Réflexions d'Experts
Y a-t-il un type d’attaque informatique ou un mode opératoire particulier dans le contexte actuel ? Amira BOUNEDJOUM nous répond.
Y a-t-il un type d’attaque informatique ou un mode opératoire particulier dans le contexte actuel ?
On assiste vraiment à une multitude d’attaques. Il y a notamment énormément de cas de phishing. Mais parmi les attaques les plus fréquentes et ayant les répercussions les plus importantes, on remarque beaucoup d’attaques de type skimming, c’est-à-dire des attaques qui ont permis de capter des données de cartes bancaires au moment où ces instruments de paiement étaient utilisés. Je précise que je ne suis pas en train de faire référence à un détournement d’une base de données qui regrouperait tous les numéros de cartes bancaires qui vont être utilisées sur le site en question. Très souvent le cyber-marchand ne conserve même pas les données bancaires et celles-ci sont récupérées par l’agent malveillant au moment-même où elles sont renseignées. C’est une capture de ces données-là à l’instant T.
Le mode opératoire est souvent le même :
- La cible, c’est un site internet e-commerce qui a un chiffre d’affaires très important particulièrement pendant la période de confinement ;
- Ce site a souvent fait l’objet d’une sorte de scan de vulnérabilités, c’est-à-dire qu’étaient recherchées toutes les failles pouvant être exploitées ;
- Et une fois identifiées, elles ont été exploitées ; et il s’agit souvent d’une injection SQL, une usurpation d’un compte administrateur ou encore l’exploitation d’une vulnérabilité de la plateforme e-commerce en elle-même.
Alors il faut savoir qu’un cyber-attaquant ça peut être très patient. Ce n’est pas parce qu’il a identifié votre faille ce matin qu’il vous attaquera ce soir ou demain. Donc dans la plupart des attaques, que j’ai en tête du moins, on accuse un délai de plusieurs mois avant de se rendre compte de l’attaque. D’abord parce qu’elle peut être très difficilement détectable, ensuite parce que même les victimes directes – à savoir les détenteurs, les propriétaires de ces cartes – n’alertent pas spécialement à ce sujet puisqu’eux-mêmes ne font pas le lien entre leur achat légitime sur le site e-commerce et la réutilisation de leurs données de manière frauduleuse plusieurs mois après la récupération de ces données.
Assez régulièrement d’ailleurs, l’entreprise est alertée de la violation de données par son prestataire de paiement ou sa banque qui indique avoir reçu une alerte d’encore plus haut, à savoir une alerte du groupement Carte Bancaire.
Alors comment c’est possible ? Le groupement Carte Bancaire a une visibilité sur les demandes d’opposition formulées par les détenteurs de cartes, donc dès qu’il y a un nombre trop important d’opposition en raison de paiements frauduleux, et bien le réseau CB va faire une première analyse et s’il est constaté qu’une une grande partie des cartes bancaires fraudées a pour point commun d’avoir préalablement été utilisée sur un site marchand en particulier, le réseau CB va considérer qu’il y a de fortes chances pour que les données de ces cartes bancaires corrompues, fraudées, aient pu être récupérées à cette occasion et va donc faire une alerte sur un doute de compromission. Et là, la machine va se lancer.
1722 vues 
