Kenishirotie - stock.adobe.com

Cartes bancaires : sans surprise, British Airways n’est pas une victime isolée

La compagnie aérienne pourrait bien ne constituer que la partie émergée d’un iceberg considérablement plus gros. D’autres sites et services compromis par Magecart sont progressivement découverts, comme Feedify.

Il revendique plus de 4000 clients. Feedify propose des services de notification push, vers des applications mobiles comme des navigateurs Web, mais également de sondage en ligne ou encore de commentaire après transaction en ligne. Ses services s’intègrent avec de nombreuses plateformes de commerce en ligne, comme Big-Commerce, Magento, Opencart, Prestashop, Shopify ou encore Zencart, sans compter des systèmes de gestion de contenus comme Drupal, Joomla et Wordpress.

Mais voilà, ses services ont été compromis par Magecart – comme British Airways. Plusieurs rapports en ce sens ont été partagés sur Twitter ces derniers jours. Des échantillons du code Javascript malicieux impliqué ont été archivés. Non sans une pointe d’ironie, Yonathan Klinjnsma, chercheur chez RiskIQ, commente : « un parmi beaucoup ».  

Après notification, Feedify a éliminé le code malicieux. A plusieurs reprises, semble-t-il. Une situation préoccupante, en fait. Car comme le relevait hier l’expert Kevin Beaumont, l’éditeur est intervenu trois fois, sans empêcher les attaquants de revenir à la charge. Ce qui ne manque pas d’interroger sur les portes d’entrée dont ils disposent. D’autant plus que, selon les données de RiskIQ, cela n’a rien de nouveau : le premier déploiement des outils de Magecart dans les scripts de Feedify remonterait au 17 août. Un second a été observé ce 12 septembre en début d’après-midi.

Mais selon Kevin Beaumont, Feedify reste particulièrement silencieux. A l’heure où sont écrites ces lignes, son dernier message sur son fil Twitter remonte à novembre 2016. Son plus récent billet de blog est daté de décembre 2017.

L’incident n’est pas isolé. Groopdealz apparaît également avoir été compromis par Magecart. Les données de RiskIQ font état d’une situation qui a commencé le 5 août. Avec le même code et le même domaine de contrôle que pour Feedify.

Et il y a probablement plus à découvrir. Yonathan Klinjsma estime que Magecart ne désigne pas qu’un unique groupe, mais plusieurs. Et d’indiquer que RiskIQ travaille actuellement à un vaste rapport sur leurs activités, dont la publication est prévue pour le courant du mois d’octobre. De quoi, peut-être, inciter les opérateurs de services impliquant des capacités de paiement en ligne à une vigilance toute particulière.

Pour approfondir sur Menaces, Ransomwares, DDoS