Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Cyberattaque Bureau Vallée : « Le pirate reproduisait le formulaire de notre prestataire bancaire »

Cyberattaque Bureau Vallée : « Le pirate reproduisait le formulaire de notre prestataire bancaire »

Le 29 mai 2020 à 09h43

Le site de la société spécialisée dans la vente de papeterie et de fournitures de bureau a été victime « d’une attaque informatique sophistiquée ». Elle explique dans son communiqué qu’il s’agit de « skimming sur la partie de son site Internet dédiée au paiement en ligne », mais elle n’entre absolument pas dans les détails.

Si rien n’est précisé concernant un vol des données bancaires, c’est bien le cas. Sur Twitter, Bureau Vallée donne quelques informations supplémentaires… qui font froid dans le dos. La société affirme ainsi ne pas stocker les données bancaires, mais lors du paiement son site affichait un formulaire de son prestataire bancaire, reproduit par le pirate.

Dans l’email envoyé à ses clients l’étendue des dégâts se confirme. Bureau Vallée indiquant que cette cyberattaque a « conduit à la mise en place frauduleuse d’un système de duplication des informations des cartes bancaires au moment d’un achat depuis notre site ». Ainsi, « tout client ayant passé commande sur [son] site internet pendant la période du 26 mars au 26 mai 2020 est potentiellement concerné par cet accès frauduleux à ses données bancaires ».

Dès que le pot aux roses a été découvert, des correctifs ont évidemment été mis en place et l’ensemble des mots de passe des administrateurs changés. Le site est « à présent de nouveau opérationnel et les mesures de sécurité ont été renforcées pour prévenir tout nouvel incident ». Si vous êtes concernés, pensez à vérifier vos relevés (et à contacter votre banque en cas de transactions anormales)… et probablement aussi à changer de carte bancaire.

La CNIL a été informée, affirme la société.

Le 29 mai 2020 à 09h43

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est d’la faute a pas de bol. Ca arrive ma pov’ dame, c’est comme ça. Personne n’est responsable.

Un email aux gens, une déclaration à la CNIL, un communiqué et hop… c’est reparti.



Achetez ma ramette de papiers… elle est fraîche, elle est belle…

votre avatar

Oui, le CMB propose Virtualis, attaché à n’importe quelle carte qu’ils vendent… donc c’est clairement la banque qui ne propose pas.

Ma femme est sur Mastercard, et moi sur Visa, et tous deux avec des cartes virtuelles sur Internet et cartes physiques bloquées en ligne et hors de l’Europe par défaut (blocage modifiable en live via l’appli).

votre avatar







neo13006 a écrit :



“attaque informatique sophistiquée”



La bonne blague. C’était la même formulation chez les incompétents d’Easyjet, à chaque fois qu’une entreprise se fait pirater elle présente ça comme l’attaque du siècle réalisée par une armée surentrainée de cyber-criminels du futur, alors que les modes opératoires sont vus et revus.





C’est une attaque sophistiquée car l’équipe qui est intervenu pour “rétablir” le site a du faire sans les droits admin vu que le site est administré et hébergé par les pirates. <img data-src=" />



(bon ils sont quand même sympa d’avoir rendu l’affaire publique, combien d’entreprise ne le font pas…)


votre avatar

Mais alors question par rapport à ce type d’attaque, théoriquement la (fausse) page de paiement qui s’affichait devait présenter un problème de certificat non ?

Ce n’est pas tout l’intérêt justement des certificat et de fait des codes couleur adoptés par les navigateurs pour justement alerter sur un truc qui cloche ?



Parce que là, deux mois c’est chaud.

votre avatar







j34n-r0x0r a écrit :



(bon ils sont quand même sympa d’avoir rendu l’affaire publique, combien d’entreprise ne le font pas…)





C’est pas devenu obligatoire il y a quelques années de rendre ça public et d’informer la CNIL ?


votre avatar

Je suppose, sans en être certain, que je ne tape pas trop loin de la

vérité en disant que c’est une iframe qui a été remplacée, et non une

page en complet.

En temps normal le commerçant héberge une page qui contient une iframe servie par un prestataire monétique autorisé.

Si la page chez le commerçant est modifiée par un tiers non autorisé, ce dernier peut remplacer l’iframe légitime par une autre servie sur un domaine proche du nom légitime (genre ma-banque.com -&gt; ma-banque2.com) pour éviter d’éveiller les soupçons.

Dans ces conditions un certificat https ne peut rien empêcher.

votre avatar

Je pense comme toi, si je comprends bien, l’iframe a été remplacée par celle des “hackers”. Ce que je ne comprends pas, et ce qui n’est pas dit, c’est comment les hackers ont fait pour modifier l’url de cette iframe. Ça veut forcément dire qu’ils &nbsp;se sont introduits sur le server, et ça Bureau Vallée &nbsp;ne dit pas comment.

votre avatar

On dit pirates :)

Et oui, ils se sont probablement introduits sur leurs serveurs, et c’est probablement pour ça qu’ils précisent qu’ils ne stockent pas de données bancaires.

votre avatar

Ok je vois tout à fait, merci <img data-src=" />

votre avatar

Ah bah j’ai justement passé une commande le 8 mai pour des cartouches d’encres !

Bon, bah on va bien vérifier ses comptes hin… <img data-src=" />

votre avatar

Perso, je pense qu’à ce stade il vaut mieux directement prévenir ta banque pour faire opposition sur ta carte bancaire.

votre avatar







Gorom a écrit :



Perso, je pense qu’à ce stade il vaut mieux directement prévenir ta banque pour faire opposition sur ta carte bancaire.





J’ai demandé une réédition de celle-ci. Merci des conseilles <img data-src=" />


votre avatar







Dude76 a écrit :



C’est pas devenu obligatoire il y a quelques années de rendre ça public et d’informer la CNIL* ?







&nbsp;*: A l’initiative de l’entreprise



Dans la pratique, auprès des intervenants ou des employés trop dociles , c’est plutôt “fermez la sinon on vous remplace”, “on avisera quand le problème sera résolu”, “et ce qu’on est vraiment sûr du contenu des fuites&nbsp;?”&nbsp; jusqu’à tomber sur le “bon” qui bossera tête baissé jusqu’à ce qu’il n’y ait plus aucunes traces, tout les autres n’ayant droit qu’a une information incomplète ne permettant pas de connaître la suite/faire connaître le problème.



(un peu le cas d’un malade qui ne veut pas se soigner et qui se fâche avec son médecin pour y arriver)



Si on ajoute a ça le filtre médiatique de “l’économie numérique de confiance” on obtient un monde de Bisounours combiné étrangement a des frais bancaires qui grimpent.<img data-src=" />


votre avatar

Normalement ce n’est pas obligatoire, maintenant, de vérifié tout les paiements avec un deuxième facteur ?



Je crois me souvenir d’un email dans ce sens de ma banque. Maintenant, à chaque achat, je dois passer par l’application et rentrer mon code secret spécifiquement créé pour ça qui validera le paiement.

votre avatar

D’où l’intérêt de faire ses achats avec une carte bleue électronique : la carte est valide pour une seule transaction 😀

votre avatar







tifounon a écrit :



Oui ou généralise des solutions comme SecuriPass au Crédit Agricole, j’ai déjà eu une tentative frauduleuse d’utilisation de ma CB (en fait ma femme <img data-src=" /> ) et j’ai annulé l’opération depuis l’appli, après authentification code + empreintes;



mais la “e-cb à usage unique” reste un moyen plus simple





SecuriPass n’empêche pas un paiement frauduleux si le paiement ne nécessite pas de double authentification. C’est juste une version un peu plus évoluée que le paiement avec validation par code SMS.


votre avatar

pour les cartes éphémères il y a Revolut et ses cartes virtuelles ;)

votre avatar







Furanku a écrit :



Il faudrait que les banques se bougent aussi à TOUTES proposer des cartes virtuelles pour les achats sur internet…





Les banques se sont déjà “bougées”. Par contre :





  • les clients répugnent à les utiliser (ou ne savent même pas comment les utiliser)

  • beaucoup de commerçants les rejettent



    Bref : tant qu’il y aura des c.., les escrocs auront la belle vie.


votre avatar







Link14 a écrit :



Ça veut forcément dire qu’ils  se sont introduits sur le server, et ça Bureau Vallée  ne dit pas comment.







Un presta viré qui a voulu se venger ?


votre avatar

Ah bon ?

Je suis passé par 4 banques différentes et aucune ne m’a proposé un tel service (d’office ou non). Et quand elles le proposent c’est bien souvent à coup de 10€/mois.



Et des e-commerçants les rejettent aussi parce qu’il y a peu de CB virtuelles utilisées de nos jours. Si le taux d’adoption augmentait ils finiraient par les accepter plus largement.



Quant à la facilité d’utilisation ou pas, c’est encore autre chose qui n’a aucun lien avec mon propos ;)

votre avatar

Non, c’est le système “3DSecure”.

C’est n’est pas forcément actif, c’est aux commerçants de choisir (ce n’est pas actif chez Amazon par ex).

Si les commerçants choisissent de ne pas le mettre en place c’est parce que cela peut diminuer les ventes.

votre avatar

Il faudrait que les banques se bougent aussi à TOUTES proposer des cartes virtuelles pour les achats sur internet…

A usage unique ou pas, selon le souhait de l’utilisateur au moment de sa création. Mais ça réduirait fortement le vol de numéro de cartes physiques sur le net.

votre avatar

Outch… 2 mois sur une faille aussi critique.. Dur dur

votre avatar







Furanku a écrit :



Il faudrait que les banques se bougent aussi à TOUTES proposer des cartes virtuelles pour les achats sur internet…

A usage unique ou pas, selon le souhait de l’utilisateur au moment de sa création. Mais ça réduirait fortement le vol de numéro de cartes physiques sur le net.



Et qu’elles soient proposées gratuitement.

Ca leur permet de diminuer le montant de la prime d’assurance, aucune raison qu’on doive payer en prime pour leur faire économiser de l’argent.


votre avatar

Oui ou généralise des solutions comme SecuriPass au Crédit Agricole, j’ai déjà eu une tentative frauduleuse d’utilisation de ma CB (en fait ma femme <img data-src=" /> ) et j’ai annulé l’opération depuis l’appli, après authentification code + empreintes;



mais la “e-cb à usage unique” reste un moyen plus simple

votre avatar







Furanku a écrit :



Il faudrait que les banques se bougent aussi à TOUTES proposer des cartes virtuelles pour les achats sur internet…

A usage unique ou pas, selon le souhait de l’utilisateur au moment de sa création. Mais ça réduirait fortement le vol de numéro de cartes physiques sur le net.





C’est vrai que ce serait pas mal, certaines banques ont 15 ans de retard au moins (genre, le p’tit écureuil rouge).

Ca fait mal de payer 9€ pour un service qui n’a jamais évolué (mais je m’en fous, c’est un prétexte pour négocier la cotis’ <img data-src=" />)



votre avatar







Patch a écrit :



Et qu’elles soient proposées gratuitement.





C’est une évidence ;)

Vu les frais bancaires qu’elles se prennent et combien certaines continuent de faire cher payer les CB… ça me paraît être un minimum à notre époque.


votre avatar

il semble que ce soit présent plus sur les cartes Mastercard que sur les VISA

Quelqu’un a un système e-CB sur une VISA?

votre avatar

Pas sur de comprendre la technique de piratage.

Il y avait un formulaire qui “proxysait” les données (et les récupérait au passage) pour les envoyer ensuite sur le formulaire de la banque, ou il y avait déjà un formulaire de saisie directement sur le site marchand (et c’est très bête) qui a été détourné?

votre avatar

oui, ma banque propose une e-CB sur Visa.



Mais l’e-CB n’est pas la panacée. Au début du Grand Confinement de 2020, j’ai voulu acheter la formule 100% numérique d’un hebdomadaire. Le n° d’e-CB a été refusé. Le magazine m’a informé qu’il n’accepte pas les cartes bleues à durée éphémère. Ils ont raté une vente.

votre avatar

“attaque informatique sophistiquée”



La bonne blague. C’était la même formulation chez les incompétents d’Easyjet, à chaque fois qu’une entreprise se fait pirater elle présente ça comme l’attaque du siècle réalisée par une armée surentrainée de cyber-criminels du futur, alors que les modes opératoires sont vus et revus.

votre avatar

Ils avaient un vieux Magento pas à jour ?

votre avatar

D’un coté c’est pas difficile car c’est toujours le template par défaut…

votre avatar

le LCL l’a supprimé sur la visa c’était bien pratique pourtant l’e carte bleue

Cyberattaque Bureau Vallée : « Le pirate reproduisait le formulaire de notre prestataire bancaire »

Fermer