Blog Attacks

Les plus grandes attaques Magecart de l'histoire (jusqu'à présent)

D'où vient le terme « Magecart » Les attaques Magecart sont un type de cyberattaque où les pirates injectent du code JavaScript malveillant, souvent r

Oct 17, 2024 • 15 min read

Simon Wijckmans Founder & CEO

the-biggest-magecart-attacks-image-cover

D'où vient le terme « Magecart »

Les attaques Magecart sont un type de cyberattaque où les pirates injectent du code JavaScript malveillant, souvent appelé scripts de « skimming », dans des sites web. Il peut s'agir de n'importe quel type de site web, mais lorsqu'on parle de Magecart, il s'agit presque exclusivement de sites de commerce électronique pour tenter de capturer les détails de cartes de crédit.

Le terme « Magecart » provient de la combinaison de « Magento », une plateforme de commerce électronique open-source populaire, et de « cart », faisant référence à la fonctionnalité de panier d'achat sur ces sites web. La première vague d'attaques ciblait les sites web basés sur Magento, ce qui a conduit à la création du terme.

Ces types d'attaques relèvent également des termes génériques « attaques côté client » et « attaques de la chaîne d'approvisionnement web ».

Évolution vers un terme générique

Au fil du temps, « Magecart » lui-même est passé d'une référence à un groupe spécifique de pirates à un terme générique utilisé pour décrire un style d'attaques plus large :

Imitateurs : Comme les méthodes du groupe Magecart original se sont avérées efficaces, d'autres groupes cybercriminels ont adopté des techniques similaires.
Expansion : Alors que les premières attaques Magecart se concentraient principalement sur les sites Magento, la portée s'est considérablement élargie. Les attaquants ciblent désormais une variété de systèmes de gestion de contenu (CMS) et de plateformes de commerce électronique, tels que WooCommerce, PrestaShop, Shopify et des sites web personnalisés.
Toujours des scripts tiers : Les attaques Magecart modernes exploitent souvent des vulnérabilités dans les services tiers intégrés aux sites web, tels que les widgets de chat, les scripts d'analyse ou les processeurs de paiement. Ce changement de tactique, passant du ciblage des plateformes de commerce électronique elles-mêmes à l'attaque de l'écosystème web plus large, a contribué à l'application plus large du terme.
Sensibilisation accrue du public : Des incidents très médiatisés impliquant de grandes marques comme British Airways, Ticketmaster et Newegg ont attiré une attention médiatique importante sur les attaques Magecart. Souvent, les articles mentionnent le nom comme référence, sans nécessairement être une attaque « Magecart » au sens original du terme.

En général, lorsque quelqu'un mentionne Magecart, pensez skimming numérique.

Les plus grandes attaques Magecart à ce jour

Gardons à l'esprit qu'il s'agit des attaques Magecart que nous connaissons actuellement. Il est probable qu'il y en ait beaucoup d'autres en cours en ce moment. Si nous découvrons des attaques supplémentaires, nous mettrons à jour cet article.

Nous les avons classées globalement en fonction des personnes impactées, des implications financières, de la couverture médiatique et des dommages à la réputation.

1. British Airways

Celle-ci est souvent considérée comme la plus grande et la plus médiatisée des attaques Magecart. C'est aussi celle que nous citons le plus souvent. En partie parce que nous avons acheté le domaine utilisé dans cette attaque, baways.com (sécurisé maintenant), et raconté l'histoire complète de l'attaque là-bas.

Page éducative désormais hébergée sur le domaine baways.com

Bien que nous aimerions pouvoir dire que nous avons dû passer par des stratagèmes élaborés pour l'obtenir, nous l'avons simplement acheté sur un registre public. Lisez cette histoire ici.

Dans cette attaque, le domaine a été acheté par les attaquants et inséré dans un script tiers altéré afin de rester sous le radar plus longtemps. Après tout, BAWAYS ressemble à un domaine légitime de British Airways.

Mais dans d'autres cas, les domaines expirés ou vendus qui figurent dans des scripts tiers ont un chemin direct pour exploiter de nombreux sites web d'un seul coup. Bien qu'il ne s'agisse pas d'une attaque Magecart, la récente attaque Polyfill nous a montré pourquoi il est important de sécuriser votre site contre cela.

Le piratage de British Airways (BA) de septembre 2018 était une attaque Magecart assez sophistiquée qui a compromis les informations personnelles et financières d'environ 380 000 personnes. Les pirates ont exploité des vulnérabilités dans le système de paiement en ligne de British Airways en injectant du code JavaScript malveillant dans le site web et l'application mobile de la compagnie aérienne. Ce code était spécifiquement conçu pour capturer les informations de paiement en temps réel lorsque les clients saisissaient leurs détails sur la page de paiement.

Les données volées comprenaient des noms, des adresses e-mail et des détails complets de cartes de crédit, y compris les codes CVV, ce qui les rendait très précieuses pour des activités frauduleuses. Et, l'attaque est passée inaperçue pendant plus de deux semaines, permettant aux attaquants d'avoir amplement le temps de collecter des informations sensibles sur les clients.

Cette violation a eu des répercussions importantes pour British Airways, tant sur le plan financier que réputationnel. Le Bureau du Commissaire à l'information (ICO) du Royaume-Uni a infligé une amende de 20 millions de livres sterling (26 millions de dollars) à British Airways et la violation a également conduit à des critiques généralisées des pratiques de cybersécurité de British Airways.

2. Ticketmaster

Cette attaque a touché environ 40 000 clients mais était significative en raison de l'implication d'un fournisseur de services tiers (Inbenta).

Encore une fois, les attaquants ont injecté du code JavaScript malveillant dans ce widget tiers, leur permettant de siphonner les détails de cartes de crédit, noms, adresses et autres informations sensibles des clients lors du traitement des transactions sur le site de Ticketmaster. Le code malveillant est resté non détecté pendant plusieurs mois, période durant laquelle les attaquants ont récolté de précieuses données clients.

En conséquence, Ticketmaster a fait l'objet de critiques pour ne pas avoir suffisamment vérifié ses partenaires tiers et pour le retard dans la détection et la réponse à la violation.

En mai 2024, nous avons connu un peu de déjà-vu lorsque la nouvelle d'un autre incident Ticketmaster a éclaté, présentant une ressemblance frappante avec la tristement célèbre violation de données de 2018.

Ce nouvel incident était quelque peu similaire au premier, car Ticketmaster a confirmé une activité non autorisée dans un environnement de base de données cloud tiers, prétendant avoir exposé les informations personnelles de plus de 500 millions de clients. Voici notre analyse complète de cette dernière violation Ticketmaster.

3. Newegg

Le piratage de Newegg est l'une de ces attaques Magecart classiques dont les gens parlent encore. Celle-ci était assez sournoise et a montré à quel point les attaquants pouvaient être astucieux. Également en 2018, les pirates ont réussi à glisser du code JavaScript malveillant directement dans la page de paiement du site web de Newegg. Leur objectif ? Vous l'avez deviné, skimmer les informations de cartes de crédit des clients lors de leurs achats. L'attaque est également passée inaperçue pendant plus d'un mois, ce qui a donné aux attaquants suffisamment de temps pour collecter une bonne quantité de données sensibles.

Ce qui a rendu cette attaque particulièrement intéressante, c'est la façon dont les pirates ont opéré. Ils ne se sont pas attaqués directement au site principal de Newegg ; au lieu de cela, ils ont imité le propre script de traitement des paiements de Newegg pour faire en sorte que leur code malveillant se fonde presque parfaitement. C'était un mouvement intelligent qui leur a permis de passer sous le radar pendant si longtemps. Les données volées comprenaient tout, des noms et adresses aux numéros de cartes de crédit et codes CVV.

Bien que la réponse de Newegg à l'attaque n'ait pas été aussi rapide que certains auraient pu l'espérer, l'incident a certainement mis en lumière la nécessité de pratiques de sécurité plus vigilantes, en particulier autour des pages de paiement. C'est l'une des raisons pour lesquelles les exigences mises à jour de PCI DSS 4.0 incluent la sécurisation des scripts sur les pages de paiement, renseignez-vous à ce sujet si les clients effectuent des paiements sur votre site.

4. Plusieurs sites Magento

Au lieu de s'attaquer à un gros poisson, les attaquants ont opté pour la quantité entre 2020 et 2021, exploitant des vulnérabilités dans plus de 2 000 sites de commerce électronique Magento. La stratégie était simple mais efficace : utiliser des failles connues dans les installations Magento obsolètes pour injecter des scripts de skimming dans les pages de paiement et récupérer les informations de cartes de crédit pendant que les clients sans méfiance effectuaient leurs achats.

Ce qui est fascinant ici, c'est l'ampleur même de cette attaque. Il ne s'agissait pas seulement de frapper quelques sites ; il s'agissait de tirer parti d'une vulnérabilité généralisée pour impacter un nombre massif d'entreprises en même temps.

Ce type d'attaque est particulièrement préoccupant pour les petites et moyennes entreprises, qui n'ont souvent pas le même niveau de sécurité que les grands acteurs. Et pour ceux qui utilisent encore d'anciennes versions de Magento, c'était un signal d'alarme.

L'une des attaques Magecart Magento les plus récentes et les plus importantes s'est produite chez Segway en 2022. Les attaquants ont ciblé des vulnérabilités dans le CMS lui-même ou dans l'un des plugins installés sur le site Segway. Après avoir violé cela, ils ont à nouveau ajouté du JavaScript malveillant. Ici, il semblait s'afficher comme le copyright du site, mais était en fait utilisé pour charger un favicon externe.

À l'intérieur de ce fichier favicon, un domaine malveillant a été placé qui chargeait du code externe pour skimmer les informations de paiement des clients sans méfiance. Lisez notre article complet sur cette attaque ici.

5. Volusion

Le piratage de Volusion en 2019-2020 est une autre attaque Magecart qui illustre parfaitement les dangers des vulnérabilités de la chaîne d'approvisionnement. Cette fois, les attaquants se sont attaqués à Volusion, un fournisseur de plateforme de commerce électronique qui alimente des milliers de boutiques en ligne.

En compromettant l'infrastructure de Volusion elle-même, les pirates ont pu injecter leur JavaScript malveillant dans un fichier JavaScript servi à tous les sites web utilisant les services de Volusion. Ils n'avaient pas besoin de cibler les boutiques individuelles une par une, ils devaient juste se glisser par le fournisseur de plateforme et ils avaient accès aux pages de paiement de toutes ces boutiques d'un seul coup.

L'impact a été énorme, affectant d'innombrables petites et moyennes entreprises qui comptaient sur Volusion pour gérer leurs opérations de commerce électronique. Les clients qui faisaient leurs achats sur ces boutiques ont vu leurs détails de cartes de crédit skimmés, ce qui incluait à nouveau les noms, numéros de cartes, dates d'expiration et CVV.

Lorsque votre entreprise dépend d'un fournisseur de services, leurs vulnérabilités deviennent vos vulnérabilités.

Ce que nous avons appris sur Magecart jusqu'à présent

Examinons quelques thèmes communs dans ces trois plus grandes attaques Magecart :

Elles ciblent toujours des outils tiers actifs sur les sites (le plus souvent des scripts tiers).
Les attaques restent toujours non détectées pendant un certain temps
Elles visent toujours des sites où des personnes ordinaires achètent en ligne

Donc, si vous gérez un site avec ces caractéristiques, les sonnettes d'alarme devraient retentir en ce moment. Vous pouvez sécuriser vos scripts tiers et empêcher ces attaques de se produire.

Plus d'attaques Magecart

Examinons quelques autres attaques Magecart notables :

Warner Music Group

Le piratage de Warner Music Group en 2020 était une autre attaque de type Magecart notable qui s'est étendue sur plusieurs mois, impactant plusieurs sites de commerce électronique associés à ce grand label de musique. Les pirates ont injecté des scripts malveillants dans les pages de paiement des boutiques en ligne de Warner Music, leur permettant de skimmer les informations de paiement des clients achetant des marchandises et des produits numériques.

Sites web Claire's et Icing

Claire's, le détaillant populaire d'accessoires et de bijoux, a eu une année difficile en 2020 lorsqu'il a été victime non pas d'une, mais de deux attaques Magecart. Après avoir été initialement violé, l'entreprise pensait avoir la situation sous contrôle, mais les attaquants ont réussi à réinfecter leurs sites web peu après la première attaque.

American Cancer Society

La violation de l'American Cancer Society en 2019 a été particulièrement dure et montre que même les organisations à but non lucratif ne sont pas à l'abri des attaques Magecart. Toute organisation ou site web avec des informations peut, et sera, ciblé.

Les attaquants ont injecté du code JavaScript malveillant dans la page de don du site web de l'organisation, visant à voler les informations de cartes de crédit des donateurs.

Macy's

Les attaquants ont réussi à compromettre le système de paiement en ligne du grand magasin américain, injectant du code malveillant pour voler les informations de paiement directement aux clients pendant le processus de paiement. Bien que le nombre de clients affectés ait été plus petit par rapport à certaines des autres attaques Magecart, le timing était particulièrement impactant car il s'est produit pendant une période de ventes importante, juste au moment où les acheteurs affluaient sur le site pour des offres.

Regal Cinemas

L'attaque Magecart sur Regal Cinemas en 2022 a ramené l'attention sur le secteur du divertissement, qui, jusque-là, n'était pas couramment associé à de telles violations. Les attaquants ont ciblé la plateforme de billetterie en ligne de Regal, intégrant des scripts malveillants pour capturer les informations de paiement des clients achetant des billets. Assez similaire à l'attaque Ticketmaster.

NutriBullet

NutriBullet, célèbre pour ses mixeurs et gadgets de cuisine, s'est retrouvé sur la liste des victimes de Magecart début 2021. Les pirates ont injecté du JavaScript malveillant dans la page de paiement du site web de NutriBullet, skimmant les détails de cartes de crédit des clients pendant plusieurs semaines.

Chinavasion

Chinavasion, une plateforme de commerce électronique chinoise bien connue spécialisée dans l'électronique, a été touchée par une attaque Magecart en 2023. Cet incident a également ciblé les pages de paiement pour capturer les détails de paiement des clients internationaux. Bien que la violation n'ait pas été aussi importante que certaines autres sur cette liste, elle était significative en raison de la large base de clients de Chinavasion couvrant plusieurs pays.

Dick's Sporting Goods

En 2023, Dick's Sporting Goods s'est retrouvé parmi la liste des victimes de Magecart lorsque les attaquants ont réussi à injecter des scripts malveillants dans leur page de paiement. La violation a impacté un grand nombre de clients, mais l'ampleur et les retombées financières ont été relativement moins graves par rapport à certaines des attaques plus étendues sur cette liste.

Marriott Hotels

Marriott Hotels a ajouté un autre chapitre à son histoire troublée avec les violations de données en 2023 lorsque son système de réservation en ligne a été ciblé par des attaquants Magecart. Les pirates ont injecté des scripts de skimming pour voler les informations de cartes de crédit des clients réservant des chambres en ligne.

Il y a une certaine augmentation des préoccupations concernant ces types d'attaques ciblant les sites web de l'industrie hôtelière et des loisirs. Le temps nous dira si davantage d'attaques se produisent dans cet espace.

Ici, nous avons parlé des attaques côté client spécifiquement dans l'industrie hôtelière.

Portefeuilles numériques et échanges de cryptomonnaies

De 2022 à 2024, les attaquants Magecart ont tourné leur attention vers les portefeuilles numériques et les échanges de cryptomonnaies, marquant un changement dans leurs cibles typiques. En injectant des scripts malveillants dans les portefeuilles web et les plateformes d'échange, ils ont pu siphonner non seulement les détails de cartes de crédit mais aussi des actifs numériques comme les cryptomonnaies.

Pendant notre phase bêta, plusieurs entreprises et échanges de cryptomonnaies nous ont contactés pour travailler ensemble sur une version précoce d'une portée de produit élargie pour protéger leurs sites. C'est une préoccupation réelle dans cette industrie.

Voici l'histoire de l'attaque Copay event-stream qui s'est également produite dans l'espace crypto. Le code malveillant exécutait des routines qui recherchaient et extrayaient des clés privées et des détails de portefeuille de comptes détenant des quantités substantielles de Bitcoin et Bitcoin Cash. Ces détails étaient ensuite transmis à un serveur distant contrôlé par les attaquants.

Quelques dernières mentions :

Soccer[.]com
Shopify
Olympus
Tupperware
Fujifilm
Boom! Mobile
Procter & Gamble
Smith & Wesson
Puma
Crucial (Micron)
Elekta

Comment protéger votre site contre les attaques Magecart

Tout comme nous l'avons couvert dans la section « Ce que nous avons appris sur Magecart jusqu'à présent », le JavaScript tiers est impliqué. Ces scripts sont chargés côté client (c'est-à-dire dans le navigateur de l'utilisateur), pas par le serveur du site web. Et, ils sont dynamiques. Ce qui signifie qu'ils peuvent changer quoi que ce soit, quand que ce soit, et même en fonction de paramètres comme l'appareil de l'utilisateur, l'emplacement et plus encore.

Nous avons construit cside pour sécuriser ces scripts contre tout ce qui est malveillant. Nous les chargeons dans un proxy avant qu'ils n'exécutent leur code dans le navigateur de l'utilisateur, et les bloquons si nécessaire pour protéger complètement les visiteurs du site web. Bien sûr, nous alertons également le propriétaire du site web afin qu'il puisse inspecter et supprimer le code si nécessaire.

Vous pouvez commencer et sécuriser votre site gratuitement en quelques minutes. Il existe bien sûr d'autres outils disponibles, veuillez visiter notre page de comparaison pour voir comment nous nous comparons à la concurrence.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La fuite British Airways de 2018 reste la plus citée. Les attaquants ont injecté un skimmer sur la page de réservation et exfiltré les données de carte d'environ 380 000 transactions. L'ICO avait d'abord proposé une amende record avant de la réduire.

Le skimmer se charge souvent depuis un script tiers auparavant fiable ou un domaine sosie fraîchement enregistré. Les défenses réseau ne voient pas ce qui s'exécute dans le navigateur — précisément là où les données de carte sont capturées.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Meilleures solutions de prévention de la prise de contrôle de compte comparées (2026)

Suites anti-fraude, fingerprinting et MFA comparés par couverture de la chaîne d'attaque ATO. Trouvez la bonne combinaison pour votre profil de risque.

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.

Bannière sombre cside montrant une attaque de chaîne d'approvisionnement npm de type ver

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

Banniere illustree du blog sur les sanctions contre Funnull, le blanchiment d'infrastructure et le risque de chaine d'approvisionnement dans le navigateur

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.

Illustration du stack de sécurité avec inférence sur appareil

L'inférence sur appareil arrive dans votre stack de sécurité : pour le meilleur et pour le pire

L'IA locale peut protéger les données sensibles et renforcer l'endpoint, mais crée des risques de prompt injection, télémétrie et navigateur.

Couverture sombre cside avec des points sur les outils de détection des agents IA

4 outils pour détecter les agents IA sur votre site web (prévention de la fraude)

Comparaison de cside, HUMAN Security, DataDome et Cloudflare pour la détection des agents IA. Découvrez comment chaque outil gère la prévention de la fraude, les tarifs et l'implémentation.

Couverture sombre cside avec des points sur le blocage des bots de test de carte par IA

Bots de test de carte pilotés par des agents IA | Comment les arrêter

Les agents de test de cartes par IA utilisent de vrais navigateurs pour valider des identifiants volés à grande échelle. Apprenez à les détecter et à les bloquer avant le paiement.

Couverture sombre cside avec des points sur les usages et le blocage des navigateurs furtifs

Qu'est-ce que les navigateurs furtifs (ou « anti-détection ») et quand les bloquer

Les navigateurs furtifs contournent la détection des bots. Les navigateurs anti-détection falsifient les empreintes. Découvrez les signaux qui révèlent les deux, même lorsqu'ils ressemblent à des humains.