Des experts en sécurité d'IBM ont découvert une nouvelle méthode de piratage pour récupérer les coordonnées bancaires des utilisateurs de sites marchands. Cette fois, il ne s'agit plus de piéger avec des faux formulaires, mais d'infecter le routeur par lequel les données transitent.


au sommaire


    Un groupe de chercheurs en sécurité chez IBMIBM viennent de faire une trouvaille peu commune : des fichiers test d'une attaque réseau d'un nouveau genre. Dans une enquête publiée récemment, ils détaillent une nouvelle variante d'une attaque qui vise à injecter du code malveillant dans les pages web des internautes.

    Cette découverte a été classée sous le nom de Magecart, un ensemble d'outils utilisant l'injection de code pour voler les informations de carte bancaire et actuellement utilisé par une douzaine de groupes. Les chercheurs ont détecté cette variante grâce à l'historique du site VirusTotal, un outil d'analyse de virus en ligne. Ils pensent que le groupe de hackers, surnommé Magecart 5, a voulu s'assurer que leur code ne serait pas détecté par les logiciels antivirus.

    Les réseaux publics vulnérables aux attaques

    La particularité de cette nouvelle attaque est d'infecter non pas le site web, mais le routeur auquel les victimes se connectent. Cela nécessite un routeur professionnel qui prend en charge le protocoleprotocole de couche 7, comme ceux utilisés dans les hôtels, centre commerciaux, aéroports et la plupart des réseaux publics. Ces routeurs sont capables de rediriger le trafic réseau et de modifier le contenu des pages visitées comme, par exemple, pour afficher une page de connexion.

    Les scripts trouvés par les chercheurs avaient pour fonction d'injecter du code dans des fichiers JavaScript légitimes afin de récupérer les données de carte bancaire saisies sur les sites marchands, puis de les envoyer vers un serveurserveur externe. Implantés sur un routeur plutôt que dans un site web, ils seraient beaucoup plus difficiles à détecter. Ces fichiers ont été testés sur VirusTotal au mois d'avril, mais les chercheurs n'ont pas encore eu connaissance d'un cas de routeur compromis pour l'instant.