La confiance qu’accordent beaucoup de sites web au service Google Analytics, est toujours plus souvent battue en brèche par des pirates. Ces dernies utilisent en effet le service pour masquer leur trafic.
Voilà ce qui ressort d’une enquête effectuée par Kaspersky sur le clonage (‘skimming’) de cartes de paiement. Par ce genre de pratique, des personnes mal intentionnées tentent de mettre la main sur les numéros et d’autres données encore d’une carte de crédit et ce, de manière classique en infectant un distributeur automatique de billets ou en y installant un minuscule appareil par-dessus. Les informations ainsi collectées sont revendues par les pirates à des malfaiteurs qui les exploitent pour se livrer à de la fraude à la carte de crédit.
Maintenant que tout le monde ou presque achète en ligne, le clonage de cartes de crédit s’est de plus en plus déplacé sur le web. Les hackers tentent d’accéder par effraction au back-end d’un site d’e-commerce et de copier ainsi des renseignements qui sont saisis lors du processus de paiement. Mais une fois ces infos copiées, elles doivent encore parvenir chez les malfaiteurs, et c’est ici que Kaspersky voit se manifester le site Analytics. Un logiciel de sécurité qui se respecte envoie en effet une foule d’avertissements, lorsque de grandes quantités de données de cartes de crédit sont transférées vers un serveur inconnu (celui des hackers). Ce que font alors les pirates, c’est les envoyer à un compte Google Analytics sur lequel ils exercent un contrôle. Comme le service est utilisé par de nombreux sites web, il figure souvent sur une liste blanche (‘whitelist’), ou bien le trafic vers le service n’éveille que peu de soupçons.
“Google Analytics est un service extrêmement populaire en qui les utilisateurs font une confiance aveugle”, écrit Victoria Vlasova, chercheuse chez Kaspersky Lab, sur un blog de l’entreprise. “Les administrateurs permettent au service de collecter des données. Une attaque peut ainsi même être exécutée, sans télécharger du code de sources extérieures.” Pour savoir si des données sont transférées vers un compte correct, un administrateur doit passer en revue une masse de code pour y rechercher un trackingID, un processus pas du tout évident, selon Vlasova.
Dans son rapport, Kaspersky signale que ces hackers font preuve d’une grande intelligence. Une autre technique qu’ils utiliseraient, consiste à paralyser l’envoi de données, lorsque la personne qui saisit ses données de paiement, se trouve en mode développement sur son navigateur. Voilà qui devrait faire barrage aux chercheurs en sécurité, qui utilisent souvent ce mode pour savoir ce qui se passe durant une transaction.
Google déclare dans un communiqué à l’adresse du site technologique Ars Technica qu’elle a été informée des activités et que tous les comptes mal intentionnés qu’elle a découverts à ce propos, ont été supprimés.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici