Des malfaiteurs ont modifié le site de Claire's pour voler les numéros de cartes bancaires des clients
Mise à jour du lundi 15 juin à 18h27 : l'entreprise Sansec indiquait dans son rapport initial que l'attaque n'avait duré que du 25 au 30 avril 2020.
Entre le 25 et le 30 avril 2020, un code malveillant a sévi sur les sites du vendeur d'accessoires à petits prix Claire's, accessible en France et dans de nombreux pays. Il permettait aux hackers de l'organisation malveillante Magecart d'exfiltrer les données bancaires saisies par les clients. L'entreprise Sansec, qui a révélé l'attaque le 15 juin, ne sait pas avec exactitude si la manipulation des cybercriminels a fonctionné, mais elle a identifié les tentatives.
Claire's, de son côté, mène une enquête interne : « Nous avons supprimé le code et avons pris des mesures supplémentaires pour renforcer la sécurité de notre plateforme.
Nous travaillons avec diligence pour déterminer les transactions qui ont été impliquées, points de vente n'ont pas été affectées par ce problème. »
Les cybercriminels ont misé sur les confinements
Les chercheurs ont identifié le dépôt de nom de domaine « claires-assets.com », le 21 mars, par une organisation anonyme. La veille de ce dépôt, Claire's annonçait la fermeture de plus de 3 000 de ses magasins dans le monde à cause de la pandémie de coronavirus, mais continuait sa vente par livraison via sa plateforme d'e-commerce.
Sansec s'attendait alors à voir apparaître une activité suspecte, mais ce n'est que 4 semaines plus tard que les cybercriminels se sont lancés. Pour voler les informations bancaires des clients de l'enseigne, ils ont injecté des lignes de code (en JavaScript) sur certaines pages sur site d'e-commerce du groupe.
Ce code avait pour rôle d'intercepter les informations entrées par l'utilisateur au moment du paiement : numéro de carte bancaire, le nom du propriétaire de la carte, la date d'expiration et le numéro CVV à 3 chiffres. Il entrait en action lorsque la victime cliquait sur le bouton de paiement.
Le code permettait de chiffrer les données de la victime et de les intégrer à une image localisée sur le nom de domaine malveillant déposé par les cybercriminels. « Nous soupçonnons les attaquants d'avoir utilisé délibérément un fichier d'image pour l'exfiltration, parce que les requêtes d'images ne sont pas toujours surveillées par les systèmes de surveillance », écrivent les chercheurs.
Un mois trop tard, Claire's conseille de surveiller ses comptes
Reste une inconnue dans la manipulation : comment les hackers ont-ils injecté le code sur le site de Claire's? Sansec donne des pistes : ce pourrait être à la suite d'une fuite des identifiants de l'administrateur du site (à cause d'une mauvaise sécurisation ou à la suite d'une attaque), ou bien à cause d'un phishing réussi contre un des employés de Claire's qui dispose des accès suffisants. Dans tous les cas, les cybercriminels sont parvenus à gagner l'autorisation d'écrire dans le code de la plateforme d'e-commerce.
Une fois de plus, l'attaque est rendue publique plus d'un mois après avoir été détectée. Une période pendant laquelle les victimes n'ont pas pu réagir, car elles n'étaient pas au courant. Dans son communiqué auprès de Sansec, Claire's tente de rassurer : « Les règles des réseaux de cartes bancaires impliquent généralement que les propriétaires de cartes ne sont pas responsables pour les dépenses non autorisées dont l'heure de transaction est donnée. » L'entreprise rappelle également : « Il est toujours conseillé aux propriétaires de carte bancaire de surveiller leur solde au cas où il y aurait des dépenses non autorisées. » Plus d'un mois après le vol des identifiants, ce conseil n'est sûrement plus d'actualité.