Augmentation du nombre d’attaque de type « online skimming » durant la crise Covid-19

Augmentation du nombre d’attaque de type « online skimming » durant la crise Covid-19

Avec la généralisation du télétravail et l’augmentation des achats en ligne, l’utilisation des moyens technologiques est devenue un quotidien pour de nombreuses personnes durant la crise sanitaire du Covid-19. Et cela, les attaquants l’ont bien compris et en profitent.

Ainsi, plusieurs entités spécialisées en sécurité informatique ont identifié une augmentation des escroqueries et des attaques informatiques visant les plateformes de e-commerce.

Le PCI SSC en collaboration avec un expert du département de la chambre du commerce américain a publié un article en lien avec ce phénomène.

Il constate une recrudescence des attaques de type « online skimming« . Cela consiste à cibler un site de e-commerce, par l’intermédiaire d’un fournisseur de services tiers, afin de dérober les informations bancaires qui sont saisies par les clients. Ce type d’attaque est difficile à détecter, car elle est réalisée chez le fournisseur de services et non sur le site e-commerce directement. Au niveau du site marchand, tout semble fonctionner normalement. Seulement, par l’intermédiaire du fournisseur de service compromis, l’attaquant est en mesure d’injecter un code JavaScript malveillant qui sera exécuté par le navigateur du client lors de sa visite sur le site. Ce code pourra par exemple dérober le numéro de carte de paiement du client lors de sa saisie.

Pour éviter ce type d’attaque, les responsables des sites de e-commerce doivent être particulièrement vigilants sur les fournisseurs de services tiers (ex. suivi de consultation des pages…) qu’ils intègrent à leur site et en particulier lors de la cinématique de paiement. Lorsqu’un fournisseur propose une bibliothèque de type JavaScript, il est fortement recommandé de l’inclure dans le code source de son application plutôt que de récupérer dynamiquement la bibliothèque lors de la visite par le client.

Dans un contexte d’un audit de conformité PCI DSS, nous sommes particulièrement vigilants sur les bibliothèques de fournisseurs tiers utilisées dans le canal de paiement. Chaque bibliothèque doit être revue et validée par les responsables applicatifs avant d’être ajoutée au site. Un suivi de ces bibliothèques (suivi du fournisseur et des mises à jour), une supervision des modifications des bibliothèques ainsi que des scans de vulnérabilités externes doivent être mis en place afin de garantir que l’utilisation de bibliothèques issues de fournisseurs tiers ne représente pas un risque pour les données de paiement des clients.

Pour aller plus loin dans la réduction du risque de « online skimming », il est possible de mettre en place des contrôles de type « sub-resource integrity » (voir le lien en référence) dans le code source du site e-commerce afin d’assurer l’intégrité du code JavaScript chargé par le navigateur client.


Références

https://blog.pcisecuritystandards.org/beware-of-online-skimming-threats-during-the-covid-19-crisis

https://developer.mozilla.org/fr/docs/Web/Security/Subresource_Integrity


Stephane Marcault