Comme le temps passe. Cette semaine, j’ai remarqué que la brèche de British Airways (probablement l’illustration de facto des attaques de Magecart) fêtait ses 2 ans. Mais même avant la violation de BA, j’avais étudié les tactiques avancées utilisées par les groupes cybercriminels pour infiltrer le côté client des sites Web. L’écrémage du Web est un excellent exemple d’attaque très efficace. Il n’est donc pas étonnant que tant de groupes différents suivent le modus operandi de Magecart. Depuis la violation de BA, j’ai analysé plus de 65 attaques de haut niveau par écrémage Web qui ont touché des milliers d’entreprises différentes. Ce qui est inquiétant, c'est que Magecart ne montre aucun signe de ralentissement. Mais aujourd’hui, heureusement, nous en savons beaucoup plus sur les attaques par écrémage du Web qu’en 2018. Ainsi, pour préparer les entreprises à gérer correctement cette menace, j’ai pensé présenter 5 des informations les plus importantes. faux à propos des attaques Magecart. . À propos de l'auteur Pedro Fortuna est CTO chez Jscrambler
Magecart n'attaque que les sites Web basés sur Magento
À première vue, beaucoup associent Magecart à Magento, le système de gestion de contenu largement utilisé dans les magasins de commerce électronique. En fait, le nom Magecart a probablement été inventé pour la première fois parce que le syndicat des cybercriminels ciblait initialement les magasins basés sur Magento. Ils étaient généralement très mal configurés en termes de sécurité, avec de nombreux mots de passe par défaut et un manque de mises à jour logicielles. Ces jours sont loin derrière. Aujourd'hui, l'industrie associe Magecart à toutes les attaques d'intrusion Web provenant de n'importe quel site Web et de tout tiers. Tant que l'attaquant réussit à injecter le skimmer Web dans le site Web, c'est très bien. Et une nouvelle attaque Magecart est née.
Magecart n'attaque que les grands sites Web
Au risque de me répéter, les attaques Magecart peuvent cibler n’importe quel site Web. La plupart d'entre nous ont entendu parler des violations très médiatisées de noms bien connus comme Macy's et Warner Music Group. Cependant, la plupart des groupes Magecart ne lancent pas d’attaques très ciblées contre des entreprises spécifiques. Et même ceux qui le sont peuvent finir par infecter des centaines de sites Web avec une seule attaque, car ils attaquent principalement les dépendances et le code tiers utilisés par les grandes, moyennes et petites entreprises. Lorsque Magecart jette son filet sur la chaîne d'approvisionnement en ligne, il cible généralement les poissons, petits et grands.
Votre site Web n'est pas à risque si vous le développez et le maintenez en interne
On entend souvent l'argument selon lequel « nous développons tout en interne », ce qui conduit à l'idée que votre équipe contrôle chaque aspect de votre site Web. Cependant, l'application Web typique d'aujourd'hui contient un large mélange de code côté client. Selon des statistiques récentes, les deux tiers des scripts utilisés sur un site Web moyen proviennent de tiers. De plus, le développement sur ces plates-formes intègre généralement des frameworks et des bibliothèques contenant des dizaines de morceaux de code tiers, créant ainsi une longue chaîne de dépendances de code. Et chaque instance de code tiers offre aux attaquants une nouvelle chance d’accéder. Et même dans les cas les plus rares où l’entreprise est auto-hébergée et s’appuie très peu sur du code tiers, elle reste toujours à risque. Il y a eu plusieurs cas d’attaques internes de Magecart, et celles-ci sont également passées inaperçues pendant des semaines.
Les attaques Magecart peuvent être atténuées avec un pare-feu d'application Web
C'est une autre idée fausse. Les pare-feu d'applications Web (WAF) sont largement utilisés pour surveiller et protéger le réseau, bloquant les connexions inconnues ou non fiables. Cependant, comme les défenses côté serveur, un WAF ne détecte pas ce qui se passe côté client. Et comme les attaques Magecart proviennent par défaut d'une source fiable, d'un fournisseur tiers légitime ou d'un code source, le code de contrôle Web malveillant contourne facilement les WAF.
CSP et SRI sont la voie à suivre si vous souhaitez empêcher les attaques Magecart
J'ai gardé celui-ci pour la fin car c'est certainement celui que j'écoute le plus souvent. La politique de sécurité du contenu (CSP) et l'intégrité des sous-ressources (SRI) sont deux techniques couramment utilisées pour minimiser l'exposition à l'exfiltration de données et aux attaques de tiers. Cependant, nous savons désormais que ces approches ne constituent pas la bonne réponse pour lutter contre le Magecart. Même si CSP restreint les sources externes auxquelles un site Web peut se connecter, il peut être contourné, permettant ainsi aux attaquants d'exfiltrer les détails de la carte de crédit. SRI adopte différentes tactiques : il permet au site Web de bloquer les scripts externes lorsque l'intégrité de ses fichiers change. De cette façon, le script serait bloqué après l'injection du skimmer. Cependant, le gros inconvénient de l’IRS est qu’il est très difficile à réaliser correctement et qu’il finit par être une solution à très forte maintenance que les entreprises ont tendance à éviter. J'aimerais pouvoir dire que ce sont les seules idées fausses à propos de Magecart ; Malheureusement, il en existe encore bien d’autres. D'un autre côté, l'industrie a beaucoup appris sur ces attaques ces dernières années et nous savons que l'une des stratégies d'atténuation les plus efficaces de Magecart consiste à détecter et à bloquer en temps opportun les comportements malveillants du côté client. réel. Alors que de plus en plus d'entreprises comprennent la nécessité de cette nouvelle couche de sécurité côté client, je suis convaincu que les jours de Magecart sont comptés.