Les chercheurs de Kaspersky ont découvert que certains hackers utilisent Google Analytics pour voler des informations sur les cartes de crédit

Les chercheurs de Kaspersky ont publié un nouveau blog le 24 juin, expliquant comment certains pirates utilisent Google Analytics pour voler des informations sur les cartes de crédit. Comme vous le savez probablement, Google Analytics est l’un des outils de suivi les plus populaires pour le marketing. Le but de cet article est de parler davantage de leur découverte. En outre, nous allons sensibiliser davantage à la sécurité de sites web et aux moyens de renforcer encore nos solutions.

Comment les pirates informatiques arrivent-ils à voler des informations sur les cartes de crédit ?

Selon le blog de Kaspersky, les escrocs injectent un code malveillant dans les pages présentant des vulnérabilités. Puis ils volent le mot de passe de l’administrateur en utilisant l’attaque par force brute. Ils peuvent également utiliser des plugins ou des ressources tierces pour accéder au code source. Si vous avez des formulaires sur votre site web qui n’ont pas échappé à un certain type de données ou qui ne filtrent pas certaines informations, ils peuvent également les utiliser comme passerelle pour accéder à votre système. Une fois qu’ils peuvent injecter un code malveillant, ils trouveront un moyen de sauvegarder toutes les activités des utilisateurs sur le site, y compris les informations relatives aux cartes de crédit et certaines données personnelles. Ils parviennent donc voler des informations sur les cartes de crédit en jouant sur le dégrée de crédibilité de Google Analytics.

Comment Google Analytics entre-t-il en jeu ?

De nombreuses sociétés antivirus comme Kaspersky ou Norton développent des solutions basées sur la Politique de sécurité du contenu (PSC), qui énumère tous les services autorisés à collecter certaines données personnelles sur le navigateur d’un utilisateur. Ainsi, si par hasard un utilisateur dispose d’un anti-virus et que le code malveillant tente de collecter des données, il sera automatiquement bloqué. En d’autres termes, si un code ou un script digne de confiance passe la vérification de l’anti-virus, il collectera alors des données en toute sécurité.

Google Analytics est l’un des outils les plus populaires auprès des spécialistes du marketing. De nombreux propriétaires de sites web font aveuglément confiance à leur sécurité lorsqu’ils l’utilisent sur leur site. De toute évidence, Google Analytics figure dans la liste des services dignes de confiance. C’est pourquoi les pirates informatiques en profitent pour obtenir des informations sur les utilisateurs.

Quelles mesures devez-vous mettre en place pour éviter de tomber dans le piège ?

Le but de cet article n’est pas de vous convaincre de ne pas utiliser Google Analytics. Jusqu’à preuve du contraire, ce sont les valeurs et les données dérivées du logiciel Google Analytics qui font vivre certaines entreprises. Cependant, vous ne devez jamais faire confiance à 100% à un outil pour gérer la sécurité des informations sur les cartes de crédit des clients de votre solution. Voici quelques mesures que vous pouvez prendre pour éviter de mettre en danger les données de vos clients.

Obligez les utilisateurs à n’utiliser que des mots de passe sécurisés.

Si vous avez un site web qui exige que les utilisateurs créent un compte, forcer les utilisateurs à ne créer que des mots de passe difficiles à obtenir peut aider dans certains cas. Vous pouvez, par exemple, leur demander de combiner des caractères spéciaux, des chaînes de caractères et des valeurs alphanumériques.

Mettez en œuvre deux facteurs d’authentification

De nombreuses entreprises utilisent l’authentification à deux facteurs ou la validation du numéro de téléphone pour lutter contre la devinette des mots de passe. L’idée est de demander à un utilisateur de fournir un moyen supplémentaire de se connecter à son compte. Par exemple, avec la validation du numéro de téléphone, après avoir entré le mot de passe, l’utilisateur recevra un SMS avec un code supplémentaire à saisir.

Évitez de surcharger votre site web avec des plugins.

Ce sont de formidables outils tels que WordPress, Drupal ou Joomla qui vous aideront à construire un site web rapidement. L’un des inconvénients de ces outils est que les gens ont trop recours aux plugins ou aux ressources de tiers pour gérer leur entreprise. Par conséquent, ils ont moins de contrôle sur leurs données. Cela dit, si vous pouvez limiter le nombre de ressources tierces ou faire des recherches appropriées sur les plugins que vous utilisez, cela peut vous aider.

Mettez régulièrement à jour votre site web.

Si vous utilisez une solution particulière pour votre site web, prendre le temps d’appliquer les mises à jour peut vous aider. Les communautés de développement de sites web travaillent quotidiennement à l’amélioration des solutions. Plus souvent, la nouvelle version sera accompagnée de correctifs pour résoudre certaines vulnérabilités. Ainsi, l’absence de mise à jour de vos sites web entraînera des pertes importantes à court ou à long terme.

Protégez vos formulaires contre les pirates informatiques

Les formulaires de sites web sont un autre portail célèbre pour les pirates. Vous devez donc faire attention à toutes les données que vous recevez à partir des formulaires du site. Voici quelques-unes des approches que nous utilisons habituellement pour protéger les sites et les informations sur les cartes de crédit des clients :

• Utilisation de Captcha pour éviter les spams – Il existe de nombreux types de Captcha que vous pouvez utiliser, et l’un des plus populaires est Google Recaptcha
• Éviter certains caractères spéciaux. Au niveau du backend de votre site web, vous pouvez utiliser le script pour vérifier et supprimer certains types de caractères.
• Filtrez toutes les données envoyées par votre site web. Nous ne pouvons jamais faire confiance aux informations soumises par un utilisateur. C’est pourquoi il est important de vérifier automatiquement toutes les données avant de les envoyer, afin d’éviter tout problème.

Scannez régulièrement votre site web.

Lorsque vous gérez votre site web quotidiennement, vous ne pouvez pas faire confiance à toutes les activités sur votre serveur. Si vous scannez votre site régulièrement, vous pourrez détecter la présence de codes malveillants sur votre site. Il existe de nombreux outils que vous pouvez utiliser à cette fin. Certains d’entre eux le sont :

• Virus Scanné (serveur Linux), le scanner de virus est un outil que vous pouvez trouver sur le panneau de contrôle (Linux) pour scanner vos sites web.
• Sitelock.
• Protection des liens hypertextes

Autres mesures que vous pouvez mettre en place pour protéger votre site

Il existe de nombreuses mesures différentes que vous pouvez mettre en place pour protéger votre site et les informations sur les cartes de crédit des clients. En voici quelques-unes :

• Interdire l’adresse IP
• Protéger DDOS
• Utiliser robots.txt pour bloquer les robots méchants.

Conclusion et remarques finales

Comme nous pouvons le voir dans cet article, nous ne pouvons pas prétendre avoir un site web entièrement sécurisé. Par exemple, tant que nous utilisons des ressources tierces ou que nous ne surveillons pas un site 24 heures sur 24 et 7 jours sur 7, nous serons toujours confrontés à des vulnérabilités. Cependant, en tant que propriétaires de sites web, chacun peut s’assurer d’appliquer les meilleures pratiques pour éviter certaines faiblesses apparentes.

Quelle est la probabilité que vous fassiez confiance à certains géants pour vos données ? Leur accorderez-vous une confiance à 100 % en supposant qu’elles soient toujours fiables ?

Merci d’avoir lu notre article, si vous avez besoin d’aide pour améliorer la sécurité de votre site web, vous pouvez nous contacter.

Gilblas Ngunte Possi

Fondateur et Développeur Full-Stack chez Prositeweb.

Ma maîtrise des outils modernes, combinée à un sens d’analyse approfondi des technologies de l’information, me permet d’offrir un accompagnement de qualité dans la conception et la mise en place de vos solutions web.