Le site de la société spécialisée dans la vente de papeterie et de fournitures de bureau a été victime « d’une attaque informatique sophistiquée ». Elle explique dans son communiqué qu’il s’agit de « skimming sur la partie de son site Internet dédiée au paiement en ligne », mais elle n’entre absolument pas dans les détails.
Si rien n’est précisé concernant un vol des données bancaires, c’est bien le cas. Sur Twitter, Bureau Vallée donne quelques informations supplémentaires… qui font froid dans le dos. La société affirme ainsi ne pas stocker les données bancaires, mais lors du paiement son site affichait un formulaire de son prestataire bancaire, reproduit par le pirate.
Dans l’email envoyé à ses clients l’étendue des dégâts se confirme. Bureau Vallée indiquant que cette cyberattaque a « conduit à la mise en place frauduleuse d’un système de duplication des informations des cartes bancaires au moment d’un achat depuis notre site ». Ainsi, « tout client ayant passé commande sur [son] site internet pendant la période du 26 mars au 26 mai 2020 est potentiellement concerné par cet accès frauduleux à ses données bancaires ».
Dès que le pot aux roses a été découvert, des correctifs ont évidemment été mis en place et l’ensemble des mots de passe des administrateurs changés. Le site est « à présent de nouveau opérationnel et les mesures de sécurité ont été renforcées pour prévenir tout nouvel incident ». Si vous êtes concernés, pensez à vérifier vos relevés (et à contacter votre banque en cas de transactions anormales)… et probablement aussi à changer de carte bancaire.
La CNIL a été informée, affirme la société.
Commentaires (34)
#1
Il faudrait que les banques se bougent aussi à TOUTES proposer des cartes virtuelles pour les achats sur internet…
A usage unique ou pas, selon le souhait de l’utilisateur au moment de sa création. Mais ça réduirait fortement le vol de numéro de cartes physiques sur le net.
#2
Outch… 2 mois sur une faille aussi critique.. Dur dur
#3
#4
Oui ou généralise des solutions comme SecuriPass au Crédit Agricole, j’ai déjà eu une tentative frauduleuse d’utilisation de ma CB (en fait ma femme
" /> ) et j’ai annulé l’opération depuis l’appli, après authentification code + empreintes;
mais la “e-cb à usage unique” reste un moyen plus simple
#5
#6
#7
il semble que ce soit présent plus sur les cartes Mastercard que sur les VISA
Quelqu’un a un système e-CB sur une VISA?
#8
Pas sur de comprendre la technique de piratage.
Il y avait un formulaire qui “proxysait” les données (et les récupérait au passage) pour les envoyer ensuite sur le formulaire de la banque, ou il y avait déjà un formulaire de saisie directement sur le site marchand (et c’est très bête) qui a été détourné?
#9
oui, ma banque propose une e-CB sur Visa.
Mais l’e-CB n’est pas la panacée. Au début du Grand Confinement de 2020, j’ai voulu acheter la formule 100% numérique d’un hebdomadaire. Le n° d’e-CB a été refusé. Le magazine m’a informé qu’il n’accepte pas les cartes bleues à durée éphémère. Ils ont raté une vente.
#10
“attaque informatique sophistiquée”
La bonne blague. C’était la même formulation chez les incompétents d’Easyjet, à chaque fois qu’une entreprise se fait pirater elle présente ça comme l’attaque du siècle réalisée par une armée surentrainée de cyber-criminels du futur, alors que les modes opératoires sont vus et revus.
#11
Ils avaient un vieux Magento pas à jour ?
#12
D’un coté c’est pas difficile car c’est toujours le template par défaut…
#13
le LCL l’a supprimé sur la visa c’était bien pratique pourtant l’e carte bleue
#14
C’est d’la faute a pas de bol. Ca arrive ma pov’ dame, c’est comme ça. Personne n’est responsable.
Un email aux gens, une déclaration à la CNIL, un communiqué et hop… c’est reparti.
Achetez ma ramette de papiers… elle est fraîche, elle est belle…
#15
Oui, le CMB propose Virtualis, attaché à n’importe quelle carte qu’ils vendent… donc c’est clairement la banque qui ne propose pas.
Ma femme est sur Mastercard, et moi sur Visa, et tous deux avec des cartes virtuelles sur Internet et cartes physiques bloquées en ligne et hors de l’Europe par défaut (blocage modifiable en live via l’appli).
#16
#17
Mais alors question par rapport à ce type d’attaque, théoriquement la (fausse) page de paiement qui s’affichait devait présenter un problème de certificat non ?
Ce n’est pas tout l’intérêt justement des certificat et de fait des codes couleur adoptés par les navigateurs pour justement alerter sur un truc qui cloche ?
Parce que là, deux mois c’est chaud.
#18
#19
Je suppose, sans en être certain, que je ne tape pas trop loin de la
vérité en disant que c’est une iframe qui a été remplacée, et non une
page en complet.
En temps normal le commerçant héberge une page qui contient une iframe servie par un prestataire monétique autorisé.
Si la page chez le commerçant est modifiée par un tiers non autorisé, ce dernier peut remplacer l’iframe légitime par une autre servie sur un domaine proche du nom légitime (genre ma-banque.com -> ma-banque2.com) pour éviter d’éveiller les soupçons.
Dans ces conditions un certificat https ne peut rien empêcher.
#20
Je pense comme toi, si je comprends bien, l’iframe a été remplacée par celle des “hackers”. Ce que je ne comprends pas, et ce qui n’est pas dit, c’est comment les hackers ont fait pour modifier l’url de cette iframe. Ça veut forcément dire qu’ils se sont introduits sur le server, et ça Bureau Vallée ne dit pas comment.
#21
On dit pirates :)
Et oui, ils se sont probablement introduits sur leurs serveurs, et c’est probablement pour ça qu’ils précisent qu’ils ne stockent pas de données bancaires.
#22
Ok je vois tout à fait, merci
" />
#23
Ah bah j’ai justement passé une commande le 8 mai pour des cartouches d’encres !
" />
Bon, bah on va bien vérifier ses comptes hin…
#24
Perso, je pense qu’à ce stade il vaut mieux directement prévenir ta banque pour faire opposition sur ta carte bancaire.
#25
#26
#27
Normalement ce n’est pas obligatoire, maintenant, de vérifié tout les paiements avec un deuxième facteur ?
Je crois me souvenir d’un email dans ce sens de ma banque. Maintenant, à chaque achat, je dois passer par l’application et rentrer mon code secret spécifiquement créé pour ça qui validera le paiement.
#28
D’où l’intérêt de faire ses achats avec une carte bleue électronique : la carte est valide pour une seule transaction 😀
#29
#30
pour les cartes éphémères il y a Revolut et ses cartes virtuelles ;)
#31
#32
#33
Ah bon ?
Je suis passé par 4 banques différentes et aucune ne m’a proposé un tel service (d’office ou non). Et quand elles le proposent c’est bien souvent à coup de 10€/mois.
Et des e-commerçants les rejettent aussi parce qu’il y a peu de CB virtuelles utilisées de nos jours. Si le taux d’adoption augmentait ils finiraient par les accepter plus largement.
Quant à la facilité d’utilisation ou pas, c’est encore autre chose qui n’a aucun lien avec mon propos ;)
#34
Non, c’est le système “3DSecure”.
C’est n’est pas forcément actif, c’est aux commerçants de choisir (ce n’est pas actif chez Amazon par ex).
Si les commerçants choisissent de ne pas le mettre en place c’est parce que cela peut diminuer les ventes.