se protéger contre de telles attaques. Il existe une simple option block-public-access qui ne nécessite qu’un simple clic. Le problème disparaîtrait avec cela, mais ce n’est pas si simple car des milliers de domaines n’ont pas verrouillé leur infrastructure et pourraient subir de graves conséquences.
