Aujourd’hui, je vais vous parler d’une attaque sophistiquée et en plusieurs étapes sur un site eCommerce Magento. Ce malware a utilisé un faux fichier image gif, des données de sessionStorage du navigateur local, et a manipulé le trafic du site via un serveur proxy inversé malveillant pour voler des données sensibles comme les informations de carte de crédit, les identifiants de connexion, les cookies, et plus encore.
Un client a remarqué un comportement étrange sur sa page de paiement : les clients ne pouvaient pas entrer leurs informations de carte normalement, et les commandes n’étaient pas validées. En cherchant à résoudre ce problème, nous avons découvert un malware avancé que je vais détailler ici.
Magento obsolète
Tout d’abord, il est important de noter que le site utilisait une version très ancienne de Magento, la 1.9.2.4. Adobe a cessé de supporter cette version en juin 2020. Pourtant, de nombreux sites eCommerce continuent d’utiliser cette plateforme obsolète malgré les risques de sécurité. Migrer de Magento 1 à Magento 2 peut être coûteux et complexe, surtout pour ceux qui ne sont pas experts en technologie.
Il est crucial de maintenir votre CMS à jour et d’appliquer tous les correctifs de sécurité disponibles dès que possible. Consultez notre guide sur l’installation des correctifs de sécurité Magento pour plus d’informations.
JavaScript suspect
En enquêtant sur le malware MageCart, la première étape est d’inspecter le code source de la page pour détecter des extraits de JavaScript suspects. Bien que de nombreuses injections de malware sur Magento soient basées sur le backend/PHP, les injections JavaScript restent populaires pour leur facilité d’utilisation.
Nous avons découvert un code entre des balises de suivi Bing, mais quelque chose clochait. Le code contenait une référence directe à Magento, ce qui n’est pas typique d’un code de suivi Bing.
Le script utilise des astuces JavaScript pour construire dynamiquement le nom de la méthode « replace ». Il remplace toutes les occurrences de « bpu » par une barre oblique, ce qui révèle un chemin de répertoire : /media/magentothem/img/line.
Le cas du .gif mystérieux
Le fichier « .gif » n’était pas une image mais un script PHP malveillant. En décodant le backend_url, nous avons découvert qu’il communiquait avec un serveur malveillant. Ce malware agissait comme un proxy inversé, interceptant toutes les requêtes sur le site Magento tout en restant invisible pour les visiteurs et les administrateurs.
Fonctionnalité de proxy inversé
Le malware capturait les requêtes entrantes, interceptait les données POST, et réécrivait les en-têtes pour masquer ses activités. Il modifiait les cookies pour qu’ils correspondent au domaine légitime et renvoyait les réponses modifiées au navigateur de la victime.
Ce qui est particulièrement sournois, c’est que le code malveillant était présent sur toutes les pages du site, y compris la page d’accueil. Ainsi, toutes les requêtes, y compris les paiements, identifiants et cookies, transitaient par le serveur de l’attaquant sans que la victime ne s’en rende compte.
Fichier de paiement altéré
Notre enquête a également révélé un fichier de paiement modifié qui fonctionnait en tandem avec l’injection JavaScript pour mener une attaque en plusieurs étapes. Ce code malveillant utilisait le sessionStorage du navigateur pour exécuter le payload, rendant la détection plus difficile. L’attaque était donc personnalisée pour chaque utilisateur, et les traces disparaissaient dès la fermeture du navigateur.
Résumé et mesures à prendre
Cette attaque avancée ciblait les utilisateurs effectuant des achats sur des plateformes eCommerce vulnérables, comme Magento1. Les administrateurs de sites eCommerce doivent être vigilants pour protéger leurs données et celles de leurs clients.
Pour les administrateurs de sites
En tant que propriétaire de boutique en ligne, il est de votre responsabilité de sécuriser votre site. Si vous n’êtes pas sûr de comment maintenir la sécurité, engagez un expert. Les pénalités pour être identifié comme un « point d’achat commun » par Visa ou d’autres fournisseurs de cartes de crédit peuvent être sévères.
- Mettez à jour vos fichiers principaux et appliquez tous les correctifs de sécurité disponibles.
- Si vous utilisez encore Magento1, planifiez une migration vers Magento2 dès que possible.
- Placez votre site derrière un WAF pour aider à atténuer les attaques.
Pour les acheteurs en ligne
Il peut être difficile de savoir si un site eCommerce est sécurisé. Voici quelques pratiques pour protéger vos informations personnelles :
- Utilisez notre outil Sitecheck pour vérifier si le site utilise une plateforme eCommerce obsolète.
- Utilisez un plugin de sécurité pour navigateur pour atténuer les attaques.
- Utilisez un bloqueur de scripts pour filtrer les JavaScript indésirables ou malveillants.
Les sites eCommerce utilisant des logiciels obsolètes ne devraient pas être considérés comme fiables. Si un site ne peut pas maintenir son environnement de manière sécurisée, pourquoi lui faire confiance pour gérer vos informations de paiement ?
Nos solutions pour la sécurité de votre site
En tant qu’expert en réparation d’urgence WordPress, je propose une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.
Conclusion
La sécurité, la maintenance et l’optimisation SEO sont les piliers d’un site performant et fiable. Ne laissez pas votre site vulnérable ou sous-performant. Contactez-moi dès aujourd’hui pour découvrir comment SécuritéWP peut vous aider à protéger et à optimiser votre présence en ligne.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP.
