L’écrémage Web (Web skimming en anglais) est une méthode assez souvent utilisée pour obtenir les données des utilisateurs qui visitent les pages de boutiques en ligne, et une pratique cybercriminelle consacrée. Pourtant, nos experts ont récemment découvert une innovation assez dangereuse qui implique l’utilisation de Google Analytics pour exfiltrer les données volées. Analysons pourquoi cette méthode est si dangereuse et comment la gérer.
Fonctionnement du Web skimming
L’idée de base est que les cybercriminels injectent le code malveillant dans les pages du site pris pour cible. Comment ils le font est un autre sujet. Ils obtiennent (ou volent) parfois le mot de passe d’un compte administrateur par force brute, ou encore exploitent les vulnérabilités du système de gestion de contenu (SGC) ou d’un des plug-ins de tiers. Ils peuvent également réaliser l’injection grâce à un formulaire de saisie mal codé.
Le code injecté enregistre toutes les actions de l’utilisateur (y compris lorsqu’il saisit les informations de sa carte bleue) et transfère le tout à ses propriétaires. D’ailleurs, dans la plupart des cas, le web skimming est une variété de cross-site scripting.
Pourquoi Google Analytics
Avec la collecte des données, son travail n’est qu’à moitié terminé. Le malware doit encore envoyer les informations collectées aux cybercriminels. Le Web skimming existe depuis des années, ce qui a permis à notre industrie de développer des mécanismes de protection. Une méthode consiste à utiliser la politique de sécurité de contenu (Content Security Policy, CSP), un en-tête technique qui liste tous les services ayant l’autorisation de recueillir des données sur un site ou une page en particulier. Si le service utilisé par les cybercriminels n’apparaît pas dans l’en-tête, les malfaiteurs sont incapables de retirer les données collectées. Au vu de ces mesures de protection, certains escrocs ont eu l’idée d’utiliser Google Analytics.
De nos jours, presque n’importe quel site Internet surveille de près les statistiques relatives aux visiteurs. Les boutiques en ligne le font, bien évidemment. Google Analytics est l’outil le plus pratique pour atteindre cet objectif. Ce service permet de recueillir les données grâce à de nombreux paramètres et plus de 29 millions de sites l’utilisent actuellement. Il est fort probable que le transfert des données à Google Analytics soit autorisé dans l’en-tête CSP.
Pour collecter les statistiques d’un site Internet, il vous suffit de configurer les paramètres de suivi et d’ajouter un code de suivi à vos pages. En ce qui concerne le service, si vous pouvez ajouter ce code, vous êtes le propriétaire légitime du site. Par conséquent, le script malveillant des cybercriminels collecte les données utilisateur puis, grâce à son propre code de suivi, il les envoie directement sur leur compte via le protocole de mesure de Google Analytics. L’article publié sur Securelist apporte plus de détails sur ce mécanisme d’attaque et le niveau de danger.
Que faire
Les premières victimes de ce stratagème sont les utilisateurs qui saisissent les données de leur carte bleue en ligne. Dans la plupart des cas, ce sont les entreprises qui fournissent les formulaires de paiement aux sites Internent qui doivent s’attaquer au problème. Pour éviter que les données utilisateur de votre site soient divulguées, nous vous conseillons de :
- Mettre régulièrement à jour tous vos programmes, y compris les applications Web (le SGC et tous ses plug-ins),
- Installer les composants SGC seulement à partir de sources fiables,
- Adopter une politique d’accès au SGC stricte pour réduire les droits de l’utilisateur au minimum nécessaire et lui demander d’utiliser un mot de passe fort et unique,
- Réaliser régulièrement des audits relatifs à la sécurité du site et au formulaire de paiement.
Quant aux utilisateurs, qui sont les victimes potentielles et directes de cette attaque, le conseil est simple : installez une solution de sécurité fiable. Les solutions Kaspersky pour les particuliers et les PME détectent les scripts malveillants sur les sites de paiement grâce à notre technologie Safe Money.