La semaine dernière, British Airways a informé de la compromission d'informations personnelles (noms, adresses de facturation, adresses mail) et données de cartes bancaires de clients ayant effectué des réservations sur ba.com ou son application mobile entre le 21 août 2018 à 21h58 et le 5 septembre 2018 à 20h45.

Aux alentours de 380 000 clients sont concernés. La compagnie aérienne s'est engagée à indemniser les clients qui auront effectivement été touchés par ce qui a été présenté comme une activité criminelle. Alors que l'enquête suit son cours, l'entreprise de cybersécurité RiskIQ soupçonne un groupe dénommé Magecart.

Après l'analyse des pages web de British Airways, RiskIQ a découvert l'injection d'une vingtaine de lignes de code JavaScript suspectes avec un chargement depuis la page d'information sur la récupération de bagages. Ce script enregistrait les événements de clic avec la souris ou d'appui sur un écran tactile.

" Cela signifie qu'une fois qu'un utilisateur clique sur le bouton pour soumettre son paiement sur le site compromis de British Airways, les informations du formulaire de paiement sont extraites avec son nom et envoyées au serveur de l'attaquant ", écrit RiskIQ qui souligne que l'application mobile de British Airways charge des pages web de son site officiel.

Dans un format de données JSON, les données extraites auraient été envoyées vers une URL baways.com (dont le nom évoque grossièrement British Arways) qui était hébergée en Roumanie et seulement enregistrée à la mi-août.

Évidemment, la question se pose de savoir comment le code malveillant a été injecté dans le site de British Airways, ce qui laisse supposer un accès côté serveur à l'infrastructure de la compagnie aérienne. Les attaquants auraient en tout cas fait l'acquisition d'un certificat SSL pour tromper les navigateurs web.

Pour RiskIQ, tout ceci fait penser aux activités d'un groupe dénommé Magecart spécialisé dans le vol et la revente de numéros de cartes de paiement, dont l'entreprise de cybersécurité suit les activités.