Une enquête menée par Kaspersky Lab a révélé une nouvelle technique de piratage qui utilise Google Analytics pour voler les numéros de carte de crédit, les agents utilisateurs, les adresses IP, les mots de passe… pratiquement tout.
Ce n’est pas un exploit dans Google Analytics lui-même.
Les pirates informatiques exploitent le statut de confiance accordé à Google Analytics par tous les navigateurs afin de voler des informations sur des sites piratés en utilisant Google Analytics comme moyen de transférer ces données.
Selon Kaspersky Lab:
«… Nous avons identifié plusieurs cas d’utilisation abusive de ce service: des attaquants ont injecté du code malveillant dans des sites, qui ont collecté toutes les données saisies par les utilisateurs, puis les ont envoyées via Analytics. En conséquence, les attaquants pourraient accéder aux données volées dans leur compte Google Analytics. «
Le rapport de Kaspersky a noté que l’exploit volait tout ce qui est partagé avec le site Web concerné, y compris les informations de carte de crédit, mais cela signifie probablement aussi les informations de mot de passe.
«… Le script recueille tout ce que n’importe qui entre sur le site (ainsi que des informations sur l’utilisateur qui a saisi les données: adresse IP, agent utilisateur, fuseau horaire).
Les données collectées sont cryptées et envoyées à l’aide du protocole de mesure Google Analytics. «
PUBLICITÉ
CONTINUER À LIRE CI-DESSOUS
L’exploit vole apparemment «tout» des mots de passe, nom et adresse, cartes de crédit et même les informations personnelles de la personne qui partage leurs informations.
Comment fonctionne l’exploit
Un site doit d’abord être exploitable, ce qui signifie qu’il fonctionne avec un logiciel vulnérable qui permet à un attaquant de prendre le contrôle.
Une fois le site compromis, l’attaquant télécharge du code qui siphonne les informations que les utilisateurs partagent sur le site, comme les mots de passe et les numéros de carte de crédit.
Google Analytics utilisé pour voler des cartes de crédit
Google Analytics est un logiciel gratuit fourni par Google pour aider les éditeurs à mesurer le trafic des autres sites vers leurs propres sites. Google Analytics est la façon dont les propriétaires de sites comprennent comment les visiteurs du site interagissent avec leur site.
Il est couramment utilisé pour suivre le trafic lié à la publicité afin de savoir où une campagne génère plus de revenus que ce qui est dépensé pour faire de la publicité.
La façon dont les attaquants volent les informations des utilisateurs consiste à ajouter leur propre code Google Analytics sur le site Web, en exploitant Google Analytics pour leur envoyer le code.
PUBLICITÉ
CONTINUER À LIRE CI-DESSOUS
Faille d’en-tête de la politique de sécurité du contenu
Les en-têtes de sécurité sont un moyen de sécuriser un site Web contre des attaques telles que l’écriture de scripts intersites et l’injection de scripts, pour aider à arrêter les attaques de vol de données.
L’un de ces en-têtes de sécurité est appelé en-tête Content Security Policy (CSP).
L’en-tête CSP indique à un navigateur quels domaines sont approuvés pour le téléchargement de scripts. Cela empêche un pirate de télécharger des virus d’un autre site Web sur le navigateur d’un visiteur du site.
Selon un rapport de The Hacker News, la faille dans l’en-tête du CSP est que sur les sites qui utilisent Google Analytics, Google Analytics est spécifié dans le CSP comme une source fiable de scripts.
Ainsi, comme Google Analytics est une source fiable, les pirates informatiques peuvent ajouter leur propre code Google Analytics aux sites Web et contourner les protocoles de sécurité du contenu.
La politique de sécurité du contenu est impuissante à l’arrêter.
Masquage du mode développeur
Une chose bizarre que les pirates font est de cacher le code lorsqu’un navigateur est en mode développeur. Vraisemblablement, les pirates informatiques supposent qu’un éditeur de site inspectera leur site pour détecter les codes malveillants alors que le navigateur de l’éditeur est en mode développeur.
Si vous consultez votre site pour voir s’il y a un problème, assurez-vous que votre navigateur n’est pas en mode développeur.
Ce que tu devrais faire
Une façon de savoir si votre site est affecté par ce piratage consiste à vérifier si plusieurs codes Google Analytics se trouvent sur votre site.
Dans le cas où le code d’un site Google Analytics était complètement remplacé, cela serait remarqué car les analtyiques ne signaleraient aucun trafic.
Cependant, la suppression du code d’analyse escroc ne suffit pas. Si ce code existe, cela peut signifier qu’il existe une vulnérabilité sous-jacente sur le site qui a permis à l’attaquant de placer le code escroc en premier lieu.
Citations
Écrémage Web avec Google Analytics
Des pirates utilisant Google Analytics pour contourner la sécurité Web et voler des cartes de crédit
Auteur/autrice
