Vols de codes CVV : recrudescence des attaques Magecart en 2020

Aujourd'hui, avec les transactions sur Internet, les informations d'une carte bancaire suffisent pour l'utiliser à l'insu de son propriétaire ; on parle de fraude à la carte bancaire ou card not present, CNP. En théorie, le code CVV : card Verification Value, assure une protection supplémentaire.

La protection du code CVV est au cœur de ces vols de données, et il est essentiel d’identifier la faille afin de garder une longueur d’avance sur les cybercriminels pour les empêcher d’utiliser les informations bancaires ; que ce soit pour des achats sur d’autres sites marchands ou la revente sur le « Dark web », la face cachée d’Internet non référencée par les moteurs de recherche et où se retrouvent les cybercriminels.

Qu’est-ce que le code CVV ?

Le code CVV, composé de trois ou quatre chiffres imprimés sur le verso de la carte de crédit, sert à finaliser un paiement en ligne. Ce code sera et est systématiquement demandé : sans code, pas d’achat. De ce fait, il ne doit en aucun cas être sauvegardé en ligne sur le site d’un commerçant, au même titre que le numéro de carte, sa date d’expiration et le nom de son titulaire. Chaque commerçant qui accepte le paiement par carte est par ailleurs tenu, selon des standards de sécurité que l’on appelle PCI DSS (Payment Card Industry Data Security Standard), de ne pas enregistrer le code CVV après une transaction. Cependant, le PCI DSS présente quelques failles dans son fonctionnement et dans son contrôle. En effet, bien qu’aucune information n’ait annoncé de fuite de données chez des commerçants, la conformité de ces derniers au PCI DSS n’est contrôlée que sous la forme d’un audit annuel. Ce qui signifie qu’un site vendeur peut être en conformité, mais pas automatiquement 365 jours par an.

De plus, l’entreprise Verizon a publié en 2019 une étude portant la sécurisation des paiements et souligne trois points importants. En premier lieu, aucune des entreprises que Verizon a examinées à la suite d'une fuite de données n’était en conformité avec le PCI DSS au moment de la faille. En second lieu, le nombre d’entreprises en conformité augmente mais le nombre d’entreprises qui maintiennent leur niveau de conformité toute l’année décline : seulement 37 % de ces entreprises sont parvenues à rester conformes avec le PCI DSS durant toute l’année 2018.

Malgré les précautions édictées par le PCI DSS, un nombre impressionnant de données de cartes de crédit sont revendues par les criminels sur le dark web comme n’importe quel autre bien commercialisable : on les appelle des « Fullz ». Dérivé de l’anglais « full » qui signifie « complet », les Fullz désignent donc des cartes de crédit dont toutes les informations sont disponibles : numéro de carte, date d’expiration, nom du titulaire et bien entendu code CVV. Pour dérober les données de cartes de crédit, les cybercriminels utilisent généralement l’un des quatre types d’attaque suivants :

  •  Le phishing se base sur l’ingénierie sociale et tente de persuader les victimes de se rendre sur un site web malveillant via un lien déguisé dans un email paraissant légitime. Une fois l’utilisateur sur le site web, on lui demande de donner ses informations bancaires qui seront alors envoyées au criminel ;
  • Les keyloggers (ou enregistreurs de touches) sont différents types de malware plus ou moins sophistiqués qui surveillent certaines actions comme les visites sur un site marchand ou celui d’une banque. Une fois la victime sur le site, le malware va enregistrer les données tapées sur le clavier. Ainsi, les informations d’une carte bancaire peuvent être reconnues, enregistrées et envoyées au criminel ;
  • Les infostealers peuvent être comparés à des casses. Un malware va scanner l’ensemble d’un système et voler toutes les données confidentielles, dont les informations bancaires, le tout en quelques secondes. D’autres infostealers plus persistants pourront aussi installer sur le PC de la victime un keylogger ;
  • Les malwares sur navigateur vont infiltrer le navigateur internet de la victime et se concentrer sur seulement un ou deux sites marchands majeurs. Lorsque le malware détecte une connexion sur l’un de ces sites, il va superposer sur la page réelle du site sa propre version de cette page, à l’insu de la victime. Les données bancaires tapées sont ainsi envoyées au criminel. Une fois les informations données sur la fausse page, celle-ci est souvent suivie d’une fausse page d’erreur demandant à l’utilisateur de la rafraîchir et de recommencer.

Ces cyberattaques sont chronophages car elles ne peuvent cibler qu’un seul PC à la fois, et ne peuvent donc pas être à l’origine du grand nombre de Fullz que l’on trouve sur le dark web. Toutefois, elles sont vouées à s’amplifier dans les prochaines années à cause de l’utilisation croissante des Malware-as-a-Service (MaaS), qui facilitent considérablement la tâche des criminels et permettent aux personnes malveillantes mais avec peu de connaissances informatiques de voler des données bancaires.

Pour comprendre la grande majorité des vols de codes CVV, il faut se pencher sur les attaques « Magecart » visant non pas les acheteurs sur le web mais les vendeurs. A l’origine, Magecart était le nom donné à un gang de cybercriminels menant un type d’attaque spécifique visant à accéder au système de paiement d’un site marchand et à y implanter un malware. Plus connue sous le nom de « web skimming », cette attaque dérobe les données des cartes, dont le code CVV, au moment où elles sont données en clair et avant qu’elles soient chiffrées par le vendeur. Ni l’utilisateur, ni le vendeur ne sauront rien du vol jusqu’à ce que le malware soit découvert. La méthodologie que suit cette attaque a été par la suite copiée par d’autres groupes de cybercriminels et le terme Magecart désigne aujourd’hui un type d’attaque. Chaque attaque de ce type a donc par la suite porté le nom de Magecart 2, Magecart 3, Magecart 4, etc… L’attaque Magecart 5, par exemple, a très probablement été fomentée par le cybergang Carbanak, soupçonné des plus grands vols de données de ces dernières années. Mais c’est l’attaque Magecart de 2018 contre British Airways qui a fait à ce jour le plus de victimes : les informations des cartes bancaires de 500 000 clients ont été dérobées. Le groupe de cybercriminels a mis en place une infrastructure spécifique dans le but d’imiter au maximum le site web de British Airways et de rester indétectable le plus longtemps possible. En considérant le nombre de cartes bancaires dont les informations ont été volées en une seule attaque contre British Airways, il semble probable que la majorité des Fullz disponibles sur le dark web aient été volées par les différents gangs de type Magecart, et ce type d’attaques est voué à se développer en 2020.

Comment assurer la sécurité de ses données bancaires en ligne ?

Protéger les données d’une carte bancaire en ligne est difficile. Car s’il est possible de protéger son PC ou appareil mobile, il y a peu à faire contre les attaques visant les sites marchands. Pour un appareil, un antivirus détectera et bloquera la plupart des malwares. Encore faut-il le mettre à jour régulièrement afin qu’il soit « informé » des dernières évolutions des malwares et puisse bloquer les attaques. Les organisations sont quant à elles prévenues qu’elles doivent s’attendre à être attaquées, si elles ne l’ont pas déjà été et doivent de ce fait préparer un plan de prévention et de réaction. Les particuliers devraient adopter la même mentalité et partir du principe que les informations des cartes bancaires seront tôt ou tard dérobées. Utiliser un compte en banque dédié aux achats sur internet est un bon moyen de prévenir des pertes d’argent conséquentes.