Des pirates informatiques ont réussi à sévir sur le net en injectant du code informatique malicieux, au sein de publicités présentes sur de nombreux sites de ventes en ligne, afin de récupérer les données bancaires des clients.

Un total de plus de 277 sites de commerce en ligne ont été victimes de groupes de hackers malintentionnés en utilisant une technique dite de “Magecart” et dont le but est de récupérer les données bancaires des acheteurs. Cette technique d’aspiration de données sensibles est connue depuis 2014 et a déjà touché, par le passé, plusieurs dizaines de milliers de cartes bancaires.

Dans notre cas, c’est par une technique assez inhabituelle qui a été utilisée, car au lieu de cibler directement les sites d’e-commerce, les pirates informatiques ont plutôt visé une société de publicité en ligne. Cela leur a permis d’injecter une portion de code malveillant dans le système informatique de la régie publicitaire Adverline, appartenant à Mediapost, filiale du groupe La Poste.

Les hackers en question ont profité du passage à la nouvelle année pour effectuer cette opération malveillante. Celle-ci n’a été déployée que pendant quelques jours au début du mois, mais ce sont plus de 11.000 opérations sur 277 sites de ventes en ligne, majoritairement français, qui ont été détectées en à peine 6 jours.

Fort heureusement deux entreprises spécialisées en sécurité informatique, RiskIQ et TrendMicro, ont travaillé de concert sur le sujet et ont averti la régie ciblée dès que possible. C’est ainsi que TrendMicro aurait notamment réussi à repérer et même à bloquer de nombreuses intrusions.

D’après Adverline, il n’y aurait eu que seulement 8 sites qui ont véritablement été touchés permettant tout de même aux pirates mal intentionnés de récupérer au moins 114 numéros de cartes bancaires.

Se rendre sur des sites sécurisés en “https” et possédant un cadenas fermé – signe jusque là de sécurité – n’est plus suffisant de nos jours, mais cela n’est toutefois pas un facteur à négliger pour autant.