Skip to content
Retour aux chroniques
#web-skimming#magecart#compagnies-aériennes

Magecart et British Airways

Vingt-deux lignes de JavaScript injectées dans un script tiers ont moissonné les cartes de paiement du tunnel de commande de British Airways pendant quinze jours.

Cyber Chronicle2 min de lecture

En septembre 2018, British Airways annonce que les données de cartes de paiement d’environ 380 000 clients ont été compromises. Numéros de cartes, codes CVV, dates d’expiration, noms et adresses — tout ce dont un processeur de paiement a besoin pour autoriser une transaction — avaient été discrètement exfiltrés du tunnel de réservation en ligne de la compagnie sur une période de quinze jours.

Un script dans un script

L’intrusion n’exige pas de pénétrer les serveurs de British Airways eux-mêmes. Les chercheurs de RiskIQ reconstituent la chaîne : les attaquants ont modifié un fichier JavaScript hébergé sur un serveur dans le patrimoine de contenu de British Airways, ajoutant vingt-deux lignes de code qui écoutaient les soumissions de formulaires de paiement et envoyaient les données capturées à un domaine (baways.com) enregistré peu avant le début de la campagne. Le script est chargé comme partie normale de la page de paiement, indistinguable d’un analytics légitime ou d’un code de tracking.

La technique — modifier un script dans la chaîne de confiance d’une page de paiement, souvent via une bibliothèque tierce compromise ou un CMS vulnérable — avait à ce stade été industrialisée par une collection floue de groupes d’attaquants que les chercheurs ont collectivement nommés Magecart. Newegg, Ticketmaster et des dizaines de sites e-commerce plus modestes avaient été touchés de manière similaire.

Un moment phare du RGPD

L’Information Commissioner’s Office britannique annonce d’abord l’intention d’imposer à British Airways une amende de 183 millions de livres au titre du nouveau Règlement général sur la protection des données — la plus grande sanction du genre à l’époque. Après négociation, l’amende finale est ramenée à 20 millions de livres, en invoquant les améliorations de la compagnie et les effets plus larges de la pandémie sur l’activité.

Ce que la chronique retient

British Airways a fait du web-skimming une préoccupation de conseil d’administration. Chaque JavaScript tiers sur une page de paiement, l’affaire l’a démontré, est une relation de confiance implicite — et la chaîne d’approvisionnement des dépendances front-end d’un site e-commerce moderne est longue.