//Le cas de British Airways, une cyberattaque pas tout à fait comme les autres

Le cas de British Airways, une cyberattaque pas tout à fait comme les autres

British Airways a admis la semaine dernière que les données personnelles et les informations relatives aux cartes de paiement de 380 000 clients avaient été volées sur son site pendant une période de 15 jours, du 21 août au 5 septembre.

L’annonce a fait beaucoup de bruit, car on peut s’étonner qu’une compagnie aérienne aussi importante se soit fait piégée. En y regardant de plus près, il ne s’agit peut-être pas d’une attaque classique.

 

A première vue, la méthode d’infection n’a rien de nouveau, il s’agit d’une version hackée de la bibliothèque JavaScript Modernizr, où l’on retrouve un code malveillant signé Magecart.

Magecart, c’est quoi ? Il s’agit d’un cheval de Troie spécialisé dans l’interception de données bancaires, sous forme de script qui, une fois intégré, va rechercher les informations de cartes de crédit saisies sur les pages Web compromises.  Ce type de compromission de page web s’est déjà vu il a quelques semaines par exemple chez TicketMaster ou plus récemment encore chez Feedify (qui n’en est pas à sa première compromission). En réalité, l’activité de Magecart est surveillée depuis 2016.

Pour les cas précédents, les pirates ont pu injecter le code en utilisant une faille chez un prestataire.

 

Ticketmaster et Feedify sont deux exemples de sociétés qui montrent que la sécurité des sites de e-commerces est loin d’être infaillible.

L’usage de codes javascripts multiples et gérés par un tiers rend la maintenance et la sécurité du site plus difficiles.

Et pourtant, l’impact d’une telle compromission s’avère vite énorme, autant en termes de perte financière, que d’image.

Il suffit de se rappeler que les services de notifications push proposés par Feedify concernent de nombreuses applications Web ou mobiles, et s’intègrent sur de nombreux sites en ligne comme Big-Commerce, Magento, Opencart, Prestashop, Shopify ou encore Zencart, sans compter des systèmes de gestion de contenus comme Drupal, Joomla et WordPress

 

Revenons sur le cas de British Airways. Ici, l’injection a été opérée directement sur les serveurs de la compagnie et a pu passer inaperçue malgré les nombreux systèmes de surveillance en place, car le code a été personnalisé de manière à ne ressembler à aucun code suspect vu précédemment.

On passe indéniablement à un niveau plus élevé en matière de cyberattaque. Dans l’enquête qui est menée, les dernières modifications des pages semblent indiquer que les pirates avaient déjà accès au système bien avant l’attaque. Tout a été soigneusement préparé, discrètement, depuis des semaines… Les pirates ont utilisé un domaine imitant celui de BA (baways.com) et ont utilisé leur infrastructure mise en place (le serveur de dépôt) exclusivement pour Bristish Airways. Ils ont aussi acheté un certificat SSL, le tout pour paraître le plus légitime possible sans éveiller les soupçons… et ça a fonctionné !

 

En savoir plus ?  Téléchargez notre livre blanc Combattre le Phishing

 

Reste à savoir comment les pirates ont pu avoir accès aux fichiers des serveurs web de British Airways, pour en modifier le contenu et ajouter ces fameuses 22 lignes de code qui ont permis l’interception des données. La partie e-commerce ne semble pas hébergée par un tiers, et les accès y sont plutôt limités et classiquement sécurisés. Si ce n’est pas un prestataire, il peut aussi s’agir d’un salarié dont on aurait usurpé l’identité.

En effet, selon le rapport annuel « Verizon’s annual Data Breach Investigations Report », 81 pour cent des violations liées au piratage informatique utilisent des mots de passe volés et/ou faibles. D’autre part, un employé sur cinq communique son mot de passe par courriel à ses collègues (rapport Switchfast https://www.zdnet.com/article/one-in-five-employees-share-their-email-password-with-co-workers/).

 

Par conséquent, à l’origine d’une attaque très ciblée, on retrouve souvent un vol d’identifiants, un compte email compromis ou un simple email de spear phishing. Comme les techniques d’usurpation d’identité ne cessent de se perfectionner, surtout par email, le spear phishing est de plus en plus difficile à identifier. Mais surtout, il est souvent annonciateur d’une future cyberattaque de type « Web-based », qui occasionnera d’autres vols de données et amplifiera les impacts subis par l’entreprise ciblée.  Dans le cas de British Airways, il s’agit bien d’une attaque de haut-vol, réalisée en deux temps :  d’abord un vol discret de compte, puis une intrusion toute aussi silencieuse sur le site cible. L’association du spear phising (https://www.vadesecure.com/fr/solutions/anti-spear-phishing/) et d’un code malveillant comme Magecart, produisent inévitablement des effets désastreux.

Et pour limiter significativement ces attaques de type « Web-based », mieux vaut ne pas négliger l’une de ses sources les plus répandues, à savoir le vol d’identité, notamment via des techniques d’ingénierie sociale parfaitement maîtrisées par les attaquants, comme dans les emails de spear phishing (https://www.vadesecure.com/fr/solutions/anti-spear-phishing/). 

 

En savoir plus ?  Téléchargez notre livre blanc Protégez votre entreprise du  Spear Phishing 

2018-10-03T10:19:42+00:00

À propos de l'auteur : Régis Bénard

Responsable formation chez VadeSecure