Boutiques en ligne : meilleures amies des pirates ?

Nous connaissions le piratage de données bancaires via le skimming, piège installé sur un distributeur de billets. Nous connaissions aussi l’interception des données bancaires via le lecteur de CB que l’on peut nous tendre dans les boutiques, restaurants, etc. Nous passerons les malveillants qui copient les informations bancaires via des SAV et autres plateformes téléphoniques. Aujourd’hui, nous allons nous pencher sur les cybers boutiques.

Avant de débuter cet article, un petit avertissement. Ce que vous allez lire n’a pas pour mission de vous transformer en paranoïaque du web. En intégriste du numérique qui ne voit qu’en l’Internet un lieu de danger, de perdition qu’il faut contrôler, censurer, bannir. Cet article a pour but de vous faire comprendre comment les pirates informatiques agissent pour espérer maitre la main sur vos données bancaires. Notre adage est : s’informer, c’est déjà se sécuriser. Espérons que cela sera aussi le cas après la lecture de ce qui va suivre.

Le bon, la brute et le truand

Pour les pirates informatiques, tomber sur une base de données comportant des informations bancaires est une sorte de Saint Graal. La mine d’or tant attendue. Nous vous expliquerons plus bas dans cet article comment ils agissent et se servent des données collectées. Dans un premier temps, le pirate informatique doit cibler les sites Internet qui lui semblent prometteur. Ici, pas besoin d’être un génie de l’informatique. Soit il regarde les publicités diffusées et s’attaque aux sites tendances ; soit il lance des recherches via Google. Pour cela, les pirates utilisent des outils qui automatiseront ses recherches via des Dork Google. Cet anglicisme peut se traduire par « recherche web à base de commandes particulière« . Bref, si vous tapez dans Google le dork « inurl:index.php?id=« , Google vous sortira les sites ayant dans leur adresse Internet les attributs techniques index.php?id=. Un détail qui peut paraitre obscure pour les non aguerris du web mais qui, une fois analysé, va vous paraitre clair comme de l’eau de roche.

Via ce genre de recherche, le pirate peut cibler les sites, donc les boutiques, pouvant souffrir d’une faille publique ou d’un 0Day (faille non publique). La finesse de la recherche est de permettre au voleur, et à ses outils, de mettre rapidement la main sur le « cyber-shop » vulnérable. Bref, quand nous lisons que des pirates « présumés » russes ont mis la main sur des millions de mots de passe, cela nous prête à sourire tant ces d’attaque sont nombreuses, très nombreuses sur le web, chaque jour.

boutique sql zataz

Couteaux Suisses du pirate

Après sa recherche de sites faillibles, le pirate va tenter d’extraire les contenus des serveurs visés. Dans la grande majorité des cas, et j’en parlais déjà dans le journal Capital (Août 2010), la faille la plus usitée est l’injection SQL. Une jolie cochonnerie que ce « bug ». Il est d’ailleurs classé par l’OWASP, une communauté internationale travaillant sur la sécurité des applications Web, en seconde position des failles les plus courantes sur le réseau des réseaux.

Une fois les sites et la/les faille(s) en main, le malveillant n’a plus qu’à extraire les données. Ici aussi, pas besoin d’être un génie de l’informatique. Des logiciels automatisent les ponctions. Un exemple souvent rencontré : le pirate (il vit dans un pays Y) héberge ses outils (analyses dork, ponctions, …) sur des serveurs chiffrés basés dans un pays X ; Le serveur travaille pour le pirate qui se fait envoyer les informations sur une machine basée dans un pays Z. Durant toute la journée, les « bots » (les robots), les zombies (ordinateurs, smartphones, tablettes piégés et utilisés sans que les propriétaires ne s’en aperçoivent, ndlr) travaillent pour le pirate. A noter que le pirate peut se passer de la partie recherche en achetant tout simplement sur des sites « Underground », spécialisés dans la vente de données piratées, des « boutiques » prêtes à être pillées.

Boutiques zataz

Lors de notre enquête, en juillet 2014, nous avons pu regrouper pas moins de 34.000 cyberboutiques en danger. A noter que les outils exploités par les pirates sont visibles par les sociétés qui mettent les moyens de se protéger et protéger leurs clients. Un exemple, celui vécu fin juillet par la société MailJet. Un vilain, très certainement avec un outil automatisant une attaque, a lancé une tentative de vol de données durant 57 secondes, le 30 juillet 2014. « Nous pensons qu’un très faible pourcentage des informations contenues dans notre base de données a pu être exposé à cette attaque informatique. » indique Alexis Renard, Président directeur Général de Mailjet. Les données financières et de paiement sont cryptées et dans une table inaccessible n’ont pas été altérées. » Les données volées, durant ces quelques secondes, peuvent être minimes comme importantes, tout dépend des « serveurs » de réception des données ponctionnées.

Que font-ils des données piratées ?

Une fois que le pirate a trouvé les sites Internet, qu’il a utilisé toutes les failles possibles et qu’il a pu mettre la main sur les précieuses données, plusieurs choix s’ouvrent à lui pour récupérer rapidement l’argent qui dort dorénavant dans ses disques durs. Comme nous vous l’expliquions plus haut, le voleur peut proposer à la commercialisation les sites de vente en ligne qu’il sait faillible et exploitable. Certains pirates possèdent d’énormes portefeuilles de plusieurs milliers de sites à pirater. Des sites qu’ils iront ponctionner quand ils en auront besoin, par petites bribes. Malin, malheureusement, certains exploitent quelques comptes, jamais plus de 3 à la fois, sur des périodes pouvant dépasser une année. Il est plus discret de taper dans 3 clients, via 1.000 sites, une fois par an, que 1.000 clients, dans le même site, en une minute !

L’autre possibilité, plus rare, est que le pirate utilise lui-même des données qu’il a volé. Les professionnels y réfléchissent à deux fois et préfèrent utiliser des mules, volontaires ou non, pour blanchir l’argent. Certains de ces escrocs n’hésitent pas à mettre en place de fausses entreprises sur le web, avec de faux contrats de travail à la clé. Mission, embaucher des demandeurs d’emploi pour blanchir l’argent volé [lire].

Boutiques cb zataz

Autres possibilités pour les pirates, proposer les bases de données copiées. En juillet, nous avons pu en référencer 97.000, sans pour autant connaitre véritablement le nombre de victimes potentielles contenues dans les larcins. A noter, cependant, plusieurs cas de Bases De Données (BDD) annoncées par les pirates avec plusieurs centaines de milliers de clients et clientes. En moyenne, des BDD commercialisées entre 50 et 10.000 $.

Nous avons aussi rencontré des pirates informatiques, et pas que russes, proposant de blanchir les comptes piratés de manière étonnante, via la location de comptes sur des sites pornographiques, de casinos peu regardant, … L’idée étant de trouver l’acheteur prêt à payer entre 20% et 70% de la véritable somme demandées par les sites exploités pour blanchir les données bancaires volées. En gros, un site pornographique propose un compte premium à 25$ par mois, le pirate en achète une centaine (2500$) qu’il va ensuite revendre 1000$ de vrais et bons billets verts.

Je me protège comment ?

Comment se protéger face à ce genre d’attaque ? Difficile, soyons honnête, mais pas impossible. Déjà, sélectionnez très consciencieusement les sites que vous allez utiliser pour votre petites affaires. L’informatique étant ce qu’elle est, la sécurisation à 100% n’existera jamais, mais préférez un site qui indique ne garder aucunes informations bancaires et passant par un banque.

Pensez aussi à utiliser Paypal, quand cela est possible ou encore les cartes web proposées par les banques. Les « PayWeb card« . Une carte bancaire unique, pour un montant, un achat. Bilan, le commerçant est bien payé, la transaction contrôlée par votre banque. En cas de piratage du site, et de ses données, votre compte en banque ne risque rien. La PayWeb Card ne pouvant être utilisée qu’une seule fois.

Pour finir, même si cela prend un peu de temps, utilisez une adresse électronique unique pour chaque site web que vous fréquentez. Une adresse mail et un mot de passe qui ne se retrouveront pas sur d’autres espaces web. Ne soyez pas une « grosse feignasse ». Certes cela prend quelques minutes, mais vous fera gagner des heures, voir des jours précieux en cas d’intrusion dans le site que vous avez exploité. Pensez à zataz et à notre exemple qui va suivre : dans votre vie « physique », vous avez une clé pour la maison, une clé pour le bureau, une clé pour la boite aux lettres, une clé pour le bureau, une clé pour un tiroir « sensible » de la maison (pour les passeports, vos liquidités, ndlr). Bref, vous avez une clé différente pour chaque accès physique de votre vie. Alors, faites-le aussi pour l’informatique.

 

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ Magazine » 1,2 milliard de mots de passe piratés ? C’est hier qu’il fallait avoir peur

  2. Pingback: ZATAZ Magazine » Les Députés veulent protéger les lanceurs d’alertes… oui mais

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.