{"id":15154,"date":"2020-06-24T07:20:41","date_gmt":"2020-06-24T07:20:41","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15154"},"modified":"2020-06-24T07:20:41","modified_gmt":"2020-06-24T07:20:41","slug":"web-skimming-with-ga","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/web-skimming-with-ga\/15154\/","title":{"rendered":"Google Analytics comme m\u00e9thode d’exfiltration des donn\u00e9es"},"content":{"rendered":"

L\u2019\u00e9cr\u00e9mage Web (Web skimming<\/em> en anglais) est une m\u00e9thode assez souvent utilis\u00e9e pour obtenir les donn\u00e9es des utilisateurs qui visitent les pages de boutiques en ligne, et une pratique cybercriminelle consacr\u00e9e. Pourtant, nos experts ont r\u00e9cemment d\u00e9couvert une innovation assez dangereuse qui implique l\u2019utilisation de Google Analytics pour exfiltrer les donn\u00e9es vol\u00e9es. Analysons pourquoi cette m\u00e9thode est si dangereuse et comment la g\u00e9rer.<\/p>\n

Fonctionnement du Web skimming<\/em><\/h2>\n

L\u2019id\u00e9e de base est que les cybercriminels injectent le code malveillant dans les pages du site pris pour cible. Comment ils le font est un autre sujet. Ils obtiennent (ou volent) parfois le mot de passe d\u2019un compte administrateur par force brute, ou encore exploitent les vuln\u00e9rabilit\u00e9s du syst\u00e8me de gestion de contenu (SGC) ou d\u2019un des plug-ins de tiers. Ils peuvent \u00e9galement r\u00e9aliser l\u2019injection gr\u00e2ce \u00e0 un formulaire de saisie mal cod\u00e9.<\/p>\n

Le code inject\u00e9 enregistre toutes les actions de l\u2019utilisateur (y compris lorsqu\u2019il saisit les informations de sa carte bleue) et transf\u00e8re le tout \u00e0 ses propri\u00e9taires. D\u2019ailleurs, dans la plupart des cas, le web skimming<\/em> est une vari\u00e9t\u00e9 de cross-site scripting<\/a><\/em>.<\/p>\n

Pourquoi Google Analytics<\/h2>\n

Avec la collecte des donn\u00e9es, son travail n\u2019est qu\u2019\u00e0 moiti\u00e9 termin\u00e9. Le malware doit encore envoyer les informations collect\u00e9es aux cybercriminels. Le Web skimming<\/em> existe depuis des ann\u00e9es, ce qui a permis \u00e0 notre industrie de d\u00e9velopper des m\u00e9canismes de protection. Une m\u00e9thode consiste \u00e0 utiliser la politique de s\u00e9curit\u00e9 de contenu (Content Security Policy<\/em>, CSP), un en-t\u00eate technique qui liste tous les services ayant l\u2019autorisation de recueillir des donn\u00e9es sur un site ou une page en particulier. Si le service utilis\u00e9 par les cybercriminels n\u2019appara\u00eet pas dans l\u2019en-t\u00eate, les malfaiteurs sont incapables de retirer les donn\u00e9es collect\u00e9es. Au vu de ces mesures de protection, certains escrocs ont eu l\u2019id\u00e9e d\u2019utiliser Google Analytics.<\/p>\n

De nos jours, presque n\u2019importe quel site Internet surveille de pr\u00e8s les statistiques relatives aux visiteurs. Les boutiques en ligne le font, bien \u00e9videmment. Google Analytics est l\u2019outil le plus pratique pour atteindre cet objectif. Ce service permet de recueillir les donn\u00e9es gr\u00e2ce \u00e0 de nombreux param\u00e8tres et plus de 29 millions<\/a> de sites l\u2019utilisent actuellement. Il est fort probable que le transfert des donn\u00e9es \u00e0 Google Analytics soit autoris\u00e9 dans l\u2019en-t\u00eate CSP.<\/p>\n

Pour collecter les statistiques d\u2019un site Internet, il vous suffit de configurer les param\u00e8tres de suivi et d\u2019ajouter un code de suivi \u00e0 vos pages. En ce qui concerne le service, si vous pouvez ajouter ce code, vous \u00eates le propri\u00e9taire l\u00e9gitime du site. Par cons\u00e9quent, le script malveillant des cybercriminels collecte les donn\u00e9es utilisateur puis, gr\u00e2ce \u00e0 son propre code de suivi, il les envoie directement sur leur compte via le protocole de mesure de Google Analytics. L\u2019article publi\u00e9 sur Securelist<\/a> apporte plus de d\u00e9tails sur ce m\u00e9canisme d\u2019attaque et le niveau de danger.<\/p>\n

Que faire<\/h2>\n

Les premi\u00e8res victimes de ce stratag\u00e8me sont les utilisateurs qui saisissent les donn\u00e9es de leur carte bleue en ligne. Dans la plupart des cas, ce sont les entreprises qui fournissent les formulaires de paiement aux sites Internent qui doivent s\u2019attaquer au probl\u00e8me. Pour \u00e9viter que les donn\u00e9es utilisateur de votre site soient divulgu\u00e9es, nous vous conseillons de\u00a0:<\/p>\n