British Airways, victime des mêmes pirates que Ticketmaster ?

Selon RiskIQ, il n’est pas nécessaire d’aller chercher bien loin les pirates à l’origine de la compromission des 380 000 cartes de paiement sur les services en ligne de la compagnie aérienne. Le code JavaScript signe le forfait.

British Airways a tout récemment reconnu que les données de cartes bancaires de 380 000 de ses clients, utilisateurs de son site Web et de son application mobile – qui ne manque pas de charger des éléments à partir de ce site –, ont été volés par des cyber-délinquants. RiskIQ estime avoir débusqué les coupables et renvoie à groupe de spécialistes de la chose : Magecart, qui s’était notamment fait remarquer plus tôt cet été avec une opération ayant visé les clients de Ticketmaster.

Dans un billet de blog, l’analyste Yonathan Klijnsma détaille ce qui apparaît signer le forfait : 22 lignes de code Javascript. Celui-ci était caché dans une version modifiée de la librairie Modernizr : « le changement était à la fin du script, une technique souvent observée lorsque les attaquants modifient des fichiers JavaScript en s’assurant de ne pas en affecter les fonctionnalités ». Las, la version saine de la librairie est datée de décembre 2012, tandis que celle compromise l’est du 21 août de cette année. Un peu avant 21h GMT. British Airways indique que l’incident a commencé à 22h58 heure de Londres, à cette même date.

Yonathan Klijnsma explique que le script a été conçu pour que, « une fois que l’utilisateur clique sur le bouton pour soumettre son paiement au site compromis, les informations de paiement sont extraites et envoyées au serveur de l’attaquant ». Et certains choix, autour de ce dernier, trahissent la nature hautement ciblée de l’opération : il était hébergé derrière le nom de domaine baways.com… Mieux encore, un certificat a été acheté pour en renforcer la légitimité apparente.

L’analyste de RiskIQ souligne que ce certificat a été émis le 15 août. Pour lui, ce détail indique que les attaquants « avaient probablement accès au site Web de British Airways avant la date avancée du début de l’attaque, voire même peut-être longtemps avant ».

En définitive, pour Yonathan Klijnsma, cela ne fait pas de doute : « Magecart a mis en place une infrastructure personnalisée, ciblée, pour se fondre spécifiquement dans le site Web de British Airways et éviter la détection aussi longtemps que possible ». Et d’estimer que les attaquants ont réussi à disposer d’un accès « substantiel », probablement bien avant de lancer leur opération. Il y a fort à parier que cela ne manquera pas de soulever des questions relatives à la gestion des correctifs sur les serveurs Web de la compagnie aérienne.

Pour approfondir sur Cyberdélinquance