Début septembre, British Airways a annoncé avoir été la cible d’une attaque d’envergure contre ses données. Le site Web et l’application mobile de la compagnie aérienne ont été compromis, et environ 380?000 clients se sont fait voler leurs données personnelles et financières. Tout aussi inquiétant, Ticketmaster avait été victime d’une attaque similaire plus tôt dans l’année. Ces deux attaques auraient été menées par Magecart, un redoutable groupe de pirates informatiques qui s’était fait connaître en dérobant les données de cartes sur des formulaires de paiement en ligne non sécurisés.
Si de grandes entreprises comme BA et Ticketmaster peinent à assurer la sécurité de leurs systèmes de traitement par carte, cela signifie-t-il que toutes les entreprises sont en danger ? Pas forcément, mais cela souligne l’importance pour les entreprises de prendre la sécurité de leurs processus de paiement par carte très au sérieux. Faisons le point sur les enseignements que nous pouvons tirer de ces attaques.
Que signifient ces attaques ?
Ces violations sont caractéristiques d’une méthode prisée des pirates pour compromettre les processus de traitement des cartes de paiement des entreprises. Il s’agit d’une technique connue sous le nom de Cross-site Scripting (XXS). Dans les attaques XXS, les scripts de commandes malveillantes créés sont conçus pour exploiter le contenu dynamique des sites Web. Dans le cas des attaques de Ticketmaster et BA, les pirates auraient modifié le code de services tiers sur les sites Web des deux sociétés afin d’intercepter les paiements par carte des clients pendant leur traitement.
On rapporte que le script utilisé dans les attaques Ticketmaster et BA est désormais distribué en ligne par le biais d’applications infectées, et notamment via un script autrefois utilisé pour le service de notification push Feedify. Dans types d’attaques XXS, les modifications du code sont minimes... ce qui les rend très difficiles à détecter.
Sécurité des données, la conformité en berne ?
Suffisamment inquiétantes en soi, ces violations des données de cartes de paiement coïncident également avec une tendance plutôt préoccupante : le nombre d’entreprises totalement conformes à la norme de sécurité des données de l’industrie des cartes de paiement a chuté en 2017 pour la première fois en six ans. Autrement dit, on compte moins d’entreprises dotées des contrôles et des procédures appropriées pour garantir à chaque instant la sécurité du traitement des cartes de paiement.
Certaines entreprises partent sans doute du principe qu’une fois la conformité PCI DSS obtenue, elles ont fait le plus dur. Elles oublient cependant que le maintien de la conformité est un processus en perpétuelle évolution. Les entreprises doivent donc se tenir à jour. Et face à des cybercriminels qui n’ont de cesse de relever leur niveau de jeu, les entreprises doivent s’assurer que leurs défenses sont adaptées en conséquence.
La conformité, c’est maintenant !
Avec ce type de conformité, il ne suffit pas d’insérer un vague logo de certification sur votre site Web. Non, l’enjeu est absolument vital pour la pérennité de votre entreprise. En cas d’attaque, vous devrez gérer les conséquences, en mettant la main au portefeuille pour résoudre le problème et rétablir votre réputation. Sans parler des lourdes sanctions financières auxquelles votre entreprise s’expose en cas de non-respect de ces exigences de conformité.
Les entreprises qui ne se conforment pas à la norme PCI DSS peuvent se voir imposer des frais de transaction supérieurs, et dans certains cas, le retrait de services bancaires. Le non-respect du Règlement général sur la protection des données (RGPD) peut avoir des conséquences encore plus graves — les entreprises étant passibles d’amendes de plus de 20 millions d’euros ou d’un montant correspondant à 4 % de leur chiffre d’affaires mondial (selon le montant le plus élevé).
L’enjeu de la cybersécurité n’a jamais été aussi crucial. Assurez-vous que vous avez mis en place les bons contrôles et procédures de sécurité : vous protégez non seulement votre entreprise, mais vous garantissez également sa conformité.
De l’importance des tests d’applications Web
Les tests d’intrusion représentent une étape essentielle pour évaluer la sécurité de votre entreprise et la protéger contre le type d’attaques que subissent Ticketmaster et BA. Les tests d’applications Web sont un type de test d’intrusion spécialement conçu pour identifier les vulnérabilités de vos applications Web, y compris la sensibilité à XXS et à d’autres types d’attaques par injection de code.
Les tests d’intrusion sur vos applications Web ne prennent généralement que quelques jours et peuvent être effectués en dehors des heures ouvrées pour limiter les perturbations pour l’activité. Il est recommandé de faire appel à un spécialiste en cybersécurité capable d’évaluer votre sécurité de manière indépendante et continue afin d’identifier les risques pour la sécurité et de les traiter.
Le mot de la fin
Dans le contexte actuel, les entreprises doivent aborder la sécurité et la conformité avec le plus grand sérieux. Pour celles qui feraient encore l’impasse, la facture pourrait être salée et leur viabilité à long terme pourrait être remise en cause. GlobalSign dispose d’un large portefeuille de solutions d’identité et de sécurité pour protéger les entreprises et les grands groupes, et ses équipes sont prêtes à vous aider.
D’autres articles pour en savoir plus sur le contexte de sécurité actuel et la façon dont GlobalSign peut vous aider :
https://www.globalsign.com/fr/company/blog/articles/qu-est-ce-que-la-conformite-pci-dss/
https://www.globalsign.com/fr/company/blog/articles/securiser-un-site-marchand/
