Des milliers de boutiques en ligne à travers le monde ont été touchées par une attaque majeure de cybersécurité en raison de l’utilisation de logiciels de commerce électronique obsolètes et non protégés.
Près de 2 000 magasins utilisant la plate-forme de commerce électronique Magento ont été concernés par ce que les chercheurs en sécurité ont décrit comme la «plus grande campagne documentée à ce jour».
L’attaque a été décrite par des chercheurs de Sansec, qui ont découvert la campagne, comme «une attaque Magecart typique» où un code malveillant injecté cherchait à intercepter les informations de paiement de clients peu méfiants.
Sansec note que les magasins concernés exécutaient la version 1 de Magento, qui a été annoncée comme atteignant sa fin de vie en juin 2020, mais qui est toujours utilisée par environ 95000 magasins dans le monde.
La société a détecté 1904 magasins Magento distincts avec un keylogger (skimmer) unique sur la page de paiement, beaucoup plus grand que toute autre attaque enregistrée depuis 2015, lorsqu’elle a commencé à surveiller le logiciel.
Sansec a ajouté que de nombreux magasins concernés n’avaient pas d’antécédents d’incidents de sécurité, ce qui suggère qu’une nouvelle méthode d’attaque avait été utilisée pour obtenir un accès au serveur (en écriture). Il a noté qu’un Magento 1 0day (exploit) avait été mis en vente sur un forum de piratage pour 5000 $ il y a quelques semaines.
La société travaille avec les magasins concernés et a mis à la disposition des forces de l’ordre une liste complète des magasins compromis.
Ce n’est pas la première fois que le logiciel Magento est récemment signalé comme un risque de sécurité. En mai 2020, le FBI a signalé que des pirates informatiques envahissaient les magasins en ligne et volaient les données de carte de paiement des clients en exploitant une vulnérabilité vieille de trois ans dans un plugin Magento.
Le manque de conformité PCI, ou norme de sécurité des données de l’industrie des cartes de paiement, à laquelle les commerçants en ligne doivent se conformer, ajoute à la gravité de la situation.
Certains fournisseurs de paiement ont déclaré qu’ils ne prendraient plus en charge les marchands toujours sur Magento 1, après EOL, mais d’autres ont déclaré que les clients devaient passer à Magento 2, ce qui signifie que de nombreux détaillants sont toujours confus quant au niveau de support dont ils disposent.
Via ZDNet
