La cybersécurité et les cyberattaques sont de plus en plus fréquentes et perfectionnées et les hackers des comptes bancaires sur les sites marchands améliorent constamment leurs outils pour garder une longueur d'avance sur les spécialistes, alerte Microsoft dans un rapport. Les pirates ont développé de nouvelles techniques pour masquer leur code et cacher leurs scripts sur les sites compromis et éviter ainsi d'être repérés, fait observer la multinationale informatique américaine, précisant que les pirates utilisent notamment l'encodage en base 64 pour masquer le chargement de fichiers externes et donner à leur code un air inoffensif. Au départ, explique-t-on, les pirates visaient des failles dans les plateformes comme Magent, PrestaShop ou WordPress, et se contentaient d'injecter du JavaScript. L'une des attaques les plus connues de ce genre est Magecart, détectée pour la première fois en 2010 et qui a fait grand bruit lors d'une nouvelle vague d'attaques en 2019. Si les nouvelles techniques nécessitent toujours une faille pour injecter des données sur le serveur, le code JavaScript n'est plus laissé en évidence. La première technique consiste à faire passer le code pour autre chose. Microsoft a notamment détecté du JavaScript, encodé en base 64 dans du code PHP, lui-même intégré dans une image. Dans un cas les auteurs ont utilisé le favicon (l'icône du site affiché dans la barre d'adresses ou sur les favoris), dans un autre cas ils ont utilisé une simple image. Il leur aurait suffi d'ajouter la fonction PHP include() dans la page d'index du site, un ajout qui passerait inaperçu. Dans les deux cas, le script PHP vérifie l'adresse de la page à la recherche des termes «checkout» et «onepage», qui correspondent à la page de paiement de la plateforme Magento. Il vérifie également les cookies pour s'assurer que l'internaute n'est pas un administrateur. Une fois fait, il décode le script JavaScript qui va afficher un faux formulaire de paiement puis envoyer les données vers un serveur externe. La seconde technique ajoute quatre lignes de JavaScript dans la page. De la même manière, le script ne se lance que sur une page dont l'adresse contient le terme « checkout », le mot-clé étant encodé en base 64 dans le script pour passer inaperçu. Il télécharge ensuite un autre script hébergé sur un serveur externe, dont l'adresse est encodée en base 64 et divisée en plusieurs groupes de caractères concaténés. Ce script s'assure que les outils développeurs du navigateur ne sont pas ouverts, et enregistre les données du formulaire de paiement dans une image, qui est envoyée vers une adresse externe. Enfin, pour la troisième technique, les pirates font passer leur script pour un script officiel d'analyse d'audience Google Analytics ou Meta Pixel. Là encore, les auteurs ont ajouté un script simple qui télécharge un second script depuis un serveur externe, et utilisé l'encodage en base 64 pour masquer l'adresse. Le point commun entre toutes ces techniques, précise Microsoft, est l'utilisation de chaînes de caractères en base 64, et notamment de la fonction JavaScript atob() pour les décoder. Ceci peut permettre aux développeurs de repérer les sites infectés. Il est en revanche difficile pour les internautes de se défendre contre ce type d'attaque, à part en utilisant des méthodes comme les cartes bancaires virtuelles à usage unique. Du côté des administrateurs de site, Microsoft conseille de vérifier que leur système de gestion de contenu (CMS) et toutes les extensions sont à jour.
