Pendant plus d’un mois, ce groupe de hackers a siphonné les numéros de cartes bancaires sur Newegg, un site e-commerce qui reçoit plus de 50 millions de visiteurs par mois.
Spécialisés dans le vol de données de cartes bancaires, les pirates de Magecart continuent sur leur lancée. Après Ticketmaster en juin dernier, British Airways et Feedify la semaine dernière, c’est au tour de Newegg, spécialiste américain de la vente en ligne de matériel informatique, de tomber dans les filets de ces cyberdélinquants. Le mode opératoire est similaire à celui qui a touché la compagnie britannique. Le groupe Magecart a réussi à pirater les serveurs de Newegg et à placer un code malveillant directement sur la page de paiement. Au moment où l’acheteur valide ses données bancaires, celles-ci sont automatiquement transférées vers un serveur contrôlé par les pirates : numéro de carte, date de validité et code de sécurité à trois chiffres.
D’après l’analyse de RiskIQ, spécialiste de la sécurité informatique, ce code malveillant a été injecté vers le 14 août. Les pirates ont donc pu siphonner des données bancaires pendant plus d’un mois. Ce n’est pas rien car Newegg n’est pas un petit acteur. Cette entreprise a généré un chiffre d’affaires de 2,65 milliards de dollars en 2016 et reçoit plus de 50 millions de visiteurs par mois. RiskIQ estime par conséquent que le nombre de victimes est « massif ». Probablement de l’ordre de plusieurs millions, voire dizaines de millions.
Plusieurs moyens pour se protéger
Cette attaque prouve que les sites de e-commerce ne sont pas suffisamment sécurisés. Pour l’instant, Magecart n’a pas encore pris en ligne de mire l’e-commerce français, mais cela pourrait venir un jour. En tant qu’utilisateur, il existe plusieurs façons de se protéger, à commencer par l’activation de la protection 3D Secure. Dans ce cas, les transactions doivent être validées par une code à usage unique envoyé par SMS. Malheureusement, tous les sites e-commerce n’intègrent pas ce système.
Autre solution : utiliser une carte bancaire virtuelle, ou « e-carte bleue ». Ce système permet de générer un numéro de carte à usage unique pour chaque achat en ligne. « C’est une méthode efficace pour contrecarrer la fraude après les attaques. C’est d’ailleurs notre principale recommandation », nous explique Yonathan Klijnsman, chercheur en sécurité chez RiskIQ.
Enfin, si vous faites des emplettes sur un site qui a enregistré votre carte bancaire dans ses bases de données, vous n’avez rien à craindre non plus, car les numéros de la carte ne sont plus renseignés dans des formulaires. C’est le cas, par exemple, si vous faites des achats 1-Click sur Amazon ou sur Apple iTunes.