Infiltration d’une boutique française dédiée au smartphone

Posted On 30 Sep 2020

Tag: js

Des pirates informatiques ont installé un code malveillant dans le site d’un spécialiste français de la réparation de téléphone portable. Les pirates visaient les données bancaires.

La méthode pirate n’est pas nouvelle, mais sacrément efficace. D’abord, trouver une faille visant des sites et des outils de commerce en ligne. Dans ce cas, Magento Shoplift. Un outil qui a connu, en quelques mois, plusieurs mises à jour de sécurité qu’il ne faut surtout pas ignorer (SUPEE-11314, le SUPEE-11155 et le SUPEE-10975).

Ensuite, trouver des victimes. Shodan et/ou quelques dork Google sont des alliés de choix. Le pirates n’a plus qu’à lancer ses bots (robots) pour s’inviter dans les sites et collecter des données.

Dans le cas du dernier Protocole ZATAZ traité, c’est l’enseigne « La clinique du Smartphone » a être impactée par cette intrusion et manipulation des données. ZATAZ n’a pas de visibilité sur la période d’infiltration, ni le nombre de clients touchés par cette action pirate. L’entreprise a été contactée via deux mails et un appel téléphonique !

L’entreprise a été alertée. « N’importe quel robot ciblant Magento peut avoir installé ce malware. » souligne un avisé lecteur de ZATAZ.

Le risque ?

Ce script malveillant est injecté dans les sites Magneto, et autres outils de commerce électronique comme PrestaShop et OpenCart non patchés. Mission, voler les détails de paiement et les informations d’identification à partir des formulaires officiels des sites Web infiltrés. En gros, vous êtes dans votre boutique préférée ; vous faîtes votre achat ; vous fournissez les informations dans les espaces officiels de la boutique, et au moment de valider, vous envoyez aussi vos informations aux pirates !

De nombreuses boutiques en ligne ont été piégées de la sorte comme Ticket Master, …

Vous êtes propriétaire d’une boutique infiltrée ?

Voici les Sept mercenaires à faire sortir de l’ombre pour palier le plus rapidement cette infiltration.

Fermer le site ;
Scanner et checker code et droits du serveur ; (le site DiffNow peut vous aider à comparer vos codes)
Vérifier les comptes administrateurs et effacer les « inconnus » ;
Changer les mots de passe ;
Vous devez également vérifier si des clients ont signalé des achats frauduleux peu de temps après avoir commandé quelque chose sur votre site ;
Alerter les autorités (Police/Gendarmerie et la CNIL) ; alerter les clients.
Faire appel à des professionnels. Pas le cousin d’un ami qui touche sa bille en informatique ou l’agence marketing qui vous a vendu le « top des cyber boutiques !« .

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.